Authentification forte et Soft token
Les systèmes d’authentification sont un élément essentiel d’un SI, clé de voûte de l’accès aux ressources les plus critiques, l’utilisation d’un système d’authentification fort est de plus en plus demandée au sein des SI moderne.
Mais qu’appel-t-on une authentification forte ? C’est un processus d’authentification incluant au minimum deux facteurs différents permettant d’accéder à une ressource (une application web, un dossier, un accès administrateur…).
Le processus d’authentification doit combiner (a minima) deux facteurs différents afin d’être qualifié de « fort », les différents facteurs communément utilisés sont les suivants :
– Ce que l’on sait (un mot de passe, une phrase secrète,…)
– Ce que l’on détient (une carte magnétique, une clé USB, un smartphone,…)
– Ce que l’on est (utilisation de l’empreinte digitale, empreinte rétinienne par exemple,…)
– Ce que l’on sait faire (utilisation de la biométrie, de la reconnaissance vocale,…)
Une combinaison de ces facteurs permet d’indiquer que vous êtes authentifié fortement pour accéder à une ressource critique, l’intérêt ici étant de complexifier la tâche de l’usurpateur d’identité en combinant plusieurs facteurs décorrélés rendant le vol d’identité compliqué.
Qu’est-ce que l’authentification forte ?
Historiquement, l’authentification forte est liée à ce qu’on appelle un hard token. Un petit boitier générant un nombre fini de chiffres que l’utilisateur doit recopier sur une mire d’authentification (après avoir entré son traditionnel login / mot de passe) pour valider son deuxième facteur. Ce boitier dédié à la création d’un OTP (One Time Password) est lié à son utilisateur et permet d’utiliser quelque chose que l’on possède pour réaliser un second facteur. En fonction des points de vue ce boitier peut être vu comme un appareil très sécurisé car dédié à cette fonction ou bien quelque chose d’impersonnel que les utilisateurs se prêtent s’ils ont besoin d’un accès renforcé sans avoir l’appareil adéquat. La notion d’hard token est intimement lié au fait d’avoir un boitier spécifique au second facteur d’authentification, l’exemple ci-contre présente un boitier générateur d’OTP, cela pourrait être une puce RFID ou un badge quelconque. Ce mécanisme représente un coût certain en termes de déploiement et de gestion pour les DSI.
La démocratisation de l’utilisation des smartphone (que ce soit dans un domaine professionnel ou personnel) a permis de fournir une alternative crédible aux mécanismes d’authentification forte utilisant des boitier dédié tels que les hard token ou autre badge. Il existe en effet de plus en plus de solution logicielle (application mobile téléchargeable sur les différents stores) permettant de « simuler » le comportement de ces boitiers, c’est ce qu’on appelle les soft tokens. Ceci a évidemment des avantages considérables en termes de gestion puisque on se place ici dans un modèle BYOD avec une activation du token logiciel par l’utilisateur (en général via l’utilisation d’une plate-forme de self-service). D’expérience, l’acceptation de ce genre de solution est également plus aisée, l’utilisation du smartphone en entreprise tendant à être de plus en plus démocratisé. D’un autre côté, l’utilisation d’un boitier non dédié à cette fonction est potentiellement dangereux (désavantages inhérent au BYOD), l’appareil mobile étant plus assujetti aux menaces extérieures que les hard tokens.
En tant que partenaires d’éditeurs proposant des solutions de Hard token et / ou Soft token, les consultants SYNETIS ont eu l’occasion d’implémenter et de conseiller de nombreux clients sur le choix d’une solution adéquate à leur besoin. Ces derniers peuvent en témoigner sur simple demande.
Vincent
Consultant Sécurité