Passer au contenu

L’as du camouflage cryptographique : Arcot

La société américaine Arcot lance AccessFort, une solution de PMI très rapide. L’offre comprend aussi ArcotID, un container logiciel pour l’authentification forte, et assurant le même niveau de sécurité qu’un certificat stocké dans une carte à puce.

Arcot ? Ce nom ne vous dit probablement pas grand-chose. Cette société américaine privée, créée en septembre 1997, est spécialisée dans l’authentification forte et le contrôle d’accès. Lors de sa création, de grands noms de la cryptographie comme Bruce Schneier et Martin Diffie-Helmann ont été invités à donner leur avis sur la technologie employée. Séduits, ils ont décidé de devenir actionnaires.Avec le lancement de sa solution de gestion d’accès PMI (Privilege management infrastructure), AccessFort, Arcot entre en concurrence avec les acteurs de l’authentification forte tels que RSA Security, avec SecurID ; ou Vasco Data Security et sa gamme DigiPass.

Contrôle d’accès et droits des utilisateurs

AccessFort sert à gérer le contrôle d’accès et les droits des usagers. Arcot insiste sur les performances en annonçant une rapidité quatre fois supérieure à son principal concurrent, Netegrity, le leader mondial du marché avec 75 % de parts (source : Meta Group, janvier 2001). Seul problème : le test effectué par une société indépendante, InfoSys Technologies, est contesté par d’autres, également indépendantes, telle Mindcraft, la référence dans ce domaine.Du côté de l’authentification forte, Arcot se distingue avec ArcotID. Ce container logiciel fournit les éléments nécessaires à l’établissement de l’identité de l’utilisateur et à la création de sa signature numérique. ArcotID s’appuie sur des certifications X. 509, sans pour autant que sa solution repose sur une PKI. Pour protéger un certificat, deux solutions solides sont possibles : soit stocker le certificat dans le microprocesseur de la carte à puce, soit utiliser ArcotID, qui agit comme un container sécurisé exploitant un algorithme breveté de camouflage cryptographique.“Stocker, de manière classique, un certificat par un simple logiciel sur un PC ne répond pas à des besoins de sécurité, explique Philippe Delberghe, p.-d.g. d’Arcot France. Voler le PIN d’un certificat numérique par des attaques de type brute force prend moins de deux minutes avec un Pentium III.” Et d’ajouter : “Outre cet aspect, peu de postes clients disposent de lecteurs de cartes à puce, et l’utilisation de ces derniers ne répond pas aux besoins de l’informatique mobile.”

ArcotID, l’offre qui fait la différence

Chaque tentative de déchiffrement d’un ArcotID produit une clé, qui apparaît plausible. Le pirate se voit donc dans l’obligation de les tester une à une. Évidemment, après un nombre paramétrable de tentatives infructueuses, l’ArcotID est désactivé, et l’utilisateur définitivement protégé. Côté PC, les prérequis sont classiques. Il suffit de disposer d’un navigateur Web et de télécharger soit un plug-in signé, soit une applet Java signée.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager