Prudence est mère de sûreté. Et l’usager inconséquent qui emprunte le même mot de passe usé met son système d’information en péril. Afin d’éviter cela, l’administrateur du réseau dispose d’outils d’authentification forte, à commencer par les mots de passe à usage unique, suivis des calculettes logicielles et du nec plus ultra, les cartes à puce.
Le mot de passe devient jetable
Le faible coût s’avance comme l’atout principal de l’authentification par mot de passe à usage unique. Un logiciel du domaine public, tel Skey sous Unix, génère des mots de passe de session, aussi appelés OTP (One time password), puis en contrôle la validité lors de l’accès. La procédure de création emprunte une calculette logicielle. À la fin de cette génération, l’utilisateur repart avec son contingent de mots de passe non rejouables, enregistrés sur disquette, dont il usera, l’un après l’autre, pour accéder au serveur d’accès ou au coupe-feu. Un pirate qui intercepterait un mot de passe ne serait donc guère avancé, celui-ci étant périmé dès qu’il a été utilisé.Cette procédure impose de refaire cycliquement le plein d’OTP. De plus, rien n’empêche un individu qui dispose d’une trace de la dernière session, ainsi que d’une disquette d’OTP dérobée, de sévir. Certaines entreprises munissent leurs collaborateurs de calculettes qui génèrent un code d’accès à intervalles de temps réguliers. L’usager transmet celui-ci au serveur d’authentification, qui en contrôle l’égalité avec celui qu’il a calculé grâce à une horloge synchronisée sur celle de la calculette.Afin que l’authentification ne repose pas sur la seule possession d’une calculette, l’utilisateur décline aussi un identifiant. Associer un code secret à une calculette s’inspire du système des cartes bancaires. Avec bon sens, les fabricants de cartes à puce tentent d’imposer leur technologie. D’autant que le microprocesseur intégré à ces sésames autorise de multiples contrôles tels que l’authentification de la carte à puce par l’utilisateur et, réciproquement, de ce dernier par la carte, à travers un identifiant décliné par l’une des deux parties. Ce contrôle vaut également entre la carte et le serveur d’accès.
Des certificats X509 sur la carte à puce
Le code d’identification est alors chiffré avant de transiter sur le réseau. À la réception, le serveur, qui est doté de la même clé de cryptage, effectue un contrôle d’égalité. Dans l’affirmative, la carte à puce demande au serveur de lui transmettre un message d’identification. Elle effectue sa vérification avant d’ouvrir l’accès en toute confiance.Enfin, l’authentification forte étendue repose sur l’usage de certificats à la norme X509 stockés sur la carte à puce, dans le cadre d’une infrastructure PKI. Cela permet également la signature électronique des mails, par exemple, ainsi que la gestion des droits sur les applications de l’entreprise.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
