Sorry, you need to enable JavaScript to visit this website.

Google se lance dans l'authentification forte

Google se lance dans l'authentification forte
2010-09-212013-02-11Web/Techfr
Via le service "Google Authenticator", les entreprises peuvent renforcer l'accès à leurs données posées sur les systèmes de Google. En surfant sur la vague des smartphone, le "soft-token" et OATH seront-ils se faire une place au soleil pour l'accès aux services cloud ?...
Publié le 21 Septembre 2010 par Jean-François Audenard dans Web/Tech
google-authenticator-logo.png

Désormais, un simple mot de passe ne sera plus suffisant : C'est ainsi que l'on peut résumer ce que Google propose pour sécuriser l'accès aux données qui lui sont confiées.

authentification à double-facteur

Les entreprises, universités ou institutions ayant fait le choix des services payants de Google (Google Apps Premier) ont désormais la possibilité de renforcer les moyens de contrôler l'accès à leurs données via l'utilisation d'une authentification forte (dite "à double facteur"). Cette fonction connue sous le nom de "Google Authenticator" devra être activée par l'administrateur du compte.

Ce mécanisme d'authentification est appelé "double-facteur" car l'utilisateur doit montrer qu'il est possession de deux éléments distincts mais complémentaires :

  1. Ce qu'il connait (son mot de passe)
  2. Ce qu'il possède physiquement (un smartphone avec une application spécifique)

... dans le cas ou un attaquant aurait réussi à voler (par exemple via un sniffer ou un trojan) le mot de passe d'accès, il restera à la port du système car il possède pas le smartphone et son application.

token logiciel pour une "sécurité green"

Ce type de système "OTP" basé sur un logiciel est aussi connu sous le terme générique de "soft-token" ou "jeton logiciel". Il est en plein essor est tend à remplacer des solutions similaires basées sur des systèmes physiques, forcément plus couteux à déployer et à maintenir.
Quand l'on peut voir la pénétration des smartphones dans un contexte entreprises, c'est effectivement un choix qui fait du sens. Ainsi, le smartphone devient un outil pour plus de sécurité. Intéressant.

un smartphone pour montrer patte-blanche

Ainsi, pour rentrer sur son compte, en plus de son mot de passe habituel, l'utilisateur devra aussi saisir un code à usage unique (One-Time Password ou "OTP"). Ce code à usage unique étant généré en local grâce à une application installée préalablement sur son téléphone mobile.
 

google-authenticator_two-step.gif















Dans le cas de Google, leur application est disponible pour les smartphones basé sur le système d'exploitation Android, iphone d'Apple ainsi que BlackBerry de RIM. Sous iTunesStore, faites une recherche sur "Google Authenticator" (nécessite un iOS 4.0 ou supérieur).

Système réservé aux entreprises

Du moins pour le moment, ce système renforcé n'est pas disponible pour les utilisateurs "grand public'... peut-être que cela évoluera dans le futur...

Même si Google ouvre ce système au plus grand nombre, je reste réservé sur le nombre de personnes qui l'utiliseront effectivement quotidiennement. Peut-être que le coté ludique de l'application iphone va-t-il faciliter l'adoption du système ?

OATH : Open Authentication

Le système de Google est annoncé comme conforme à la "norme" OATH qui vise à proposer une meilleure interopérabilité au niveau des systèmes d'authentification des utilisateurs avec comme particularité de développer les méthodes "fortes" comme l'utilisation de jetons à usage uniques ou valides durant un temps extrêmement court (par exemple 30 secondes). Pour ceux intéressés par plus d'informations, je vous conseille le site web de l'organisation qui soutien OATH, la page Google-Authenticator, le module Apache mod_authn_otp.

En tout cas, vous pourrez constater par vous même que tout est disponible pour utiliser un système basé sur OATH sur ses systèmes, le tout à coût très réduit car toutes les briques sont disponibles en OpenSource. L'application iPhone "oathtoken" aussi... intéressant !

comment s'y retrouver dans cette jungle ?

OATH vient se rajouter à d'autres protocoles comme OAuth ou OpenID ; chacun d'entre-eux ayant de près ou de loin des choses à voir avec des notions d'authentification ou de délégation de droits.... clairement, on peut raisonnablement se dire qu'il n'est pas facile de savoir qu'en penser : Je suis d'accord avec eux c'est un peu le bronx.

Peut-être à une autre fois pour une découverte de ces autres protocoles que sont OpenID et OAuth et avec une tombée de rideau sur la mise en perspective de chacun ? Les idées d'articles ne manquent clairement pas, reste à trouver le temps qui va avec. :-)

 

2 commentaires

  • 1 Octobre 2010
    2010-10-01
    par
    Exact. Nous sommes exactement dans le même cas que les "cartes à code" qu'une grande partie des banques françaises proposent pour sécuriser les opérations en ligne. Ce système est peut-être moins "fun" que l'application iPhone mais il reste aussi bien sécurisé... jusqu'au moment ou l'on se fait voler son portefeuille par un pickpocket dans le métro parisien.
  • 29 Septembre 2010
    2010-10-01
    par
    Thomas
    Au bout du compte, il ne faudra pas uniquement piquer le mot de passe mais en plus il faudra piquer le SmartPhone de la victime ... (ou sniffer la connection GSM / Wifi / Edge / ... ).

    C plus compliqué mais ... on y est pas encore !

    T,

ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.