Mathieu CLAUDEL a écrit 193 commentaires

Bonjour,

Note importante de positionnement : les Recovery Codes Keycloak adressent le cas « j'ai perdu mon 2FA mais je connais toujours mon mot de passe principal ». Le password reset principal de Keycloak utilise, lui, le canal email standard (configuration SMTP dans l'onglet Email de l'admin console).

Les Recovery Codes dans Keycloak peuvent assez simplement permettre la réinitialisation de n’importe quel facteur d’authentification, y compris le mot de passe. Tout dépend de la manière dont on configure les flows d’authentification et/ou de self-service.

L'application abandonne entièrement le flow de réinitialisation par email. L'utilisateur génère une passphrase diceware à l'inscription (liste EFF de 7 776 mots, 4 à 7 mots par défaut), qu'il mémorise ou stocke dans son gestionnaire de mots de passe. Cette passphrase, combinée au nom de domaine du site via HMAC-SHA256, permet de réinitialiser le mot de passe sans aucune dépendance externe.

Si l’utilisateur a retenu cette passphrase, par exemple en la stockant dans son coffre-fort à mots de passe, pourquoi n’en aurait-il pas fait autant avec son mot de passe ? Du coup, le cas d’usage est-il réellement pertinent ? Ne va-t-on pas toujours tomber dans le cas où il faudra passer par le support et l’intervention d’un humain ?

C’est, je penses, d’ailleurs pour cela que les Recovery Codes sont plutôt mis en avant pour du MFA, où il est plus réaliste de perdre ou de casser son mobile qui porte un facteur.

Mon point de vue :

Du coup ce n'est pas le wallet qui est liberticides, mais les lois qui interdiraient l'accès à des mineur à un sites parlant de contraception ou l'accès à des zones naturelles à risque, de manifester, …

Si une loi interdit un comportement, effectivement, l'usage de cette technologie permettra de faciliter le contrôle. Autant qu'une carte d’identité, mais avec un peut moins de "fuite" de données personnelles (on donne que l'age, si c'est que le besoin, et pas nom prénom adresse date de naissance, n°CIN…). Dans le cas contraire on est sur de la discrimination et donc une utilisation non légitime et probablement punissable par la loi.

A nous de mettre des personnes en adéquation avec nos aspirations pour définir et mettre à jour ces lois.

Mais je comprends l'inquiétude, car effectivement il y actuellement une surenchère sécuritaire.
Je suis peut-être un peu trop idéaliste !

Alors oui, peut-être que les applications étatiques ne seront pas libres, mais puisque tout cela se base sur des protocoles d’échange normalisés, il n’est pas impossible que nous puissions aussi utiliser des wallets libres (par exemple : https://github.com/openwallet-foundation-labs).

Je ne vois pas trop le coté liberticide (peut-être peux-tu me donner des exemples ?). Pour moi cela permettra, quand ce sera disponible, de ne partager que les informations utiles pour un périmètre restreint. Par exemple, ne donner ou prouver que son âge (sans nom, prénom, etc.) pour accéder à des sites — physiques ou virtuels — interdits aux mineurs. Cela éviterait d’avoir à scanner sa carte d’identité nationale, ce qui est bien trop souvent demandé, tout en fournissant seulement les informations nécessaires avec un champ d’application et une durée limités.

Mais, comme indiqué dans l’article, il ne faut pas que cela devienne obligatoire.

D'un point de vu purement pro, dans certain contexte, ces protocoles vont aussi permettre de pourvoir faire de l’authentification en mode déconnecter/hors ligne sur la base" "d’identités d'entreprise" chargé dans ces wallets avec pourquoi pas les accréditations/habilitations.

Pour ceux qui voudraient voir à quoi ça pourrait ressembler et servir dans la pratique, il y a une plateforme de démo proposé par lissi qui permet de tester avec une identité et des fournisseurs de services fictifs : https://www.lissi.id/eudi-wallet-demo-start

Surtout que je penses qu'une solution normalisé (en cours de finalisation ?!) existe via les identités décentralisés dans des portefeuilles numériques et le protocole OID4VCI poussé par eIDAS 2.0 (je suppose que france identite devrait devenir compatible avec ça mais n'est pas encore prêt : https://www.01net.com/actualites/lapp-france-identite-teste-une-fonction-pour-prouver-son-age-en-ligne.html)

Dans le principe, OIDC4VCI permet à un Wallet (comme France Identité) d'émettre des Verifiable Credentials (VC) spécifiques, en réponse à une demande précise d'attributs. Vous pouvez configurer la requête pour ne solliciter que l'âge (ex. : "plus de 18 ans"), sans autres données comme nom ou prénom.

Une demo que j'ai trouvé intéressante sur ce que cela pourra faire : https://www.lissi.id/eudi-wallet-demo-start

Pour créer un compte non lié à son mobile, il est possible avec l'application version business de lier à un numéro de téléphone fixe (un 09 par exemple).

Si pouvez prendre de l'avance sur le reste du monde et utiliser le protocole IP over Time (IPoT)

https://perso.duckcorp.org/duck/mirrors/kadreg.free.fr/ipot/

Je pense que le nom fait référence au papillon du logo de pronote dont il est à l'origine un client alternatif.

Mon fils au collège doit valider des compétences sur https://pix.fr/

C'est ouvert à tout le monde. Pour en avoir essayé quelques parcours, ça peut être assez avancée comme bilan de compétences ou ressources pour monter en compétences.

Il y a néanmoins un argument qui pousse vers une meilleur performance non pas de la femme en tant qu'individue mais comme partie prenante d'un groupe.
J'ai appris cela dans un épisode du vortex : Comment mesurer l'intelligence d'un groupe ? | Le Vortex S06E08 | ARTE

Mais avec une rapide recheche, je suis retombé sur ces mots :

intelligence du groupe ne dépendait pas des intelligences individuelles dans le groupe, qu’il ne suffisait d’avoir des QI très haut dans le groupe pour que celui-ci ait un gros QI. De quoi dépendait-elle ? De la proportion de femmes dans le groupe.
En effet, une intelligence collective fonctionne quand les membres possèdent une liberté de parole et surtout la capacité à prendre en compte celle des autres. Lors de l’étude, il s’est avéré que la qualité du groupe, son intelligence, dépendait de l’égalité du temps de parole entre chacun.
Or les femmes ont cette « élégance de l’écoute », plus que les hommes qui « ont tendance malheureusement à rivaliser pour prendre la parole, au lieu d’écouter. ». Selon l’auteur, « cette capacité de sensibilité sociale fluidifie la communication, et la qualité de notre groupe va dépendre de la qualité de notre communication, de la qualité des connexions entre nous. »

Ainsi que sur l'étude dans Science : https://www.science.org/doi/abs/10.1126/science.1193147

mais si c'est pour garder un secret à l'abri de tous alors c'est bien crypté

C'est à dire ?

Pour moi la terminologie de cryptage reviendrait à chiffrer un fichier sans en connaître la clé et donc sans pouvoir le déchiffrer ensuite. Donc effectivement le secret serait bien à l'abri.

   On a trouvé un système de cryptage très évolué pour l'époque, le 16e siècle, et pas évident à casser
   Paul Zimmermann, directeur de recherche INRIA au LORIA (CNRS, INRIA, Université de Lorraine)

Je suis étonné qu'un directeur de recherche utilise le terme "cryptage". Même si il est utilisé en français en France (https://fr.wikipedia.org/wiki/Chiffrement#cite_note-2) à tord dans le langage courant.

Plus de détails (j'aime bien celui là !): https://chiffrer.info/

Sinon l'algo de chiffrement était plutôt malin !

Salut, cela fait écho à un CMS dont c’était (il me semble) le but : http://www.novius-os.org/fr/

Je n'ais par contre jamais essayé et le développement semble à l’arrêt :(

Pour moi la différence entre boundary et un bastion "traditionnel" c'est :
la délégation d'authentification et d’autorisation possible via OIDC et le contrôle d'accès à la cible. En effet une fois sur ton bastion tu as accès (d'un point de vue réseau) à toutes les ressources qui lui sont accessibles, ce qui n'est pas le cas pour boundary.

Je décrirais plutôt boundary comme un VPN point à point (machine cliente à ressources).

Ais-je une mauvaise vision des choses ?

effectivement, j'ai pas précisé, ton client au lieu de se connecter sur la target (qui n'est de toute façon pas accessible) tu se connecte en local (localhost) ou le client boundary à ouvert le tunnel. (un peut comme on le ferait avec un port forward en k8s si tu connais)

en gros simplifié :

[Application cliente] -localhost:xxx-> [client boundary] ==tunel==> [serveur boundary] --> [serveur cible]

en officiel si tu es au top :

Sinon, pour la partie keycloak, pense device flow si c'est possible plutôt que ressource owner password (grant_type=password) ça permettra de basculer sur des méthodes d'authentification utilisateur autre de login password voir même de la déléguer à d'autre IdP,…

Ça ne répond pas à la question, mais je suis en train de tester https://www.boundaryproject.io/ (hashicorp) couplé à un keycloak et il doit y avoir tout ce qu'il faut pour faire du ssh sans ouvrir le port sur internet et avec une authentification utilisateur OIDC (donc keycloak !).

Je n'ai pas fait de ssh dans mon cas, mais il est pas mal documenté.

Pour résumer, c'est un service (plusieurs) accessible en https qui après une authentification (local ou OIDC) permet d'ouvrir un tunnel vers une cible. Cela peut être couplé à vault (hashicorp) pour la gestion des secrets pour les authentifications des cibles.

La solution est encore jeune (très) et n'est, je pense, pas encore utilisable pour une grosse production, mais c'est une solution à suivre !

Après ce n'est peut-etre pas possible à installer chez ton prestataire ni assez stable pour votre cible.

Le 12h AM et PM est pas mal non plus au niveau des heures :

00:00 => 12:00 AM

12:00 => 12:00 PM

la première heure AM (ou PM) est donc 12 et la dernière le 11.
Dit autrement : la 12eme heure AM ou PM est en faite la première.

https://fr.wikipedia.org/wiki/Syst%C3%A8me_horaire_sur_12_heures#Confusion_entre_midi_et_minuit

Et pour les dates, les américains qui mette le mois avant le jour MM-DD-YYYY c'est pas mal non plus :D

Attention, le perso est facturé au mois pas à l'année :)

Oui, on est d'accords, mais dans tout tes cas la couleur le "sujet" est réellement ce cette couleur. Dans le cas de la liste c'est "conceptuel".

J'étais assez d'accord avec toi il y a quelque temps, mais en y réfléchissant je me suis poser des questions. Peut importe l'origine de ces expressions (probablement du blanc=jour=sécurité vs noir=nuit=danger dans le cas présent), aujourd'hui l'utilisation de ces expressions continue à nous façonner culturellement, nous et nos enfants. L'utilisation d'expression équivalemment plus neutre "peut" peut-être permettre de faire évoluer les mentalités en évitant des sophisme du genre "noir=danger, mon voisin et noir donc mon voisin=danger". Et si ce n'est pas le cas, d'avoir un nommage qui dit ce qui est sans pour préjudice pour personne (personne, projet,…).

Enfin ceci n'est que mon avis. Et je comprends les détracteurs, ça a été ma première réaction quand j'ai appris que beaucoup de projet (notamment libre) allaient changer certaine dénomination : pourquoi, c'est que des nom dans un contexte ! Mais les mots de tous les jours ont portée que je veuille ou non.

Mais peut-etre que je fais fausse route et qu'on est parti pour parler le novLangue d'ici 2084 si on continue !

Listes des numéros autorisés ou non (les couleurs ne sont pas censées être discriminantes, d'ailleurs la liste rouge est-elle toujours d’actualités ?)

:)

Bien vu, mais comme je vais sur la version française : https://time-planet.com/fr, je n'y ais vu que du feu.

A leur décharge, il me semble que le menu est tout tout récent et est donc probablement pas encore traduits (comme le reste de ce module d’ailleurs : https://time-planet.com/en/innovations ) Visiblement l’italien est en cours).

It's Time for the Planet !