Repenser l'authentification et la sécurité biométrique, la méthode Toptal

Toptal est un vaste réseau de talents technologiques et nous disposons actuellement de la plus grande main-d'œuvre distribuée de l'industrie. C'est une source de fierté pour de nombreux Toptalers, en particulier notre équipe de développement qui travaille dur. Pourquoi? Parce que nous le rendons si facile et transparent, et nous le faisons tous les jours. Alors qu'une entreprise technologique traditionnelle doit nécessairement disposer d'une vaste infrastructure (beaucoup d'espace de bureau, de serveurs, d'équipements standardisés, de ressources physiques et de cybersécurité abondantes, etc.), ce n'est pas le cas.

Nous nous appuyons sur des technologies et des services prêts à l'emploi. Les entreprises traditionnelles ont du mal à faire face à un petit nombre d'utilisateurs BYOD, mais ici chez Toptal, tout notre matériel est BYOD . Le problème avec notre approche indépendante de la plate-forme et la dépendance à un réseau distribué est évident : comment pouvons-nous assurer et maintenir la sécurité ?

Cela n'a jamais été facile, mais nous aimons les bons défis et nous aimons garder une longueur d'avance. C'est pourquoi nous avons commencé l'année dernière à concevoir plusieurs procédures d'authentification et d'intégration. Nous avons utilisé le premier trimestre de 2016 pour les essais et les pilotes, et ils étaient encourageants. En conséquence, nous avons décidé d'annoncer les résultats de nos essais et de dévoiler nos plans de déploiement.

D'ici la fin du troisième trimestre, tous les Toptalers seront familiarisés avec nos nouvelles solutions et, si tout se passe bien, ils commenceront à les utiliser d'ici la fin de l'année.

Le défi

Comment s'assurer que toutes les personnes connectées à notre réseau sont bien celles qu'elles prétendent être ? La plupart des membres de notre équipe ne se sont jamais rencontrés dans la vraie vie, pourtant ils collaborent au quotidien. Que faire si la sécurité de quelqu'un a été compromise ? Ou, que se passe-t-il si un membre mécontent décide de saper le réseau ?

Nous avons opté pour une double approche pour répondre à ces préoccupations :

• Y compris un ensemble de tests de fiabilité personnels à notre processus de sélection.
• Introduction d'une nouvelle couche de sécurité biométrique.

Quel genre de tests instituerons-nous? Notre approche s'inspire du Programme de fiabilité du personnel (PRP), créé par le département américain de la Défense. Le programme est conçu pour identifier le personnel avec le plus haut degré de fiabilité, en tenant compte de sa conduite antérieure, de sa fiabilité, de son comportement et de son allégeance. La conformité au PRP sera évaluée en permanence par notre nouvelle division de la sécurité intérieure (ISD), composée de vétérans du renseignement militaire d'Israël et de Bosnie.

L'accès à la plateforme sera limité aux personnes qui répondent aux critères stricts du PRP, cependant, le non-respect de ces normes ne sera pas un motif de licenciement ou de rétrogradation. Cela reflétera simplement le manque d'aptitude de l'individu à certains rôles, limitant son accès à des informations confidentielles.

Pour assurer une conformité continue, chaque membre de Toptal devra signer un nouvel accord de non-divulgation et se soumettre à une évaluation. L'accord comprendra des dispositions couvrant le traitement des informations confidentielles et définira un ensemble de sanctions pour les personnes en violation dudit accord.

Étant donné que nous sommes un réseau distribué, nous comptons également sur les commentaires de nos membres. Nos rapports mensuels TopTeam existants seront étendus pour inclure un questionnaire de fiabilité personnel. En d'autres termes, chaque membre du réseau pourra signaler des collègues ou des comportements suspects via un formulaire d'évaluation anonyme.

Le lieutenant-colonel David Finci, chef de la division de la sécurité intérieure de Toptal, explique la décision d'inclure des "informations" anonymes :

Notre objectif n'est pas d'encourager la dissidence et de créer des frictions entre les membres de l'équipe, mais nous sommes convaincus que cela est essentiel pour assurer la fiabilité personnelle. Nous devons permettre aux membres du réseau de scruter les performances professionnelles et l'intégrité personnelle de leurs collègues. Sinon, notre capacité à trouver des informations exploitables et urgentes serait compromise.

Les membres du réseau avec une autorisation PRP complète recevront des jetons de sécurité et des tampons à usage unique pour assurer le cryptage si l'intégrité de notre réseau est compromise. Ils recevront également des cartes d'identité comportant un code QR et/ou un code-barres à scanner.

L'utilisation de ces mesures de sécurité sera obligatoire et la perte ou le vol de cartes d'identité sera pris au sérieux. Heureusement, ces cartes seront une solution provisoire et seront supprimées dès que notre nouvelle plate-forme de sécurité sera jugée prête. Nous prévoyons une sortie début 2017.

Biométrie : mariage imparfait de convenance

Nous avons commencé à expérimenter la sécurité quasi-biométrique l'année dernière, tout à fait par accident. Après qu'un Toptaler ait décidé de tatouer notre logo sur son bras, nous avons réalisé que cette approche pouvait être utilisée pour les codes QR. Personne ne veut transporter une autre carte dans son portefeuille, et les codes QR sont relativement petits et peuvent donc être facilement tatoués ou même gravés sur les ongles.

Vous vous demandez peut-être si nous sommes sérieux ou non, et la réponse est évidemment non . Cependant, le tatouage de Graham nous a donné une bonne idée : pourquoi ne pas utiliser la technologie biométrique, soutenue par des solutions de suivi prêtes à l'emploi ?

Nous nous dirigeons déjà vers un avenir sans mot de passe, et Toptal veut être à la pointe. Pourquoi surcharger les gens avec des mots de passe, des codes QR idiots, une authentification à deux facteurs ou des jetons de sécurité, si nous pouvons assurer une sécurité supérieure sans aucun d'entre eux ?

Il y a eu des tentatives dans ce sens auparavant, en utilisant des technologies personnelles telles que les smartphones et les scanners d'empreintes digitales, mais ces techniques ne sont pas à l'épreuve des balles. (Dans le cas des scanners d'empreintes digitales pour smartphones, ils peuvent être battus par une simple imprimante à jet d'encre ou un couteau.)

En outre, l'utilisation de smartphones pour l'authentification ouvre une boîte de Pandore d'autres problèmes.

Bluetooth LE : Rendre la sécurité personnelle à l'épreuve des balles et transparente

Un téléphone perdu est une recette pour un désastre, et avec tout le respect que je dois à toutes les technologies antivol et anti-perte disponibles, une grande partie ne fonctionne pas bien ou nécessite l'intervention de l'utilisateur pour faire sa magie. D'ailleurs, pourquoi se fier uniquement aux smartphones quand on a besoin d'authentifier les gens sur leur matériel bureautique ?

Un téléphone perdu est appelé un téléphone perdu pour une raison, car l'utilisateur ne sait pas qu'il est perdu pour commencer. Si vous vous réveillez et réalisez que vous avez perdu votre téléphone la nuit dernière, il est trop tard. Cela dit, si vous avez l'habitude de vous réveiller dans des endroits étranges sans votre téléphone ou sans aucun souvenir de la nuit précédente, vous devez également être à l'affût d'un vol de rein.

C'est là que ça devient intéressant. Les jetons de sécurité et les dongles fonctionnent, mais ils sont pénibles à transporter et ils ont l'habitude de se perdre au pire moment possible. C'est pourquoi nous avons prévu que nos cartes d'identité soient une mesure temporaire, active seulement pendant 9 mois environ. Nous avons l'intention de les remplacer par des appareils Bluetooth portables et peu coûteux.

Oui, les Toptalers seront tenus de les porter sur eux à tout moment, mais cela ne posera pas de problème. Bluetooth LE est une technologie qui tue, du moins en termes de consommation d'énergie, et ces appareils peuvent être sécurisés avec une relative facilité, offrant une nouvelle couche d'authentification (nous ne pouvons pas discuter des détails en raison des restrictions NDA).

Nous avons d'abord essayé un certain nombre de trackers de fitness et d'étiquettes anti-perte bon marché pour prouver que notre approche était réalisable. Cela a fonctionné, mais ces appareils prêts à l'emploi n'étaient pas parfaitement adaptés à nos besoins, nous nous sommes donc mis à concevoir le nôtre, ce qui s'est avéré étonnamment facile.

Entrez dans le Toptal TopBand

Nous avons contacté un certain nombre d'équipementiers chinois réputés pour obtenir des conseils et des informations techniques. Nous leur avons fourni les spécifications, ils nous ont fourni leur devis et une date d'expédition. Oui, c'était aussi simple que cela, et oui, nous avons été agréablement surpris.

Nous sommes actuellement en train de passer en revue plusieurs conceptions et facteurs de forme Toptal TopBand différents, ainsi que de travailler sur le côté logiciel. Ces appareils s'interfaceront non seulement avec votre téléphone et votre ordinateur en tant que jetons de sécurité sans fil, mais ils suivront également vos habitudes de travail et de sommeil.

Pourquoi? Parce qu'ils le peuvent. Ils sont basés sur le matériel utilisé dans les trackers de fitness, nous n'avons donc pas eu besoin de réinventer la roue et de concevoir le matériel à partir de zéro. En fait, il serait plus coûteux de supprimer les fonctionnalités et les capteurs inutiles que d'utiliser des solutions prêtes à l'emploi.

Voici les spécifications de notre produit initial :

• Puce Bluetooth 4.0 fabriquée par Dialog
• Accéléromètre d'ADI
• Batterie au lithium polymère 50 mAh de Sony, autonomie de 40 jours
• Ensemble de vibration, interface utilisateur à trois LED, haut-parleur de notification
• Dimensions : 8mm x 15mm x 35mm (estimation)
• Poids : 8g (estimation, sans sangle ni clip)

Nous n'avons pas encore finalisé la conception, les dimensions physiques ne sont donc que des estimations. Nous sommes toujours en train de décider d'utiliser de l'aluminium ou du polycarbonate pour le boîtier, ou une combinaison des deux (nous voulons qu'il ait l'air incroyablement cool). Dans tous les cas, l'appareil sera résistant aux intempéries IP67, vous n'aurez donc même pas à l'enlever lorsque vous prendrez la douche.

C'est pourquoi nous sommes convaincus que l'appareil ne sera pas une nuisance. Il est minuscule , vous n'avez pas besoin de le recharger tous les deux jours, il peut être transporté comme un tracker de fitness standard au poignet, porte-clés, et il peut même tenir dans votre portefeuille (en prime, il peut être utilisé pour alerter utilisateurs s'ils égarent leur portefeuille ou leurs clés).

Bien sûr, vous pouvez simplement le coupler à votre ordinateur en tant que dispositif de sécurité sans fil et oublier ces fonctionnalités, mais où est le plaisir là-dedans ?

Voici ce que le TopBand apporte à la table, permettant aux utilisateurs de :

• Sécurisez leur matériel en limitant l'accès à notre plateforme si le TopBand n'est pas couplé et à portée de l'appareil.
• Localisez les téléphones égarés, ou vice versa (utilisez un téléphone pour trouver le TopBand).
• Recevez des notifications via des vibrations et des alarmes audio.
• Collectez des données sur l'activité physique, qui peuvent être utilisées pour prévenir l'épuisement professionnel et suivre vos habitudes de travail (lorsqu'elles sont utilisées comme un accessoire portable).

Le dernier point peut s'avérer controversé, mais pourrait être utile dans certaines circonstances. Par exemple, cela permettra aux membres de votre équipe de savoir si vous êtes réveillé et travaillez ou non, et c'est parfait pour le suivi du temps. Naturellement, Toptal ne collectera ni n'utilisera ces données sans accord préalable. C'est là pour votre commodité; utilisez-le pour améliorer votre santé et augmenter votre productivité.

Projet pour animaux de compagnie Toptal

Pendant que nous bricolions les prototypes, quelques Toptalers ont décidé de créer un spin-off potentiel, une sorte de projet favori et quand nous disons «projet favori», nous entendons littéralement projet favori. Beaucoup de nos gens sont obsédés par leurs amis à quatre pattes, alors ils ont imaginé des façons d'utiliser notre matériel d'une manière à laquelle nous ne nous attendions pas : ils ont transformé le TopBand en un tracker pour animaux de compagnie.

Le matériel était prêt, il n'a donc fallu que du code modifié. Nous les avons encouragés à tester l'appareil sur leurs animaux de compagnie ; les données collectées s'avéreraient précieuses, ne serait-ce que pour s'assurer que les développeurs non éthiques ne pourraient pas tromper le système en montant le TopBand sur leur chat et en disant à tout le monde qu'ils sont à la maison, en plein travail.

La fonctionnalité spécifique aux animaux de compagnie est toujours en cours de test, mais les résultats sont encourageants. Pour le moment, les appareils surveillent l'activité de base, vérifient si votre animal est endormi ou non et vibrent si votre animal s'éloigne de la portée. Cela semble un peu plus humain que ces colliers à décharge électrique, n'est-ce pas ?

Étant donné que les chats et les chiens sont de toutes formes et de toutes tailles, le plus gros problème est l'étalonnage des capteurs, sur lequel l'équipe travaille. L'appareil a été testé sur quelques chats, dont un félin italien souffrant d'obésité morbide, et des chiens allant de Jack Russells à Akita Inus.

Au-delà de cela, nous ne pouvons pas révéler beaucoup de détails, et voici pourquoi ; nos développeurs ont transformé leur projet favori en une entreprise sérieuse. Ils ont approché quelques investisseurs potentiels et obtenu un financement pour un déploiement commercial limité (également prévu pour 2017), mais ce n'est que la première étape vers une gamme complète de produits pour animaux de compagnie.

Notre équipe travaille déjà sur le tracker pour animaux de compagnie de nouvelle génération, basé sur un matériel propriétaire, avec une recharge sans fil et la possibilité d'être utilisé comme implant sous-cutané.

Cela semble geek, mais vos animaux de compagnie vont l'adorer

Les implants sous-cutanés ont une mauvaise réputation, mais la plupart sont injustifiés et colportés par des conspirationnistes. Si vous demandez à n'importe quel professionnel des animaux de compagnie, il vous dira que les animaux plus gros qu'un rat ne les remarquent même pas, et en fait, ils ont tendance à être plus sûrs et plus confortables que la plupart des colliers intelligents. La micropuce est déjà une pratique largement soutenue dans le monde pour minimiser les populations d'animaux errants ; cela va juste un peu plus loin.

Jusqu'à présent, les implants sous-cutanés étaient limités à une fonctionnalité RFID rudimentaire, ce qui limitait leur attrait. Ce n'est pas un balayage de la technologie RFID ; de nombreuses entreprises légitimes travaillent sur des implants RFID, et Dangerous Things est une startup qui se démarque en termes d'innovation.

Cependant, les ensembles de charge sans fil Qi deviennent de plus en plus petits et moins chers à chaque nouvelle génération. Ceci, évidemment, permet aux ingénieurs de concevoir des implants riches en fonctionnalités, car ils peuvent se permettre d'utiliser plus de batterie pour les capteurs et une connectivité Bluetooth toujours active.

Malheureusement, nous n'en sommes pas encore là et les premiers prototypes ne seront prêts qu'en 2018 au plus tôt. Nos partenaires matériels nous ont également informés qu'ils ne seraient pas en mesure de mener des essais sur des animaux en Chine continentale, en raison de la législation stricte et inflexible sur les droits des animaux.

Par conséquent, les appareils seront testés au Cambodge. On nous a assuré que la recherche serait éthique, il n'y a donc rien à craindre. Notre équipe est impatiente d'essayer les implants sur leurs propres animaux de compagnie, et ils ne songeraient pas à faire quoi que ce soit qui mettrait en danger leurs boules de joie à fourrure.

Si c'est assez bon pour mon chien…

C'est là que nous avons rencontré un problème mineur. Grâce à la culture gung-ho de Toptal, deux membres de notre équipe se sont portés volontaires pour faire tester les implants sur eux, pas seulement sur leurs animaux de compagnie. Bien qu'il soit encore trop tôt pour des essais sur l'homme, cela montre que les gens pourraient ne pas être dérangés par l'utilisation d'implants sous-cutanés, à condition qu'ils puissent faire confiance à la technologie. Étant donné que ces personnes ont joué un rôle central dans le développement de notre TopBand, elles sont impatientes de prouver le concept. On nous dit que cela vous envahit après un certain temps.

Nous avons besoin de sujets humains pour tester la recharge sans fil et quelques autres fonctionnalités, car il est peu probable que les tentatives visant à entraîner les chats et les chiens à s'asseoir au même endroit pendant des heures fonctionnent. Nous avons opté pour une approche alternative pour la phase pilote, dans laquelle les animaux pouvaient toujours se déplacer et recharger leurs implants, mais cela implique d'attacher une grande batterie externe et un tapis de chargeur Qi aux animaux. Comme solution provisoire, nous prévoyons de faire bon usage des cages et de l'herbe à chat «cat condo» pour prouver le concept en quelques heures.

Les essais sur l'homme sont encore loin et nécessitent davantage de planification et de surveillance réglementaire. Bien que cette approche fonctionne pour les nouveaux médicaments, nous n'avons ni le temps ni les ressources nécessaires pour les essais cliniques. Cependant, nos volontaires ont accepté de signer une renonciation et de faire installer les implants quand même. Comme cela pourrait créer des problèmes juridiques dans l'UE ou aux États-Unis, ils ont réussi à trouver une petite clinique de chirurgie plastique brésilienne prête à faire le travail. La clinique a également offert un rabais généreux sur les procédures de gynécomastie.

Toptal est à la recherche de plus de bénévoles, et il ne fait aucun doute dans mon esprit que nous les trouverons. Après tout, Google a réussi à trouver des milliers de personnes désireuses de payer 1 500 $ pour un accessoire portable inutile, pour arrêter le développement des mois plus tard, et ils l'ont toujours qualifié de succès ! Ces braves explorateurs ne se souciaient même pas d'être appelés Glassholes par les interwebs.

Comme l'a dit un bénévole de Toptal :

Je préfère avoir un implant de la taille d'un avocat dans l'aine plutôt que des Google Glass sur le visage !

Remarque : Aucun chat n'a été blessé lors de la rédaction de ce message.