SWIVEL PINSAFE - ou l'authentification dématérialisée

Avec la multiplication des SI virtualisés (Vmware, Citrix, Microsoft) et l'évolution en parallèle des services et débits réseaux disponibles,  l'accès à distance s'est généralisé, et le nomadisme est devenu un usage courant.
Accéder à l'information « de n'importe où et n'importe quand » est le nouveau leitmotiv de l'Entreprise.
La sécurisation de ces nouveaux besoins en accès externes a également suivi cet engouement, en multipliant connexions vpn/ssl, dmz et firewall etc...
Il reste toutefois une brique qui a du mal à trouver la solution adaptée au monde de la virtualisation : l'authentification des utilisateurs.
En effet, pas de connexion de l'extérieur vers le SI sans authentification renforcée des utilisateurs.

Oui, il existe de nombreuses solutions d'authentification à plusieurs facteurs : token/clef/calculette/applet PDA - fournissant un code à utilisation unique (OTP), clef/badge avec certificat, lecteur biométrique, carte matricielle type bingo card.
La particularité commune à toutes ces solutions est de devoir posséder un matériel physique autonome (token) ou à connecter (lecteur) pour accéder à un environnement virtuel : un paradoxe !

Certains éditeurs comme RSA proposent d'ores et déjà des solutions complémentaires à base d'envois de SMS, d'applications sur PDA, ou de software token (application à installer sur le poste remplaçant le token physique).
Le pas vers la dématérialisation totale, SWIVEL l'a franchi avec sa solution novatrice PINSAFE.

SWIVEL est une société créée en 2000 dont le cœur de métier est l'authentification à 2 facteurs.
300 déploiements à travers 30  pays ont déjà été réalisés avec le produit Pinsafe.

SWIVEL Pinsafe est une solution d'authentification renforcée dématérialisée (tokenless - sans token physique), fonctionnant sur le principe d'une suite de chiffres en code de Turing / Captcha affichée sur la page d'authentification.
Parenthèse: Captcha (Completely Automated Public Turing test to Tell Computers and Humans Apart) est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur, Le concept Captcha est simple, un code s'affiche au sein d'une image déformée et difficilement lisible, l'humain digne de ce nom interprète le code et le saisi.
 

captcha swivel.png

Avec PINSAFE, l'utilisateur se sert donc de son code PIN qu'il a mémorisé pour identifier la position des chiffres dans cette suite numérique affichée en Captcha, et il en déduit son passcode (one time code - OTC), qu'il doit ensuite saisir dans le portail.
 

*A noter - pour compléter cette solution, SWIVEL propose aussi en complément une solution d'applets sur PDA (génération locale de la chaine de sécurité) ou d'envois de cette la chaîne de sécurité (code de Turing) via  SMS.
swivel otc.JPG
Déduction du passcode à partir du code PIN
et de la chaine de carractères affichée par le Captcha

Dans sa version totalement dématérialisée, Swivel Pinsafe se compose d'une architecture en 2 parties:

  • une appliance physique ou virtuelle d'authentification et de génération de code (ou installation du logiciel Pinsafe sur un serveur dédié classique)
  • agents à installer sur les machines/portail nécessitant une authentification renforcée
  • aucune installation sur la partie cliente ni token à posséder

swivel 2.JPG

Cas fréquents d'usage


  • accès distant (internet/intranet)
  • sécurisation d'application
  • web mail
  • durcissement de mot de passe
  • plan pandémique
  • accès Wifi,
  • portails B2C (banques, web marchant...)
  • portails B2B (accès partenaires, accès priviligiés...)

Systèmes supportés


  • Microsoft: Outlook Web Access, IIS, ISA Server, IAG/Whale
  • Radius SSL technologies: Checkpoint VPN, Juniper SSL VPN, Citrix Access Gateway, Netilla, Aventail, Array Networks, F5, Cisco


Exemple d'intégration avec Citrix Web Interface/CAG
 
swivel3.JPG
si PIN = 26090 et chaîne de sécurité (code de Turing) = FWU6934CA2,
passcode = W32A2 (position 2, 6, 0, 9, 0 au niveau du code de Turing)

  1. L'utilisateur renseigne son login, puis clique sur « Get Code »
  2. la security string (code de Turing) est alors généré par le serveur/appliance Swivel et affiché sur la page d'authentification
    *cette chaine de caractères peut être alphanumérique
    *le code de turing affiché en GIF peut être d'aspects graphiques différents selon la difficulté de lecture souhaitée
    *le code généré est propre à l'utilisateur, et valable une seule fois
  3. l'utilisateur déduit de son PIN (qui peut être à 4, 6, 8,10 chiffres) son passcode : identifiés par le PIN qui donne la position au sein de la chaine de sécurité.
  4. l'utilisateur renseigne son password AD + passcode OTC résultant

Outre sa simplicité de mise en œuvre et de l'éventail important de système compatibles avec la solution (qui s'appuie sur du radius), SWIVEL bénéficie d'un support technique très réactif et de tarifs très attractifs face à la concurrence (2 à 4 fois moins cher face aux grandes maisons habituelles), avec il est vrai un focus sur la dématérialisation totale de token là où d'autres peuvent proposer des gammes plus étendues.
*A noter : SWIVEL pratique de plus une tarification spéciale pour les usages en pandémie. En effet, PINSAFE peut être rapidement déployé pour cet usage, car aucune gestion de token physique ni déploiement coté poste distant n'est à mettre en œuvre.
 

swivel04.JPG

Vous cherchez une authentification renforcée à 2 facteurs sans avoir de matériel/token utilisateur à gérer ? Simple à mettre en œuvre et à exploiter?  Compatible avec votre SI existant? Vous voulez rapidement renforcer l'accès à votre SI pour un usage pandémique ? Vous avez des applications à sécuriser en conservant la compatibilité avec les chaines de connexions mises en place ? Pour moins cher que les autres solutions du marché ?
 
SWIVEL PINSAFE est LA solution que vous attendiez depuis longtemps!


Patrice Boukobza

 
 
 
 
 
Patrice Boukobza
Aujourd'hui consultant en virtualisation, et cela depuis plus de 12 ans avec une forte expérience des grands comptes, Patrice a commencé l'informatique au siècle dernier, quand internet n'existait pas encore et que les premiers réseaux de PC commençaient à voir le jour. Il a vu l'avènement de ces PC et de Microsoft en entreprise puis chez les particuliers, et a connecté les premiers modems pour surfer sur internet. 
Il garde un souvenir suranné des années "internet" avec le fameux bug de l'an 2000 où il a fait partie des équipes luttant contre cette crise potentielle, comme 10 ans plus tard il fût acteur sur le sujet de la pandémie H1N1.
Habitué des blogs (il en possède 3 personnels), il est un des contributeurs principaux du blog virtualisation d'Orange.