Connexion
/ Inscription
Mon espace
Entrepreneuriat
ABONNÉS
Partager par Linked-In
Partager par Xing
Partager par Facebook
Partager par email
Suivez-nous sur feedly

SecurEnvoy : l'authentification sécurisée par le biais de n'importe quel appareil mobile

Le monde de l’informatique semble apprécier les acronymes à quatre lettres : WLAN, SNMP, HTML – et le tout dernier BYOD (Bring Your Own Device) (Amenez votre propre appareil). Accéder aux réseaux et aux données d’entreprise à l’aide à l’aide de terminaux d’utilisateurs privés reste toutefois un problème qui laisse perplexes de nombreux responsables IT et directeurs d’entreprise. « Comment pouvons-nous permettre un accès sécurisé pour les appareils mobiles sans mettre nos données en danger ? » Utiliser une double couche de sécurité qui implique l’identification des utilisateurs au moyen d’une authentification à deux facteurs sans jeton semble être une approche appropriée. En effet, cette approche combine les coordonnées de connexion personnelles, qui représentent le premier facteur, puis un numéro d'identification dynamique reçu par smartphone, tablette ou autre dispositif mobile, comme second facteur.

 

Se servir d’ordinateurs personnels et d’autres dispositifs pour des raisons professionnelles est de plus en plus courant. Comme le révèle la dernière enquête de l’association BITKOM : 27 % de toutes les entreprises qui ont participé à l’enquête se concentrent actuellement sur la question du BYOD qui est « La technologie et la tendance du marché la plus importante selon les sociétés ICT ». En outre, on constate un intérêt considérable pour les applications mobiles (48 %) et la question de la sécurité informatique en général (33 %). Lorsqu’il s’agit du principe de BYOD, deux exigences importantes s’opposent :  les employeurs souhaitent disposer de la plus grande flexibilité possible, avec une procédure de connexion simple, alors que les employés veulent absolument garantir la meilleure sécurité possible pour les réseaux et les données.

 

Double couche de sécurité

Depuis que les mesures de sécurité informatique ont été élaborées, et en particulier en ce qui concerne les processus d’identification, les experts de sécurité ont commencé à combiner des mécanismes multiples. C’est le cas pour l’authentification à deux facteurs. Afin de permettre une identification sans ambigüité, au moins deux de trois facteurs de sécurité possibles sont requis et ces trois facteurs sont :

  • Un élément que seul l’utilisateur connaît (par ex. mot de passe ou numéro d’identification personnel) ;

  • Un élément concret que seul l’utilisateur possède (par ex. un téléphone mobile) ;

  • Quelque chose qui est connecté intrinsèquement à l’utilisateur (par ex. l’iris de l’œil).

 

On peut citer à titre d’exemple quotidien le retrait d’argent depuis un distributeur de billets : le client a besoin de sa propre carte bancaire et d’un numéro d’identification personnel pour effectuer une transaction réussie. Le problème dans ce cas est que la carte bancaire (ou le jeton, en termes de terminologie de réseau d’entreprise) doit toujours être portée par l’utilisateur. Outre ce problème, les coûts liés à l’utilisation de jetons ne doivent pas être sous-estimés par les sociétés. Dans ce contexte, les responsables doivent prendre en compte les coûts liés à l’acquisition initiale des jetons, ainsi que l’émission de remplacements en cas de perte ou de vol.

 

Exploiter les ressources existantes

Les solutions modernes vont encore plus loin et fonctionnent sur le principe de « BYOT » : Bring your own token (Amenez vos jetons personnels). Plutôt que d’utiliser des outils supplémentaires, de telles applications se servent des dispositifs existants, tels que les outils d’accès, qui sont dans ce cas spécifique des appareils mobiles. L’avantage de cette approche est que les smartphones sont devenus de toute façon un compagnon presque constant pour la plupart des personnes dans leur vie quotidienne. Et au travail, presque tous les employés disposent également de leur propre téléphone portable, tablette ou ordinateur portable avec eux.

 

Afin de permettre une identification sécurisée et non ambigüe, les solutions BYOT combinent un « facteur de numéro d’identification » et un « facteur de coordonnées de connexion personnelles ».  Pour ce dernier, l’utilisateur dispose d’un nom d’utilisateur et mot de passe personnellement définis, ainsi que d’une licence d’accès personnelle. Et pour le premier facteur, l’utilisateur reçoit sur son appareil mobile un numéro d’identification numérique valide une fois et généré dynamiquement par SMS, e-mail ou par le biais d’une application. Par conséquent, les sociétés n’ont pas besoin d'installer de logiciel ou matériel supplémentaire sur les appareils, lorsque le personnel utilise non seulement des appareils d’entreprise, ainsi que des appareils privés pour accéder aux données internes. Ceci permet d’éviter que les employés ne ressentent un sentiment d'imposition causé par l’obligation d’installer un logiciel supplémentaire sur leurs appareils privés.

 

Date d’expiration intégrée

Lorsque l’utilisateur saisit son numéro d’identification au moment de la connexion, cette séquence de numéros spécifique expire dès qu’elle a été saisie et le système génère automatiquement un nouveau code et l’envoie à l’appareil mobile de l’utilisateur. Le même principe s’applique dans le cas des entrées incorrectes au moment de la connexion. Il est possible de définir combien de connexions incorrectes sont autorisées avant que l’accès ne soit complètement refusé. Alternativement, les utilisateurs peuvent recevoir un numéro d’identification réutilisable pendant une période prédéfinie et qui expire automatiquement avec une nouvelle combinaison de chiffres envoyée périodiquement un jour avant que son utilisation ne soit requise. Ce remplacement des codes assure qu’un numéro d'identification valide est toujours disponible et que les problèmes de transmission sensible dans les réseaux de téléphone mobiles n’empêchent pas l’exécution réussie de la procédure de connexion.

 

Authentification à deux facteurs en pratique

Une approche d’authentification à deux facteurs, telle que décrite ici a été mise en œuvre par exemple chez T-Mobile. D’ailleurs la société a été le premier opérateur de téléphonie mobile à déployer une solution qui utilise les téléphones mobiles pour l’authentification à distance. Celle-ci permet au personnel de s’identifier, quel que soit l’emplacement, à l’aide d’un téléphone portable, d’un mot de passe et d’un numéro d’identification généré dynamiquement qui est envoyé à l'appareil mobile de chaque personne. Étant donné que chaque employé est la seule personne à connaître ses deux facteurs, les tierces parties n’ont aucun moyen d’accéder au réseau et de voler des données. 15 000 employés en tout travaillent désormais avec cet outil et les responsables ont remarqué que ceci a causé des économies de temps et de coûts importantes, étant donné que l'acquisition onéreuse de jetons matériels supplémentaires n'est pas requise. En outre, il n’est nécessaire de mener des séances de formation qui prennent beaucoup de temps.

 

Synthèse

Les sociétés qui utilisent l’authentification à deux facteurs bénéficient d’une double couche de sécurité, étant donné que la procédure de connexion combine un nom d'utilisateur et un mot de passe définis par l'utilisateur et un numéro d'identification généré dynamique, plus une licence d'utilisateur. Par conséquent, même si le mot de passe est découvert par quelqu’un d’autre, l’accès par une tierce partie reste bloqué car les autres facteurs restent inconnus. Ces solutions sont également intéressantes en termes de coût, car la société investit uniquement dans l’application centrale et l’acquisition onéreuse de jetons supplémentaires n’est pas nécessaire.

Lire la suite...


Articles en relation