Une question défraie aujourd’hui la chronique et c’est compréhensible : les jetons OTP offrent-ils toujours une solution sécurisée ? De l’avis de Julian Lovelock, directeur principal chez ActivIdentity, l’un des principaux éditeurs mondiaux de solutions d’identification sécurisée et membre du groupe HID Global, il n’existe pourtant pas de réponse catégorique.
Comme l’explique Julian Lovelock : « Les préoccupations quant à la sécurité des jetons OTP s’articulent pour la plupart autour du principe sous-jacent de clé symétrique sur lequel ils reposent. Concrètement, cela signifie qu’il faut charger dans le serveur d’authentification une copie conforme de la clé qui est injectée dans le jeton OTP. Il est donc nécessaire de gérer ces clés — souvent appelées “codes secrets”. Et les processus et systèmes chargés de cette tâche représentent des cibles privilégiées pour les pirates. »
« Pour savoir si les jetons OTP sont suffisamment sécurisés, les entreprises doivent passer en revue leurs modalités de gestion des clés. Dans de nombreux cas, le processus en place est le suivant : le fournisseur de jetons injecte une clé dans le jeton à la fabrication. En parallèle, un fichier de base contenant l’ensemble des clés associées à un lot de jetons est créé. Les jetons sont envoyés au client avec le fichier de base. Enfin, un administrateur du site client charge le fichier de base dans le serveur d’authentification », continue Julian Lovelock.
D’après lui, il existe six maillons à risque dans cette chaîne :
Ø le processus de fabrication qui génère le fichier de base,
Ø le transport du fichier de base jusqu’au site client,
Ø la gestion sur site du fichier de base, avant qu’il soit chargé dans le serveur d’authentification,
Ø le stockage sécurisé du fichier de base sur le serveur d’authentification
Ø la conservation par le client du fichier de base (souvent sur CD) après son chargement dans le serveur d’authentification,
Ø la conservation du fichier de base par le fournisseur de jetons OTP.
Comme l’ajoute Julian Lovelock : « Pour plus de sécurité, il est possible d’autoriser les clients à initialiser eux-mêmes les jetons OTP depuis la console d’administration du serveur d’authentification. Dans ce cas de figure, finis les risques liés aux fichiers de base : la clé est injectée simultanément dans le jeton et dans la base de données du serveur d’authentification. Ce modèle permet ainsi de supprimer l’un des six maillons faibles pouvant faire l’objet d’une attaque. »
« Dorénavant, les fournisseurs de solutions de sécurité ayant recours à ce modèle prendront sans aucun doute des mesures extraordinaires pour contrecarrer tout risque de vol des fichiers de base au sein de leurs systèmes internes. Mais si vous avez six portes ouvertes chez vous, il ne suffit pas de fermer celle par laquelle les cambrioleurs sont entrés la dernière fois pour sécuriser votre maison. Évidemment, il existe un moyen de renforcer chacun des six maillons, en déployant des cartes à puce reposant sur un principe de clé asymétrique », conclut-il.
A propos de Julian Lovelock
M. Julian Lovelock est directeur senior du marketing produit d'ActivIdentity, et est responsable de la définition et la mise à commercialiser des produits dans le portefeuille d'assurance identité. M. Lovelock est basé à Fremont en Californie, après avoir déménagé de Londres en 2006. Il a rejoint ActivIdentity en 2005 dans le cadre de l'acquisition de Solutions ASPACE où il était directeur technique et co-fondateur. Depuis qu'il a rejoint ActivIdentity il a occupé plusieurs postes dans la gestion des produits ainsi que la responsabilité du marché des solutions de sécurité ActivIdentity pour la banque en ligne. Il détient un baccalauréat en génie électrique et électronique de l'Université d'Aston, Royaume-Uni.
À propos d’ActivIdentity
ActivIdentity™ Corporation, l’un des leaders mondiaux des solutions de vérification des identités numériques, donne à ses clients les moyens de mener leurs activités en ligne en toute sécurité. Plus de 2 500 entreprises, banques en ligne et institutions gouvernementales utilisent les solutions d’identification et de gestion des données de connexion d’ActivIdentity pour satisfaire à leurs obligations de sécurité et de conformité. Établie dans la Silicon Valley (Californie), ActivIdentity est une filiale d'HID Global, l'une des marques du groupe ASSA ABLOY. Pour en savoir plus, consultez le site www.actividentity.com.
###
ActivIdentity et 4TRESS sont des marques déposées aux États-Unis et/ou dans d’autres pays. Toutes les autres marques citées appartiennent à leurs propriétaires respectifs aux États-Unis et/ou dans d’autres pays.
--
Contact Presse:
Agence Point Virgule
Chloé Lescene
01 73 79 50 60
www.pointvirgule.com
Profil du diffuseur :
http://www.categorynet.com/reseaucategorynet/profile?userid=69233
Aucun commentaire:
Enregistrer un commentaire