Archives de l’étiquette : authentification

Le gouvernement du Canada revampe complètement le processus de connexion à ses services en ligne

Publié le par

Le gouvernement fédéral a finalement compris, après 10 ou 20 ans à faire les choses à l’ancienne, qu’émettre des codes d’usagers individuellement par ses divers ministères (sans vérification réelle d’identité ni renforcement) mène à un non-sens, dont en matière de cybersécurité. Oui, à compter de très prochainement, toutes les organisations et entreprises qui veulent interagir avec un ministère ou ses services en ligne devront le faire grâce à une nouveau dispositif.

L’OPIC (l’«Office de la propriété intellectuelle du Canada») donnait justement une formation à ce sujet la semaine dernière, pendant laquelle on nous a exposé l’arrivée du Canada en 2022, quant à la méthode que les usagers devront dorénavant utiliser pour se connecter aux services gouvernementaux, tels que ceux de l’OPIC.

Le nouveau système mettra au rancart le système ISED que les entreprises devaient jusqu’à maintenant utiliser pour se connecter.

Le gouvernement met notamment en place une nouvelle clé (la CléGC) pour chaque usager individuel, laquelle impliquera la vérification de l’identité et de l’existence réelle des individus qui prétendent se connecter à un service gouvernemental pour le compte d’une entreprise. Il va sans dire que chaque usager individuel devra aussi être autorisé pour agir pour une organisation. Ce n’était pas déjà le cas me demanderez-vous? Euh, non, en fait, pas réellement en tout cas. Jusqu’à maintenant, les entreprises se créaient des codes souvent uniques qui étaient utilisés par nombre d’employés ou de dirigeants, en les partageant ainsi sans réelle vérification de qui ils étaient.

Grâce à ce nouveau système, on éliminera donc à l’avenir l’utilisation et la réutilisation des codes d’usagers non-authentifiés. Finit l’époque où les usagers d’une firme de 20 personnes utilisaient tous le même code d’accès. Côté sécurité informatique, disons que c’est assez de base comme façon de fonctionner mais, bon, félicitation le Canada pou r y parvenir finalement.

Autre amélioration absolument normal à mettre en place en 2022, le système emploiera maintenant l’authentification à deux facteurs (2FA), aussi un concept que toute organisation un tant soit peu préoccupée par la cybersécurité devrait employer depuis longtemps. Bravo aussi pour celle-là, même si cela fait partie des pratiques normales ailleurs depuis déjà des années.

Il s’agit donc d’un pas dans la bonne direction, disons-le.

Bref, si votre organisation doit régulièrement interagir avec le gouvernement fédéral ou l’un de ses ministères, je vous recommande fortement d’y voir. D’ailleurs, les anciens codes d’usagers désuets deviendront bientôt obsolètes, incluant la possibilité de vous connecter à plusieurs par l’entremise d’un même compte. La mise en place débute le 28 mars prochain.

Transformation numérique et cartes d’identité: le projet en chantier au Québec

Publié le par

Le journal La Presse rapportait récemment les propos du ministre Éric Claire qui confirme que la province du Québec est à préparer un portefeuille numérique qui, dès ce printemps, pourrait permettre aux citoyens de prouver leur identité lorsque requis. Le système permettrait son chargement sur un téléphone cellulaire, par exemple.

L’idée, déjà en phase de déploiement ailleurs dans le monde, serait de mettre en œuvre un système permettant aux individus de prouver leur identité lorsqu’un fonctionnaire, les forces de l’ordre ou une entreprise quelconque leur demande de le faire. Le système viserait donc à remplacer les cartes physiques (comme le permis de conduire) que l’archaïque gouvernement du Québec nous force encore à trimbaler dans notre porte-monnaie.

Le système envisagé aurait aussi l’avantage de permettre de ne fournir aux commerçants, par exemple, que les renseignements qui s’avèrent réellement utiles à une transaction, par opposition au permis de conduire actuel, qui révèle des choses au marchand qu’on pourrait vouloir ne pas lui fournir. 

Il semble que le Québec espère pouvoir combiner la preuve d’identité au transactionnel, ce qui s’avère peut-être en fournir plus au client qu’il n’en demande, franchement. Selon moi, commençons par permettre d’authentifier les personnes de façon numérique, le reste suivra bien!

À voir maintenant combien de temps et pour quel coût notre gouvernement parviendra (ou pas) à déployer cette merveille annoncée.

Google en est à tester une fonctionnalité de logos vérifiés afin de valider l’identité des entreprises expéditrices de courriels à des comptes Gmail

Publié le par
Le site engadget révèle que Gmail comprendrait bientôt une fonctionnalité de logos vérifiée pour les entreprises qui désirent afficher leur logo «officiel» dans leurs communications légitimes expédiées à des comptes Gmail. On espère ainsi rendre la vie plus difficile aux faussaires de tous genres expédiant de faux messages prétendant provenir d’entreprises légitimes. (Forbes avait aussi un bon article à ce sujet récemment.) L’initiative ressemble au concept utilisé sur certains réseaux sociaux, par lequel on donne un indicateur visuel du fait qu’un compte duquel provient du contenu soit associé à un émetteur dont on a validé l’identité ou la légitimité. Le but de ce genre de dispositif s’avère notamment de réduire la possibilité de tentatives de fraude ou de faux messages, tels que ceux qui sont, par exemple, expédiés lors de tentatives d’hameçonnage. Comme l’explique l’article d’engadget, une fois le système en place, les entreprises légitimes pourront obtenir la validation (l’authentification) de leur logo officiel par Google, dont le système Gmail sera dès lors configuré (grâce au système d’authentification des expéditeurs DMARC) pour n’afficher cette version officielle que dans des courriels provenant réellement de l’entreprise en question. Le système réduirait ainsi les faux messages en permettant aux internautes de plus facilement identifier les courriels provenant effectivement de telle ou telle organisation, d’une façon conviviale et sans analyse technique. On comprend que, si le test pilote s’avère concluant et que le système est effectivement enclenché, le système fonctionnera grâce au contrôle qu’a Google sur le mode de livraison des courriels à ses usagers Gmail, permettant d’appliquer à tous les messages un filtre de validation avant de les livrer ou afficher à ses usagers. On comprend que, si le test pilote s’avère concluant et que le système est effectivement enclenché, le système fonctionnera grâce au contrôle qu’a Google sur le mode de livraison des courriels à ses usagers GMail, permettant d’appliquer à tous les messages un filtre de validation avant de les livrer ou afficher à ses usagers.