Google se lance dans l'authentification forte

Partager

google-authenticator-logo.png

Désormais, un simple mot de passe ne sera plus suffisant : C'est ainsi que l'on peut résumer ce que Google propose pour sécuriser l'accès aux données qui lui sont confiées.

authentification à double-facteur

Les entreprises, universités ou institutions ayant fait le choix des services payants de Google (Google Apps Premier) ont désormais la possibilité de renforcer les moyens de contrôler l'accès à leurs données via l'utilisation d'une authentification forte (dite "à double facteur"). Cette fonction connue sous le nom de "Google Authenticator" devra être activée par l'administrateur du compte.

Ce mécanisme d'authentification est appelé "double-facteur" car l'utilisateur doit montrer qu'il est possession de deux éléments distincts mais complémentaires :

  1. Ce qu'il connait (son mot de passe)
  2. Ce qu'il possède physiquement (un smartphone avec une application spécifique)

... dans le cas ou un attaquant aurait réussi à voler (par exemple via un sniffer ou un trojan) le mot de passe d'accès, il restera à la port du système car il possède pas le smartphone et son application.

token logiciel pour une "sécurité green"

Ce type de système "OTP" basé sur un logiciel est aussi connu sous le terme générique de "soft-token" ou "jeton logiciel". Il est en plein essor est tend à remplacer des solutions similaires basées sur des systèmes physiques, forcément plus couteux à déployer et à maintenir.
Quand l'on peut voir la pénétration des smartphones dans un contexte entreprises, c'est effectivement un choix qui fait du sens. Ainsi, le smartphone devient un outil pour plus de sécurité. Intéressant.

un smartphone pour montrer patte-blanche

Ainsi, pour rentrer sur son compte, en plus de son mot de passe habituel, l'utilisateur devra aussi saisir un code à usage unique (One-Time Password ou "OTP"). Ce code à usage unique étant généré en local grâce à une application installée préalablement sur son téléphone mobile.
 

google-authenticator_two-step.gif

Dans le cas de Google, leur application est disponible pour les smartphones basé sur le système d'exploitation Android, iphone d'Apple ainsi que BlackBerry de RIM. Sous iTunesStore, faites une recherche sur "Google Authenticator" (nécessite un iOS 4.0 ou supérieur).

Système réservé aux entreprises

Du moins pour le moment, ce système renforcé n'est pas disponible pour les utilisateurs "grand public'... peut-être que cela évoluera dans le futur...

Même si Google ouvre ce système au plus grand nombre, je reste réservé sur le nombre de personnes qui l'utiliseront effectivement quotidiennement. Peut-être que le coté ludique de l'application iphone va-t-il faciliter l'adoption du système ?

OATH : Open Authentication

Le système de Google est annoncé comme conforme à la "norme" OATH qui vise à proposer une meilleure interopérabilité au niveau des systèmes d'authentification des utilisateurs avec comme particularité de développer les méthodes "fortes" comme l'utilisation de jetons à usage uniques ou valides durant un temps extrêmement court (par exemple 30 secondes). Pour ceux intéressés par plus d'informations, je vous conseille le site web de l'organisation qui soutien OATH, la page Google-Authenticator, le module Apache mod_authn_otp.

En tout cas, vous pourrez constater par vous même que tout est disponible pour utiliser un système basé sur OATH sur ses systèmes, le tout à coût très réduit car toutes les briques sont disponibles en OpenSource. L'application iPhone "oathtoken" aussi... intéressant !

comment s'y retrouver dans cette jungle ?

OATH vient se rajouter à d'autres protocoles comme OAuth ou OpenID ; chacun d'entre-eux ayant de près ou de loin des choses à voir avec des notions d'authentification ou de délégation de droits.... clairement, on peut raisonnablement se dire qu'il n'est pas facile de savoir qu'en penser : Je suis d'accord avec eux c'est un peu le bronx.

Peut-être à une autre fois pour une découverte de ces autres protocoles que sont OpenID et OAuth et avec une tombée de rideau sur la mise en perspective de chacun ? Les idées d'articles ne manquent clairement pas, reste à trouver le temps qui va avec. :-)

 
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)