Comment rédiger un rapport de stage.

...

Pour dépasser cet anachronisme, plusieurs géants high-tech - dont Google, Paypal, Visa, Mastercard, Samsung et Microsoft - se sont mis ensemble pour imaginer une nouvelle façon de s’authentifier. Un premier résultat vient d’être publié hier, sous le nom très canin de « FIDO 1.0 » (Fast Identication Online). Cette nouvelle norme veut tirer parti des capacités biométriques de nos appareils pour soit faire disparaître l’étape du mot de passe (FIDO UAF), soit la compléter par un second facteur d’authentification (FIDO U2F).

du sujet et des objectifs du travail demandé:

Le sujet est divisé en 2 parties. Une partie est consacré à la réalisation du site authority attribute où l'utilisateur aura l'occasion d'utiliser le protocole UAF.

L'autre site sera un site de vente en ligne où le client pourra si il le souhaite faire des achats avec ou sans fido.

L'utilisateur dispose d'un dispositif FIDO avec le service d'autorisation client installé. Le site AA Web est un site permettant d'ajouter l'appareil de l'utilisateur avec FIDO. Cela activera donc FIDO dans le compte de l'utilisateur.

The UAF protocol allows online services to offer password-less and multi-factor security. The user registers their device to the online service by selecting a local authentication mechanism such as swiping a finger, looking at the camera, speaking into the mic, entering a PIN, etc. The UAF protocol allows the service to select which mechanisms are presented to the user.

Once registered, the user simply repeats the local authentication action whenever they need to authenticate to the service. The user no longer needs to enter their password when authenticating from that device. UAF also allows experiences that combine multiple authentication mechanisms such as fingerprint + PIN.

This document that you are reading describes the UAF reference architecture.

Contexte

Présentation détaillée du sujet

---------------------------------------------------------------

Démarche méthodologique

---------------------------------------------------------------

Description du travail à réaliser

Thématique du sujet

étude des différentes solutions techniques possibles, choix retenu, justification

réalisation, test

1)gd

Expliquer FIDO en détail

premiere semaine:

La première semaine fut consacrée à la découverte du sujet.

En effet le sujet du stage traite de la nouvelle implémentation fido apparu récemment.Fido signifie fast identification online. Il existe 2 spécifications de fido: uaf et u2f.

U2F authentification(universal second factor) est un standard utilisant une clé.

Cependant on ne va pas s'attarder sur ce standard mais nous allons parlé du standard UAF.

A premiere vue, ces deux standards semblent similaires mais nous allons voir qu'ils utilisent des techniques d'authentification différentes.

Mon travail durant cette première semaine fut de comprendre le principe de FIDO UAF, c'est-à-dire lire les spécifications fournies sur le site FIDO Alliance.

Ensuite je devais trouver une base de FIDOpour implémenter le projet que notre directeur de projet, David nous donna.

Je devais plus particulièrement m'occuper de trouver un serveur FIDO utilisant le standard UAF.

Mon collègue Arnaud s'occupait de la partie client. En effet, le client devait être implémenté en Android tandis que pour le serveur je pouvais choisir le langage le plus optimal selon mes choix.

A la base, mon tuteur me proposa d'implémenter le serveur en php car on avait trouvé pas mal de base sur github et aussi parce que j'avais plus de facilité avec php pour tout ce qui était web.

Cependant je ne trouva pas de base concluante. J'ai en effet trouver un serveur FIDO en PHP mais celui-ci était vraiment incomplet et il n'utilisait pas le standard exigé par notre directeur de projet, UAF mais le standard U2F. Cela aurait été donc problématique par la suite.

Un peu plus tard, mon collègue Arnaud qui s'occupait de la partie client me dit qu'ebay avait mis en opensource un projet FIDO utilisant le standard UAF. J'avais déjà vu ce projet lors de mes recherches et je l'avais mis en suspens car je m'étais focalisé sur le serveur FIDO en PHP.

Cependant la recherche d'un serveur en PHP ne fut concluante. En effet même si j'avais trouvé un serveur en PHP, celui-ci n'utilisait pas le bon standard donc il aurait fallu une partie conséquente du code pour l'adapter à nos besoins.

Je décidai donc de tester la version donnée en opensource par ebay.

Même si je suis assez à l'aise avec le logiciel eclipse, je vous avouerai que je n'étais pas serein à l'idée de faire du web en java.

En troisième année de licence, on nous a seulement donné les outils pour maîtriser le langage java.

C'est-à-dire que l'on a vu les bases, les collections et le swing.

L'univers J2EE était donc nouveau pour moi.

Pour "build" et démarrer le serveur sur eclipse, il a fallu faire pas mal de nouvelles choses.

Premièrement assimiler et comprendre comment utiliser un serveur sur eclipse et plus précisément en java.

Je devais ainsi me familiariser avec tomcat qui est un serveur d'applications Java. En effet notre application fido allait être démarrée à l'aide de tomcat.

Je devais aussi comprendre le fonctionnement des projets maven. En effet c'est la première fois que je découvrais ce genre de projet.

Maven