Archive des chroniques "Cybernotes de Bertrand Salvas", telles que publiées dans le magazine "Entracte"
de la Chambre des notaires du Québec et autres contributions en droit des technologies de l'information.

Octobre 2010 >>> Mon code est plus fort que le tien !

Les fréquentes visites à l'école de mes héritiers qu'implique la rentrée scolaire me rappellent toutes sortes de souvenirs. Les pagailles dans les corridors, le respect du silence dans les rangs, la course aux casiers dès que la cloche retentit... Tant de choses ont changé depuis l'époque où je tentais moi-même de survivre à mon cours primaire, que j'ai parfois l'impression que mes souvenirs sont en noir et blanc... Mais il est rassurant de constater que même si les élèves font leurs exposés en PowerPoint ou soumettent souvent leurs devoirs par courriel, la bonne vieille atmosphère des écoles n'a pas trop changé.

Et en prime, défiler dans les rangées de casiers protégés à différents degrés m'a enfin donné l'angle que je cherchais pour aborder avec vous de façon, je l'espère, intéressante, un sujet particulièrement aride qui gagne de plus en plus en importance : l'authentification forte. En matière de sécurité informatique, cette notion technique réfère à une procédure d'identification qui impose le respect d'au moins deux éléments ou facteurs d'authentification.

Il fut un temps où la simple utilisation d'un nom d'usager et d'un mot de passe présentait un degré de sécurité suffisant pour transiger sur le Web. Si cette technique est encore largement en usage, il faut se rappeler qu'à l'époque, les utilisations que nous faisions de la toile portaient beaucoup moins à conséquences. Plus la société exige d'être en mesure de poser, en ligne, des gestes de plus en plus importants, plus il faut s'assurer de pouvoir restreindre l'accès aux outils requis aux seules personnes légalement aptes et autorisées à les poser. D'où l'intérêt de resserrer les contrôles. Et comme, d'autre part, les usagers cherchent également toujours plus de facilité d'accès et de transparence, le défi des techniciens est maintenant de doser les interventions pour combiner un degré de sécurité optimum à la meilleure fluidité de navigation possible pour les utilisateurs.

Comme pour les casiers à l'école de mes héritiers, qui peuvent être laissés ouverts ou verrouillés avec des cadenas de qualité très variable, l'authentification de l'usager d'un système informatique peut être plus ou moins solide. Le mot de passe constitue certes un moyen d'identification, mais plutôt faible, d'une part à cause du peu de précautions dont certains usagers font preuve pour en préserver la confidentialité, mais aussi à cause de l'existence de certains logiciels qui cherchent à les intercepter ou à les découvrir. Il faut donc chercher ailleurs.


Dis-moi ce que tu sais et je saurai qui tu es



Un système fondé sur l'authentification forte cherchera quant à lui à combiner des éléments inviolables et non subtilisables pour identifier une personne, par exemple :


Ce que la personne connaît, (un mot de passe, un code NIP, une phrase secrète, etc.)


Ce que la personne détient, comme une carte magnétique, une clé USB, une carte à puce, un téléphone portable ou un élément physique dédié appelé « authentifieur » ou « token ».


Ce que la personne est, ce que l'on appelle également l'identification par élément biométrique (empreinte digitale, empreinte rétinienne, structure de la main, structure osseuse du visage etc.)


Ce que la personne sait faire, (signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, comportement, etc.) ou connait (informations connues de lui seul)


Où la personne est, soit un endroit d'où, à la suite d'une identification et d'une authentification réussies, elle est autorisée (accéder à un système logique d'un endroit prescrit)

L'utilisation d'une signature numérique dans le cadre d'une infrastructure à clés publiques constitue déjà une amélioration face à un simple mot de passe, pourvu que le mot de passe rattaché à la signature soit solide et correctement protégé et ne soit pas dévoilé par son titulaire, volontairement ou non. En montant d'un degré l'escalier des mesures de sécurité, nous rencontrons l'usage du mot de passe à usage unique, qui offre un degré de sécurité encore supérieur. Par exemple, la carte matricielle. Fondé sur le concept du secret partagé, et bien qu'elle ne se qualifie selon les critères de l'authentification forte, la carte matricielle permet d'authentifier un usager sans avoir à maintenir un lourd système de signature numérique. Dans un tel système, l'usager se voit fournir une grille numérique unique qui sera utilisée par le site ou service informatique pour le questionner.



Exemple d'une carte matricielle



Tirez une carte
On demandera à l'usager de fournir un mot de passe à usage unique qu'il composera à partir des données figurant sur la grille. Par exemple, la bonne réponse à la question A1, E4 et G3 sera 2-8-2. Les bonnes réponses ne pouvant être fournies que par la personne détenant la grille, l'identification de l'usager pourra en être raisonnablement déduite. L'authentification repose donc ici sur un objet que l'usager détient, la grille matricielle.

Un autre exemple d'identification par mot de passe à usage unique concerne l'utilisation de la technologie SMS ou, plus simplement, de la messagerie texte. Ici, un usager demandant d'accéder à un service informatique recevra par messagerie texte un mot de passe lui permettant l'accès pour une seule session. Ce système repose également sur un objet que possède l'usager, son téléphone cellulaire d'un numéro donné et connu d'avance du service informatique.

Certaines technologies plus poussées utilisent un élément technique dédié à l'authentification des communications comme une carte à puce (comme celle qu'utilisent nos collègues français). Cette dernière technologie est un peu limitative puisqu'elle requiert par définition un lecteur à carte. Une autre technique utilise un port standard des ordinateurs, le port USB. Ici, on fournira à l'usager un identificateur, ou « token », ressemblant à une clé à mémoire et qui contiendra sa signature numérique et son certificat. Ces authentificateurs pourront - ou pas - contenir en plus un système pour générer des mots de passe à usage unique.


À la prochaine !

Aucun commentaire:

Publier un commentaire