Free cookie consent management tool by TermsFeed

jeudi 9 septembre 2010

FireID, l'authentification forte sur mobile

FireID
La startup sud-africaine FireID, présente en Europe (au Royaume-Uni et au Benelux), vient de lever 5 millions d'euros, ce qui me donne l'occasion de revenir sur cette intéressante solution d'authentification forte sur mobile (dont les principes sont également adoptés par quelques autres fournisseurs innovants).

Les traditionnels couples nom d'utilisateur + mot de passe utilisés pour sécuriser les accès à des sites web sensibles tels que ceux de banque en ligne sont devenus une proie facile pour les pirates et autres cyber-criminels, soit par la négligence des utilisateurs (qui notent leur mot de passe), soit à cause des logiciels espions de tous types, facilement disponibles sur Internet.

Une solution recommandée pour augmenter le niveau de sécurité est d'adopter un système d'authentification à deux facteurs. Par exemple, un facteur peut être ce que l'utilisateur "connait", tel qu'un code, et l'autre ce qu'il "possède" (ou ce qu'il "est", dans le cas de la biométrie, sur laquelle nous ne nous attarderons pas). Ce deuxième facteur est souvent implémenté dans un "token" ("possédé" par l'utilisateur), qui génère un mot de passe à usage unique requis pour l'authentification. Il peut également s'agir d'un SMS envoyé sur le téléphone mobile de l'utilisateur, fournissant également un code unique. Malheureusement, ces deux solutions ne sont pas idéales, ce qui explique qu'elles ne soient pas généralisées :
  • Le token est coûteux pour le fournisseur (la banque dans les cas qui nous intéressent) et il peut être facilement oublié ou perdu par l'utilisateur (et imaginons ce qu'il adviendrait s'il devait porter en permanence une dizaine de tokens pour les différents sites sécurisés auxquels il accède régulièrement !) ;
  • Le SMS, également onéreux, souffre de plus de son niveau de service non garanti par les opérateurs (il peut arriver immédiatement ou après plusieurs minutes).
La solution de FireID est un logiciel pour téléphone mobile reproduisant les fonctions d'un token. Lorsque l'utilisateur veut s'authentifier sur un site web, il utilise l'application mobile pour générer un code secret unique, qu'il saisit sur le site et qui est reconnu par le serveur de FireID. Elle permet ainsi de contourner les limites des solutions précédentes :
  • Elle s'installe sur le téléphone mobile, dont il y a de bonnes chances que l'utilisateur l'ait toujours avec lui ;
  • Elle fonctionne "localement", sans requérir une connexion réseau, ce qui rend son utilisation possible en toute circonstance et sans risque de délais gênants ;
  • Exclusivement logicielle, son coût est modeste.
Cependant l'approche adoptée a également ses limitations et ses contraintes :
  • Tout d'abord, la logique de génération du code secret étant embarquée dans l'application installée sur le téléphone, il faut s'assurer que celle-ci est elle-même sécurisée et ne permet pas à une personne malveillante de deviner les codes ou d'en reproduire le fonctionnement.
  • L'administration des utilisateurs et de leurs mobiles (qu'ils changent souvent) peut représenter une charge lourde, puisque dans la logique de l'authentification à deux facteurs, il faut pouvoir garantir que le téléphone sur lequel est utilisé le logiciel est bien "possédé" par l'utilisateur du service sécurisé.
  • La solution de FireID est compatible avec la plupart des mobiles disponibles sur le marché mais, pour les modèles de bas de gamme l'accès aux applications peut être difficile et n'est pas bien maîtrisé par la majorité de leurs propriétaires.
  • Enfin, le mode déconnecté utilisé peut provoquer des problèmes de synchronisation. En effet, le mot de passe unique généré sur le mobile doit être reconnu par le serveur sur lequel l'utilisateur s'authentifie et les deux doivent donc restés synchronisés, d'une manière ou d'une autre, sans aucune connexion entre eux. La solution de FireID est de procéder à une synchronisation transparente à chaque authentification : une "incrémentation" de code est réalisée à la génération sur le mobile et lors de son utilisation sur le serveur. Mais si l'utilisateur génère un code et ne l'utilise jamais pour s'authentifier (générant un nouveau code lors d'une tentative ultérieure), une désynchronisation se produit et devient impossible à corriger automatiquement si l'opération est répétée plusieurs fois. Dans ce cas, une procédure de resynchronisation est nécessaire, alourdissant encore l'administration de la solution...
Sachant que les alternatives sont coûteuses (de même que l'absence d'authentification forte), les inconvénients d'une approche telle que celle de FireID ne sont peut-être pas bloquants pour son adoption. Il reste tout de même à voir si une banque se décidera à la proposer à ses clients... En attendant, une utilisation sur des applications ciblées (authentification sur des systèmes internes à l'entreprise, pour des populations spécifiques, par exemple) pourrait certainement offrir une occasion d'en valider le principe et d'en évaluer la pertinence.

Aucun commentaire:

Enregistrer un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)