Canal+ applique l’IAM à ses clients avec Ilex

Le groupe s’appuie sur la solution Sign & Go de l’éditeur français pour gérer les identités et accès de ses clients à ses services. De quoi leur garantir une expérience homogène.

Le groupe Canal+, ce sont de nombreuses chaînes et services en ligne ou encore sur mobile, jusqu’au tout récent MyCanal qui permet même de piloter à distance ses équipements dotés de capacités d’enregistrement.

A l’occasion d’un atelier aux Assises de la Sécurité, début octobre à Monaco, Arnaud Droit, chef de projet Web à la direction de l’Expérience digital chez Canal+, soulignait l’enjeu : sécuriser l’accès à tous les services et applications du groupe, en offrant une expérience cohérente aux utilisateurs, et même la tailler sur mesure en fonction de leurs abonnements et de leurs habitudes de consommation, tout en luttant contre le détournement de comptes.

La solution de gestion des identités et des accès (IAM) utilisée précédemment, développée en interne, atteignait ses limites et un appel d’offres a été lancé pour ce que Canal+ appelle son projet P@ss. Pour celui-ci, c’est la solution Sign&Go d’Ilex International qui a été retenue. L’outil est connecté à une base de données MongoDB qui stocke comptes, profils, identifiants d’équipements, et données éligibilité. Elle sert pour l’heure de cache à la base abonnées Oracle, mais celle-ci semble appelée à disparaître.

Après authentification réussie, la plateforme P@ss génère deux jetons, un d’identité et un autre de consommation. Ce dernier supporte les informations relatives aux droits des utilisateurs. Un système de GRC est dédié à la gestion des informations de consommation afin d’alimenter le moteur de recommandations Eureka.

Côté exploitation, Nicolas Boucher a pu préciser que P@ss gère rien moins que 19 millions de comptes – abonnés, anciens abonnés et prospects – ainsi que près de 12 millions d’identifiants de matériels (box, décodeurs) et 4 millions de profils utilisateurs utilisés pour les mécanismes de recommandation. Environ 4 abonnés sur 10 utilisent aujourd’hui au moins de terminaux de consultation, un chiffre qui tend à progresser régulièrement du fait de l’adoption des tablettes et des smartphones.

Sur une journée normale, P@ss gère environ 165 000 authentifications explicites, par login/mot de passe, et près de 2 millions d’authentifications transparentes – via compte Facebook ou Google – pour environ 700 000 abonnés. Mais la solution se doit de pouvoir supporter des pics de charge conséquents, et tout particulièrement lors des matchs de foot. Le match retour de la demi-finale de la Ligue des Champions, qui a vu s’opposer Munich et Madrid, a généré de l’ordre d’un millier de requêtes par seconde sur P@ss, pour environ 600 000 comptes utilisateurs distincts.

Le fonctionnement de la plateforme est d’ailleurs étroitement surveillé, par l’infogérant de Canal+, mais également par le groupe, avec Splunk notamment, configuré pour produire tant des alertes techniques que fonctionnelles. Et justement, les abonnés Canal+ ne sont pas à l’abri des tentatives de détournements de comptes. Le groupe aurait ainsi observé des centaines de milliers de tentatives sur des comptes distincts par des acteurs malicieux. Les adresses IP d’où viennent les requêtes d’authentification sont ainsi suivies, et des requêtes sur plusieurs comptes distincts en sont issues, un captcha est ajouté à l’interface d’authentification afin de bloquer les tentatives automatisées.

Mais ce n’est pas tout. Depuis début 2016, Canal+ impose de nouvelles règles de création de mots de passe, afin d’essayer de renforcer la sécurité des comptes de ses clients. Et pour Arnaud Droit, pousser à l’utilisation de mots de passe robustes n’est ni un luxe, ni une mince affaire. Selon ses statistiques, 40 % des utilisateurs auraient un mot de passe conforme aux exigences de base, contre 48 % des mots de passe plus robustes, et 12 % d’excellents, avec au moins 10 caractères.

La solution d’Ilex a en outre permis à Canal+ de simplifier le travail de ses partenaires. L’éditeur français leur fournit des kits de développement Web (PHP et Node.JS) mais aussi pour terminaux mobiles Android, iOS et Windows. Seulement quelques lignes de code à intégrer, selon Arnaud Droit. Supportant le protocole OAuth2, c’est aussi elle qui permet aux abonnés au service TV by Canal de Free d’accéder à la plateforme MyCanal alors même qu’ils ne sont pas gérés dans les outils de gestion de la relation client du groupe. Une première. 

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close