A presentation delivered to members of the community in Petersburg, AK on 21 February 2019. A video of the presentation can be viewed at the following URL: https://youtu.be/Pv2aucHXOg4
2018-11-06 Cultivating a Culture of Cybersafety -- Secondary EditionFrederick Lane
A presentation delivered to secondary school educators, staff, and administrators of the Grayson County Schools in Leitchfield, KY on November 6, 2018.
Identity fraud is a growing problem that costs societies billions each year. Traditional identity verification methods rely on trained agents but new technologies are aiming to automate the process using AI and computer vision. One company, Ubble, has developed an identity verification system using video streaming, computer vision, and AI to automatically verify identities in a way that is easy to use, secure, scalable, and universal without the need for an in-person agent.
This document summarizes key points about OAuth 2.0 usage from a presentation on properly using OAuth2. It discusses:
1) OAuth 2.0 authorization flows like implicit, authorization code, and refresh token and recommends always using the authorization code flow.
2) Best practices like using HTTPS, securing client credentials, and using limited scope access tokens.
3) Validating and storing access tokens securely, such as using the "Authorization: Bearer" header, introspection, and short-lived tokens.
4) Specific guidance for mobile and web clients, emphasizing public clients with PKCE to prevent injection attacks.
5) Future draft specifications around OAuth 2.0 security best practices.
This document summarizes a talk on FIDO2/WebAuthn standards for strong authentication. It provides a history of the FIDO Alliance and their specifications. It describes the key aspects of FIDO2, including bound authenticators that can only be used on a single device. It outlines how WebAuthn allows strong authentication through public/private key cryptography without credentials leaving the authenticator device. The benefits are strong authentication on many platforms, ease of integration for developers, and a better security and user experience compared to passwords. Diagrams demonstrate the registration and authentication flows using public/private key techniques.
The document discusses OAuth2 and how it has helped address the "password anti-pattern" by enabling constrained delegation to apps. It describes the typical OAuth2 flow involving an authorization server, resource server, resource owner, and client. It warns that OAuth tokens should not be used for authentication, and discusses how Facebook's data breach occurred when an OAuth token was stolen and used to access private data under another user's identity. The document recommends doing OAuth2 securely by using ID tokens for user authentication rather than data access tokens, practicing data and privilege minimization, and using techniques like audience restrictions and PKCE.
A presentation delivered to members of the community in Petersburg, AK on 21 February 2019. A video of the presentation can be viewed at the following URL: https://youtu.be/Pv2aucHXOg4
2018-11-06 Cultivating a Culture of Cybersafety -- Secondary EditionFrederick Lane
A presentation delivered to secondary school educators, staff, and administrators of the Grayson County Schools in Leitchfield, KY on November 6, 2018.
Identity fraud is a growing problem that costs societies billions each year. Traditional identity verification methods rely on trained agents but new technologies are aiming to automate the process using AI and computer vision. One company, Ubble, has developed an identity verification system using video streaming, computer vision, and AI to automatically verify identities in a way that is easy to use, secure, scalable, and universal without the need for an in-person agent.
This document summarizes key points about OAuth 2.0 usage from a presentation on properly using OAuth2. It discusses:
1) OAuth 2.0 authorization flows like implicit, authorization code, and refresh token and recommends always using the authorization code flow.
2) Best practices like using HTTPS, securing client credentials, and using limited scope access tokens.
3) Validating and storing access tokens securely, such as using the "Authorization: Bearer" header, introspection, and short-lived tokens.
4) Specific guidance for mobile and web clients, emphasizing public clients with PKCE to prevent injection attacks.
5) Future draft specifications around OAuth 2.0 security best practices.
This document summarizes a talk on FIDO2/WebAuthn standards for strong authentication. It provides a history of the FIDO Alliance and their specifications. It describes the key aspects of FIDO2, including bound authenticators that can only be used on a single device. It outlines how WebAuthn allows strong authentication through public/private key cryptography without credentials leaving the authenticator device. The benefits are strong authentication on many platforms, ease of integration for developers, and a better security and user experience compared to passwords. Diagrams demonstrate the registration and authentication flows using public/private key techniques.
The document discusses OAuth2 and how it has helped address the "password anti-pattern" by enabling constrained delegation to apps. It describes the typical OAuth2 flow involving an authorization server, resource server, resource owner, and client. It warns that OAuth tokens should not be used for authentication, and discusses how Facebook's data breach occurred when an OAuth token was stolen and used to access private data under another user's identity. The document recommends doing OAuth2 securely by using ID tokens for user authentication rather than data access tokens, practicing data and privilege minimization, and using techniques like audience restrictions and PKCE.
The document discusses improving authentication by addressing current problems like poor customer experience, fraud, and lack of customer insight. It proposes intelligent authentication as a solution, which would orchestrate multiple authentication factors and signals based on context, behavior, risk, user choice, and analytics. This could strengthen security, improve customer engagement through more personalized experiences, and provide deeper customer insights through analytics. The solution aims to provide more flexible authentication processing, better user experiences, increased security through more signals, simpler integrations, and future-proofing for passwordless authentication.
This document discusses microservices and identity management. It begins with an introduction to microservices architecture, including the benefits of independent deployment and scaling of services, but also challenges around distributed systems and security. It then addresses how to provide end-to-end identity and security across microservices, through approaches like token validation, token delegation between services, and using a security token service. The goal is to enable authentication, authorization and session management in microservices applications.
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Leonard Moustacchis
Présentation des enjeux de la GDPR par l'examen de quelques articles.
Exemple client IoT / voiture connectée
Alain Barbier ForgeRock
Léonard Moustacchis ForgeRock
This document discusses digital identity in connected cars. It notes that digital identity is everywhere in connected cars, including for owners, drivers, mechanics, sensors, devices, and vehicles. It discusses establishing trust and assurance through credentials and authentication, as well as authorization. The document also addresses challenges around privacy and consent with large amounts of car data being generated and shared, and demonstrates how an AGL initiative can securely communicate identities and data.
The document discusses DevOps at ForgeRock. It outlines the pillars of DevOps including automation, communication, monitoring and collaboration. It also discusses ForgeRock's focus on making their products stateless and container friendly to support infrastructure as code. The document demonstrates using tools like Ansible and Kubernetes to deploy and manage ForgeRock identity platforms in a DevOps way.
This document discusses the General Data Protection Regulation (GDPR) which goes into effect in May 2018. It covers key aspects of GDPR such as the requirements for consent, privacy impact assessments, security measures, and the penalties for noncompliance. ForgeRock is presented as a solution that can help organizations meet GDPR requirements through features that support open banking, PSD2, strong customer authentication, secure data storage, API security, and user-managed access and consent.
FIDO aims to replace passwords with open authentication standards. It defines specifications for authenticators like security keys and fingerprints to verify users during the login process. The FIDO Alliance has over 250 member companies working to develop specifications like UAF, U2F, and the upcoming FIDO 2.0, and ensure interoperability between implementations. FIDO authentications use public key cryptography to authenticate users locally on their devices and then with online services, without exposing any secrets that could be used by third parties or across multiple accounts.
Identity Tech Talk France #2
https://www.meetup.com/fr-FR/Identity-Tech-Talks-France/events/235961264/
Monthly meeting in Paris: come, listen, participate and share!
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Leonard Moustacchis
OpenID Connect (OIDC) is an authentication standard built on OAuth2 that allows users to log into applications and websites using their existing digital identities. OIDC supports single sign-on using identity providers like Google to authenticate users, who can then access multiple applications without having to log in separately to each one. The document discusses the OIDC authorization code flow, where users are redirected to an identity provider to authenticate, then given an authorization code to access tokens that can be used to retrieve user information and access protected resources. It also describes how FranceConnect uses OIDC and an identity hub to enable single sign-on access to public services using existing identities from identity providers like Google.
The document discusses ForgeRock's identity platform and its role in securing IoT devices and enabling digital transformation. It highlights identity as a key enabler of IoT and describes ForgeRock's capabilities in securing connections between people, devices, services and data across various IoT platforms and industries. Examples of use cases covered include health/fitness, smart homes, smart cities, and utilities/industrial applications.
L’identité numérique : un atout incontournable pour construire une relation c...Leonard Moustacchis
Atelier roomn 10/03/2016
La confiance devient un élément central dans la relation entre les clients et les marques, notamment pour tout ce qui concerne la fidélisation. Quelles sont les contraintes et les solutions pour élaborer un écosystème d'identité numérique évolutif, flexible et sécurisé ?
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
The document discusses improving authentication by addressing current problems like poor customer experience, fraud, and lack of customer insight. It proposes intelligent authentication as a solution, which would orchestrate multiple authentication factors and signals based on context, behavior, risk, user choice, and analytics. This could strengthen security, improve customer engagement through more personalized experiences, and provide deeper customer insights through analytics. The solution aims to provide more flexible authentication processing, better user experiences, increased security through more signals, simpler integrations, and future-proofing for passwordless authentication.
This document discusses microservices and identity management. It begins with an introduction to microservices architecture, including the benefits of independent deployment and scaling of services, but also challenges around distributed systems and security. It then addresses how to provide end-to-end identity and security across microservices, through approaches like token validation, token delegation between services, and using a security token service. The goal is to enable authentication, authorization and session management in microservices applications.
Évènement 01 Business - GDPR, confiance et confidentialité des données, défi ...Leonard Moustacchis
Présentation des enjeux de la GDPR par l'examen de quelques articles.
Exemple client IoT / voiture connectée
Alain Barbier ForgeRock
Léonard Moustacchis ForgeRock
This document discusses digital identity in connected cars. It notes that digital identity is everywhere in connected cars, including for owners, drivers, mechanics, sensors, devices, and vehicles. It discusses establishing trust and assurance through credentials and authentication, as well as authorization. The document also addresses challenges around privacy and consent with large amounts of car data being generated and shared, and demonstrates how an AGL initiative can securely communicate identities and data.
The document discusses DevOps at ForgeRock. It outlines the pillars of DevOps including automation, communication, monitoring and collaboration. It also discusses ForgeRock's focus on making their products stateless and container friendly to support infrastructure as code. The document demonstrates using tools like Ansible and Kubernetes to deploy and manage ForgeRock identity platforms in a DevOps way.
This document discusses the General Data Protection Regulation (GDPR) which goes into effect in May 2018. It covers key aspects of GDPR such as the requirements for consent, privacy impact assessments, security measures, and the penalties for noncompliance. ForgeRock is presented as a solution that can help organizations meet GDPR requirements through features that support open banking, PSD2, strong customer authentication, secure data storage, API security, and user-managed access and consent.
FIDO aims to replace passwords with open authentication standards. It defines specifications for authenticators like security keys and fingerprints to verify users during the login process. The FIDO Alliance has over 250 member companies working to develop specifications like UAF, U2F, and the upcoming FIDO 2.0, and ensure interoperability between implementations. FIDO authentications use public key cryptography to authenticate users locally on their devices and then with online services, without exposing any secrets that could be used by third parties or across multiple accounts.
Identity Tech Talk France #2
https://www.meetup.com/fr-FR/Identity-Tech-Talks-France/events/235961264/
Monthly meeting in Paris: come, listen, participate and share!
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Leonard Moustacchis
OpenID Connect (OIDC) is an authentication standard built on OAuth2 that allows users to log into applications and websites using their existing digital identities. OIDC supports single sign-on using identity providers like Google to authenticate users, who can then access multiple applications without having to log in separately to each one. The document discusses the OIDC authorization code flow, where users are redirected to an identity provider to authenticate, then given an authorization code to access tokens that can be used to retrieve user information and access protected resources. It also describes how FranceConnect uses OIDC and an identity hub to enable single sign-on access to public services using existing identities from identity providers like Google.
The document discusses ForgeRock's identity platform and its role in securing IoT devices and enabling digital transformation. It highlights identity as a key enabler of IoT and describes ForgeRock's capabilities in securing connections between people, devices, services and data across various IoT platforms and industries. Examples of use cases covered include health/fitness, smart homes, smart cities, and utilities/industrial applications.
L’identité numérique : un atout incontournable pour construire une relation c...Leonard Moustacchis
Atelier roomn 10/03/2016
La confiance devient un élément central dans la relation entre les clients et les marques, notamment pour tout ce qui concerne la fidélisation. Quelles sont les contraintes et les solutions pour élaborer un écosystème d'identité numérique évolutif, flexible et sécurisé ?
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!