FLASH INFORMATIQUE FI



Authentification forte à l’EPFL


L’EPFL choisit le standard OATH comme mécanisme d’authentification forte sur Tequila.



EPFL chooses the OATH standard as strong authentication mechanism for Tequila


Pierre MELLIER


Dans son article Sésame ouvre-toi ! du FI 9/2012, Laurent Kling mentionnait les dangers qui existent autour des mots de passe et des moyens mnémotechniques pour s’en souvenir, et qui peuvent être à l’origine d’astucieuses techniques de piratage dont je mentionnais par ailleurs les exploits dans La Guerre des mots de passe paru dans le même FI.
Pour protéger des données sensibles ou confidentielles, il faut malheureusement constater que le mot de passe n’est plus un instrument sûr pour se protéger des pirates, et qu’il faut trouver autre chose.
Bien sûr, des techniques existent, et elles sont déjà largement utilisées par les banques. La technique la plus classique est celle de la calculette distribuée à tous les clients d’une même banque. Lorsqu’un client souhaite accéder à son compte bancaire, la banque lui indique un challenge qui permet à sa calculette de fournir une réponse que seul ce client peut fournir et qui prouve qu’il est bien le propriétaire du compte ! Le pirate ayant volé un mot de passe ne peut pas se connecter à un compte sans posséder également la calculette du client.
Les opérateurs mobiles utilisent une démarche analogue pour permettre à leurs clients de consulter l’état de leur compte. Lorsqu’un client veut se connecter, l’opérateur lui envoie un SMS sur son téléphone mobile avec un code qui doit être fourni en retour pour terminer la procédure de login. Là encore, le pirate vous ayant volé un mot de passe ne peut pas se connecter au compte, car il n’a pas accès au code SMS.


Dans son article L’authentification forte aux services Google, Denis Rochat expliquait en détail la démarche mise en place par Google pour permettre des accès plus sûrs aux comptes Google. La démarche est encore une fois analogue, il s’agit là d’utiliser un smartphone comme moyen auxiliaire. Un logiciel spécial est installé sur le smartphone qui fournit toutes les 30 secondes un nouveau code de six chiffres qu’il faut indiquer à Google en plus du mot de passe. Le pirate ayant volé seulement le mot de passe ne peut pas deviner ce code qui change tout le temps.
Ces différentes stratégies d’authentification sont dites fortes car elles utilisent au moins deux facteurs d’authentification, à savoir quelque chose que l’on connaît : son mot de passe, et quelque chose que l’on possède : un téléphone mobile ou smartphone ou encore une calculette.
Mais ce dernier facteur a un défaut, chaque service (banque, opérateur mobile, ...) utilise sa propre solution et si ce type de démarche se généralise, on risque bien de se retrouver dans un proche avenir avec quinze calculettes distinctes, vingt-cinq applications sur son smartphone, etc.
Toutefois, un des avantages de la solution mise en avant par Google est qu’elle est basée sur un standard industriel parfaitement normalisé appelé OATH, d’autres entreprises se sont mises récemment à l’utiliser comme Amazon, ou encore Dropbox pour améliorer la sécurité des accès de leurs utilisateurs. Ces différents fournisseurs Internet utilisent donc la même démarche et le même logiciel sur le smartphone pour garantir un accès sécurisé, voilà qui est mieux.



L’EPFL a décidé d’utiliser également ce standard OATH pour renforcer l’accès et la sécurité à certaines prestations informatiques qui contiennent des données importantes. Cela se fera par le biais de l’authentification Tequila qui, dans certains cas, contiendra un champ supplémentaire appelé code de sécurité et de la même application GoogleAuthenticator utilisée par Google ou Dropbox pour fournir ce code de sécurité.
Ce nouveau service sera disponible à partir de début mai sur Tequila, mais les personnes qui souhaiteraient accéder à sa version de test peuvent contacter l’auteur à partir de la mi-mars.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.