Entre l'attaque subie par Github la semaine dernière, et le hack de la chaîne TV5, la présentation que j'ai faite avec François Le Droff vendredi 10 avril, à Devoxx France, sur la Java et la Sécurité ne pouvait tomber plus à point nommée:
Mon comparse ayant déjà pris le temps de publier les slides, j'ai pensé qu'il serait pertinent d'ajouter un lien ici vers ces derniers, car, après tout, si il y a bien une caractéristique importante des produits Red Hat, et de la valeur ajoutée de leur abonnements, qu'il s'agit des produits d'infrastructures, tel que RHEL, ou du monde "middleware", comme JBoss EAP ou DataVirt, c'est bien l'attention portée à la sécurité.
En outre, il important de signaler que les différentes techniques d'authentification et d'autorisation présentées lors de la conférence - soit SAML et OAuth, pour justement assurer non seulement un accès sécurisé (avec une authentification forte, à deux étapes - 2 Factor Authentification), mais aussi une gestion fine des droits, peuvent être implémenté à l'aide des projets comme PicketLink (embarqué, entre autre dans JBoss EAP) ou sa plus récente incarnation, Keycloak.
Quelques liens utiles à ce sujet:
- SAML SSO avec Picketlink
- OAuth v2 client et serveur avec Picketlink
- Authentification forte, à deux étapes, avec Keycloak (Video)
Bien évidemment, la conférence couvre d'autres sujets, et même si SAML et OAuth en forment une partie conséquente, elles ne sont pas le coeur du propos. Néanmoins, un des messages fort de notre conférence, porté non seulement pas les récents évènements, mais aussi cet horrifiant récit d'un journaliste hacké, est qu'il est très largement temps de passer à une authentification forte, au moins pour tout les services qui le proposent.
Et si le hack de Mat Honan ne vous a pas convaincu, regarde un peu ce site, ce dernier devrait finir de vous convaincre que le temps de la guerre informatique est hélas arrivée !
Last updated: March 14, 2024