OpenID Kinect, un nouveau standard pour améliorer l’adoption du SSO par les utilisateurs

La fondation OpenID continue ses efforts pour démocratiser l’authentification unique (SSO – Single Single On) et après la sortie du protocole OpenID Connect, elle s’associe aujourd’hui à Microsoft pour travailler sur un nouveau standard : OpenID Kinect.

OpenID Kinect

La ludification de la sécurité

C’est un fait reconnu en informatique, la ludification des applications a permis une meilleure adoption de celles-ci par les utilisateurs finaux. Et pourquoi n’en serait-il pas de même avec la sécurité ?

C’est en substance ce que promeut Hilary Jone, directrice du programme « La sécurité est mon amie, il nous faut l’aimer aussi » de la fondation OpenID :

Avec l’adoption de la Kinect de Microsoft, de nouvelles perspectives s’ouvrent à nous et vont enfin permettre de s’affranchir des mots de passe en offrant une réelle alternative, bien plus crédible que la biométrie ou les jetons physiques.

En effet, l’innovation principale du protocole OpenID Kinect est la standardisation d’un mode d’authentification alternatif au classique couple identifiant/mot de passe, encore utilisé par les principaux fournisseurs d’identités OpenID Connect tels que Google par exemple.

Ainsi l’utilisateur, au lieu de saisir son mot de passe, pourra prouver son identité en effectuant une chorégraphie qu’il aura au préalable enregistrée sur son fournisseur d’identité.

Une extension du protocole OpenID Connect

Dans OpenID Connect, qui reposait déjà sur un autre standard (OAuth 2.0), la récupération des données de connexion de l’utilisateur était rendue possible par l’utilisation du mot-clé « openid » dans la liste des étendues (scope) transmises dans la requête authentification :

http://auth.example.com/oauth2/authorize?response_type=code&client_id=lemonldap&scope=openid%20profile%20email%2Fauth.example.com%2Foauth2.pl&redirect_uri=http%3A%2F%3Fopenidconnectcallback%3D1&state=ABCDEFGHIJKLMNOPQRSTUVWXX

Désormais, vous pourrez utiliser en plus le mot-clé « kinect » qui indiquera que vous souhaitez récupérer les données d’authentification générée par la Kinect de l’utilisateur. le mot-clé « kinect » devra être également précisé dans les classes d’authentification (acr_values) afin de forcer le fournisseur d’identité à activer le mode Kinect pour l’authentification.

Comme pour OpenID Connect, les informations spécifiques de la Kinect seront transmises au client OpenID Connect dans un JWT (JSON Web Token).

Un prototype en Perl

Bien que la sortie officielle de ce nouveau standard soit prévue en fin d’année, des premiers prototypes sont en cours, dont un en Perl, utilisant, c’est évident, le framework Dancer.

Une extension pour Samba est également en préparation.

Bientôt en France ?

FranceConnect est aujourd’hui en ligne et permet grâce au protocole OpenID Connect de simplifier l’accès aux services en lignes de l’administration pour les citoyens. On peut par exemple accéder au site Service Public ou consulter son solde de points du permis de conduire en passant par cette nouvelle plate-forme d’authentification.

Mais demain, aura-t-on accès à un FranceKinect? On espère que l’État Français saura s’adapter à ce nouveau protocole et proposera cette facilité dans un nouvelle version de sa plate-forme.

OpenID Kinect Sport

Les perspectives sont ensuite infinies : stage de récupération de points de permis via une simulation de course automobile, démarches administratives dématérialisées dans Les Sims (vous pourrez laisser votre avatar faire la file d’attente à votre place !), ou encore cours de sport depuis chez soi (sans limite de nombre d’inscrits).

Bref, un petit pas de danse pour l’homme, mais un grand pas de danse pour l’humanité.

Une fin de semaine intense pour Ring

Depuis quelques mois, Ring – un logiciel libre sous licence GPLv3 – crée une vive effervescence dans le monde du logiciel libre, des hackers et de la cybersécurité, bien qu’il est seulement en version bêta. Plusieurs opérateurs Internet et industriels des télécommunications, et même l’industrie du développement durable, commencent à s’y intéresser de près.

Présenté en plénière au FOSDEM 2016 à Bruxelles il y a quelques semaines, il constituera l’événement de ce week-end simultanément à la conférence FOSSASIA de Singapour et surtout à la conférence LibrePlanet de Boston organisée par la célèbre Free Software Foundation qui fêtera son 30ème anniversaire.

cyrille-beraudÀ cette occasion, Cyrille Béraud, le Président de Savoir-faire Linux, nous présente plus en détail Ring, pour mieux comprendre ce qu’est ce logiciel libre et pourquoi, comme le murmurent déjà plusieurs spécialistes, ce logiciel pourrait constituer un jalon dans l’histoire de l’Internet.

Pouvez-vous nous expliquer exactement ce qu’est Ring ?

D’abord je voudrais dire que Ring est un logiciel libre, c’est donc un bien commun. D’un point de vue fonctionnel, le grand public le découvrira comme une sorte de Skype ou de Hangout.

Ring permet d’établir une communication chiffrée vidéo, audio, texte de très haute qualité entre deux ou plusieurs personnes où qu’elles soient dans le monde. Il est disponible pour les plate-formes Linux, Windows, Mac/OSX, Android et d’ici quelques mois sur iOS. Il est distribué avec les sources sous licence GPLv3.

Ring-AndroidPhone

Cependant, je voudrais porter une attention particulière sur le fait que Ring est encore un logiciel jeune, qui reste fragile et qui dans de nombreuses situations fonctionnera de manière imparfaite, voire pas du tout. Ceci étant dit, il s’améliore chaque jour et, dans un environnement standard et pour un usage domestique, il fonctionne déjà très bien.

Mais qu’est-ce qui distingue Ring d’autres logiciels qui ont la même fonctionnalité ?

Ring permet d’établir une communication point à point sans passer par un serveur central. C’est l’élément déterminant. Ring est d’abord une plateforme de communication distribuée. Plus besoin d’opérateurs, ni de serveurs à gérer, plus de coûts associés à chacun de nos appels et surtout Ring offre beaucoup de liberté et de sécurité. Dans un contexte professionnel, c’est déjà une flexibilité et des économies importantes pour de très nombreuses entreprises. Pour tous, c’est la possibilité de communiquer librement et gratuitement où que l’on soit, en toute sécurité.

Techniquement, nous nous sommes appuyés sur des technologies déjà bien éprouvées : ffmpg/libav, GnuTLS, pjsip, etc. Mais concernant l’innovation au cœur de Ring, nous avons utilisé le concept des DHT, Distributed Hash Tables. Pour cela, nous avons développé notre propre librairie, OpenDHT, disponible sur github, en introduisant des innovations importantes qui, conjointement avec les protocoles ICE et SIP, permettent de traverser les routeurs et les pare-feux, de localiser, d’une manière certaine, un utilisateur ou un équipement, même s’il se trouve dans un réseau privé, et d’établir, si l’on possède l’identifiant de son interlocuteur, un canal de communication hautement sécurisé et en temps réel, de n’importe où dans le monde.

reseau-papineauDe part cette propriété et du fait que Ring utilise des standards ouverts et reconnus, cette plateforme permet d’esquisser un véritable système universel de communication non-hiérarchique sur Internet, en permettant non seulement une communication entre deux personnes, mais plus généralement, entre deux ou une multitude d’objets sur Internet.

De ce point de vue, les innovations que nous avons mises à disposition à travers Ring, ouvrent de nombreuses possibilités et applications industrielles ou grand public. Nous avons déjà dans notre laboratoire, plusieurs prototypes basés sur des plateformes embarquées très légères qui, à partir de Ring, s’interconnectent avec des systèmes domotiques ou des systèmes d’acquisition de données. C’est assez spectaculaire et très prometteur.

Pour compléter ce tour d’horizon, il faut indiquer aussi que Ring fonctionne en mode dégradé et même complètement coupé d’Internet. Imaginez un village isolé en Afrique ou en Inde avec une connexion fragile. En cas de coupure d’accès à Internet, le système distribué de Ring se rétracte sur les nœuds qu’il peut contacter et continue de fonctionner. Dans l’exemple du village coupé du monde, les habitants peuvent continuer à communiquer entre eux. Ring, de ce point vue, peut participer à un développement durable et contribuer au développement de l’économie et de la démocratie de pays ayant des infrastructures de communication peu développées.

Vous voyez, Ring a beaucoup de potentiel ! Et pour rendre Ring et les technologies sous-jacentes disponibles au plus grand nombre, pour permettre à chacun à travers le monde d’inventer leur propre usage de Ring, il fallait que ce soit un logiciel libre.

Y-a-t-il un modèle économique derrière Ring et pouvez-vous en deux mots, nous parler de Savoir-faire Linux ?

Bien sûr qu’il y a un modèle économique derrière Ring ! C’est celui du logiciel libre. Nous créons des valeurs d’usage que nous rendons disponibles gratuitement à tous. Ces valeurs d’usage créent une économie de services. Cette économie, ouverte et concurrentielle, crée beaucoup de valeurs et bien sûr, dans le cas de Ring, Savoir-faire Linux y aura sa place.

Cette économie est basée sur le partage et la collaboration. C’est le modèle d’affaire de Savoir-faire Linux. Il s’oppose à l’économie de rentes et à la captation de richesses par un petit nombre.

Pour compléter, Savoir-faire Linux est une entreprise de services canadienne basée à Montréal, avec des équipes à Québec et Toronto mais également en France à Paris. Nous avons également une présence en Côte d’Ivoire, à travers un partenaire.

Avec nos 110 ingénieurs, tous de très haut niveau et tous spécialisés dans les technologies ouvertes, nous sommes présents dans le domaine de la défense et de l’électronique embarquée, dans le secteur bancaire, avec notre client Desjardins ainsi que dans le secteur de l’assurance, de l’ingénierie logicielle avec l’Agence Spatiale Canadienne, de l’informatique de gestion avec l’Organisation Internationale de la Francophonie et nous fournissons de nombreuses entreprises locales.

Nous avons aussi, et c’est essentiel pour nous, nouer des liens étroits avec les acteurs mondiaux du logiciel libre. Je pense notamment à la Linux Foundation, dont nous distribuons les formations et à nos partenaires éditeurs Open Source, comme RedHat ou Liferay. Nous avons aussi de nombreuses contributions dans des projets libres, comme le noyau Linux.

Voilà, en résumé ce qu’est Savoir-faire Linux. Savoir-faire Linux, c’est l’ambition de créer de la richesse avec des valeurs. Nous n’y arrivons pas toujours. Mais chaque jour, depuis plus de 15 ans, nous remettons l’étoffe sur le métier avec ces deux passions qui nous habitent : la liberté et l’excellence.

Sortie de LemonLDAP::NG 1.9

Ce billet a été publié à l’origine sur LinuxFR

LemonLDAP::NG est un logiciel libre d’authentification unique (SSO), contrôle d’accès et fédération d’identités. La version 1.9.0 a été publiée le 2 mars 2016.

LemonLDAP::NG

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d’administration et la compatibilité Nginx.

Présentation des nouveautés

OpenID Connect

OpenID Connect est un nouveau protocole de SSO porté par la fondation OpenID et basé sur le framework OAuth 2.0. Ce standard est adopté par de nombreux acteurs, comme par exemple Google qui l’utilise pour son authentification en remplacement de OpenID 2.0. L’État Français a lui aussi fait le choix de OpenID Connect pour sa nouvelle plate-forme France Connect.

Il est donc désormais possible d’utiliser LemonLDAP::NG pour s’authentifier sur ces services :

En plus du rôle de client (Relying Party), LemonLDAP::NG a aussi le rôle de serveur (OpenID Provider) ce qui lui permet d’authentifier toute application compatible avec ce protocole.

Interface d’administration

L’interface d’administration, appelée aussi Manager, a été réécrite avec AngularJS afin d’améliorer son ergonomie et son utilisation. Pour les habitués des précédentes versions, sachez que désormais vous n’aurez plus à cliquer sur « Appliquer » à chaque changement de valeur, et que vous pourrez éditer tous les en-têtes ou toutes les règles dans un seul écran.

Manager LemonLDAP::NG

Cette nouvelle interface permet la navigation entre les différentes versions de la configuration, l’import/export de configuration (au format JSON), la duplication d’hôte virtuels.

L’interface propose aussi toujours un explorateur de sessions, avec comme nouveauté la possibilité de parcourir les sessions persistantes (sessions conservées entre chaque connexion d’un utilisateur). Le gestionnaire de notification est aussi présent, au même niveau fonctionnel que dans les précédentes versions.

Support Nginx

Bonne nouvelle pour les réfractaires à Apache, la réécriture du code du Handler (agent assurant la protection des applications) passant par l’implémentation d’une API a permis d’offir un support FastCGI. Un petit serveur FastCGI est désormais livré avec LemonLDAP::NG (paquet lemonldap-ng-fastcgi-server) et permet de contacter le portail, le Manager et le Handler depuis Nginx.

Attributs CAS

Le serveur CAS de LemonLDAP::NG implémentait jusqu’à présent les versions 1.0 et 2.0. Désormais, une partie du protocole CAS 3.0 est pris en charge avec la possibilité de partager des attributs dans les réponses de validation CAS. Cela permet en particulier d’utiliser l’API PHP-CAS et sa fonction getAttributes().

MongoDB

MongoDB est utilisable pour le stockage des configurations et des sessions. Il s’ajoute à la liste des nombreux backends disponibles : Fichiers (JSON), DBI (MySQL, PgSQL, SQLite, …), LDAP, Redis.

Mettre à jour sa version

L’utilisation de fonctionnalités récentes de Perl contraint à restreindre les systèmes sur lesquels cette nouvelle version peut être installée. En particulier CentOS 5 et CentOS 6 ne sont pas utilisables.

D’autres changements techniques importants ont eu lieu et il est préférable d’avoir bien pris connaissances des notes de mise à jour avant de se lancer.

Enfin, nous espérons que cette nouvelle version apportera bonheur et prospérité à votre système d’information. Si vous êtes un utilisateur satisfait, vous pouvez le dire sur OpenHub et également faire partie de nos références.

Ring, maintenant en version Bêta

RingRing s’améliore sans cesse pour offrir le meilleur de la communication. Testez la version Papineau dès maintenant! Plus pratique, plus stable et plus simple, cette Bêta offre de nouvelles fonctions, notamment grâce à l’appui de la communauté.

Plus pratique, plus stable et plus simple

Ring a beaucoup évolué ces derniers mois. L’équipe de Savoir-faire Linux a résolu des centaines de bogues et amélioré la robustesse de l’ensemble. Pour cette version Bêta, elle a ajouté de nouvelles fonctions – comme les appels vidéo de groupe et le clavardage hors appel. Elle a aussi développé une version de Ring pour Android et optimisé la qualité vidéo.

L’appui de la communauté

Ring est un projet qui reçoit le soutien de contributeurs du monde entier, notamment pour la traduction de son interface. À travers la plateforme collaborative Transifex, chacun peut proposer des extraits dans sa langue. Ring est ainsi disponible en français, anglais, allemand, espagnol, portugais, russe, ukrainien, arabe et, partiellement, en lithuanien et esperanto.

L’amélioration continue de Ring n’est pas seulement le fait de contributeurs bilingues ou de son équipe. Le projet évolue avec les commentaires des utilisateurs. Et, il grandit avec le support de développeurs ou étudiants. Par exemple, des recherches menées par l’Université du Québec à Montréal ont rendu possible la mise en place du clavardage hors appel.

ring-reseau

Si cette version Bêta propose les fonctions clés de Ring, l’équipe de savoir-faire Linux est en route vers de nouveaux défis. Elle va continuer à travailler sur la robustesse et à perfectionner les interfaces. Elle va aussi chercher à permettre le transfert sécurisé de fichiers et l’indexation des contacts.

Si vous souhaitez intégrer la communauté Ring, rejoignez-nous! Vous pouvez participer de diverses façons.

SVG Summit 2016: plein feu sur le format vectoriel ouvert SVG

Affiche Web du SVG Summit 2016Le SVG est une bibite rare! À la fois code et image, il peut être léger (comme le logo de Google dont une variante mobile ne pèse que 305 bytes!) mais aussi très chargé, soit plusieurs Mo. Il peut être interactif ou statique et n’a pas de résolution fixe. On peut le visionner dans un navigateur ou dans un logiciel graphique… On en vient à se demander ce que ça mange en hiver!

En janvier dernier, pour en savoir plus, j’ai assisté à la toute première conférence en ligne sur le sujet, organisé par Environments for Humans  : Le SVG Summit 2016. La liste des présentateurs était un heureux mélange d’illustrateurs, d’animateurs et d’intégrateurs. Ils ont tous parlé de l’usage qu’ils font du SVG dans le cadre de leurs pratiques respectives.

▶ Suite : Introduction au SVG


Conclusion

Après 15 ans d’existence, le SVG reçoit enfin l’attention qu’il mérite. L’avenir de cette technologie aujourd’hui implémentée dans tous les navigateurs modernes est prometteur. Elle continuera de nous en mettre plein la vue dans les années à venir.