Go to Top

Dossier Contrôler et accéder à ses données en toute sécurité (3/4) : L’accès sécurisé multi-facteurs aux données

Sécurité des données

Sécuriser des données, c’est toujours chercher à les protéger. En sécuriser l’accès est évidemment la base de la sécurisation. Comme pour les coffres forts des banques avec leurs lingots, plusieurs clés créent le principe de l’accès sécurisé multi-facteurs aux données.

On connaît le fameux login et son mot de passe pour tenter de montrer patte blanche à son banquier sur le site Internet bancaire. Tout le monde  a vu ou entendu parler des équipements biométriques comme ce TouchID que possède l’iPhone 5S au cœur même de son principal bouton servant à changer d’application; il s’agit d’un lecteur d’empreintes digitales miniaturisé.  L’accès sécurisé multi-facteurs (MFA pour Multi-Factor Authentication) consiste à multiplier les contrôles d’accès en ne se contentant plus d’un seul critère. Ainsi, sur les sites de paiement en ligne qui utilisent le service de la BNP, il vous sera envoyé un code par SMS pour valider la transaction pour laquelle vous avez pourtant déjà entré le numéro de carte bleue, la date d’expiration, le nom du porteur et le code à 3 chiffres apparu au dos de la carte depuis environ cinq ans. Il y a là deux facteurs : la carte avec ses informations et le SMS.

Pour certains systèmes d’accès, le but n’est pas d’entrer un numéro reçu par SMS à chaque fois que l’on veut accéder à son système d’information. Par ailleurs, le système biométrique de lecture d’empreintes peut être une solution, mais assez contraignante puisqu’il faut que le terminal en soit doté. Beaucoup d’ordinateurs portables professionnels en disposent mais pas tous, ni les smartphones. Pour cela, il faudrait une norme qui est toutefois en passe de faire son apparition (FIDO pour Fast IDentity Online). Mais la solution n’est peut-être pas là non plus; la lecture d’empreintes peut parfois être ardue à mettre en œuvre si on a les doigts trop secs, sales, trop gras, blessés… Preuve est donnée par l’iPhone 5S que le multi-facteur n’est pas la panacée avec le mot de passe + l’empreinte digitale : quand il ne reconnaît pas l’empreinte, il demande le mot de passe… Par ailleurs, qu’est-ce qui dit que les données biométriques ne pourront pas être utilisées à d’autres fins puisque chacune de nos empreintes seront ainsi stockées dans des serveurs qui les connaissent et les reconnaissent… Alors que faire ?

Beaucoup de sociétés technologiques se posent la question et trouvent souvent des réponses très sensées. L’accès multi-facteur n’est d’ailleurs pas forcément limité à un choix de second facteur de vérification. Par exemple, si le SMS est utilisé comme facteur de sécurité principalement dans les systèmes bancaires, c’est parce qu’il englobe une chaîne de confiance : le numéro de téléphone est unique, il est activé par une puce unique dans le téléphone pour lequel on connaît obligatoirement l’identité du propriétaire. Si on couple cela avec un login et un mot de passe… C’est un multi-facteur assez fort… Mais pas pratique 20 fois par jour… Chez Gemalto, on va donc proposer, entre-autres, des cartes à puces qui peuvent s’insérer dans le logement spécifique d’un ordinateur portable ou une clé USB spécifique… Le mieux étant peut-être la clé USB avec une puce à l’intérieur car cette clé sera unique et pas forcément limitée à l’usage sur un seul ordinateur; comme une vraie clé. Chez Login People, ils ont inventé « l’ADN du numérique » : la carte à puce est remplacée par une empreinte unique d’un appareil numérique comme par exemple un smartphone. Si vous connectez votre smartphone à votre ordinateur et que vous entrez votre login et mot de passe, vous accèderez à l’information; si effectivement ce smartphone est bien autorisé à être utilisé comme cela. Plusieurs appareils pouvant être configurés comme des clés, l’idée est intéressante.

Evidemment, l’accès MFA est aussi soumis au fait d’utiliser les technologies de sécurisation de transport des données comme le SSL (ou TLS) : c’est le couplage de l’ensemble de ces technologies qui garantit une nette amélioration de la sécurisation d’accès.

Retrouvez tous les articles de notre Dossier « Contrôler et accéder à ses données en toute sécurité »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *