Dimanche 22 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Mots de passe jetables pour portables sécurisés

Imprimer Envoyer à un ami Contacter la rédaction
Par Burçin Gerçek le 05/09/2002 - indexel.net
 

Des mots de passe valables une seule fois, générés grâce à un algorithme par un appareil spécial : la société Auxitrol a choisi un système d´authentification forte pour protéger ses ordinateurs portables. Les explications de Daniel Vincent, responsable informatique.

 

Petits, pratiques, idéals pour les déplacements : les appareils mobiles, et en particulier les ordinateurs portables, séduisent de plus en plus d´utilisateurs... mais aussi les voleurs. Selon le fournisseur de solutions de sécurité Targus, 300 000 ordinateurs portables seraient volés par an dans le monde. "Quand vous êtes dans un secteur qui traite des informations sensibles, vous pouvez imaginer les dégâts que peuvent représenter le vol d´un portable", explique Daniel Vincent, responsable informatique de la société Auxitrol, spécialisée dans la conception, la fabrication et la vente de systèmes de mesure pour l´aéronautique, le spatial, le nucléaire et la marine.

"N´importe qui peut alors accéder à vos données et même se connecter à distance à votre système d´information s´il récupère aussi votre mot de passe", ajoute-t-il. Scénario relevant des films d´espionnage ? Pas si sûr, répond le responsable. "Nos commerciaux en déplacement doivent se connecter à leur messagerie ou à notre ERP via notre extranet, parfois depuis les salles d´aéroports. Mais dans ces lieux publics, tout le monde peut facilement voir le mot de passe tapé sur le clavier d´un portable. Et dans ce cas, ni notre VPN, ni notre firewall ne peut nous protéger d´une usurpation d´identité".

Récupération impossible des mots de passe

Or le domaine d´activité de l´entreprise ne tolère aucune erreur en matière de sécurité : il fallait donc passer à un haut niveau de protection. Auxitrol adopte en 2001 le système de sécurisation Digipass, développé par Vasco. Le principe de la solution : changer les mots de passe à chaque session, donc rendre impossible leur récupération par vol ou par intrusion. C´est un petit appareil qui ressemble à une calculette, baptisé Digipass, qui se charge de la génération des mots de passe. Avant de se connecter au réseau de l´entreprise, l´utilisateur doit entrer son code sur cet outil (appelé aussi "token"). Grâce à un algorithme spécial, l´outil génère alors un mot de passe à utilisation unique, qui ne sera valable que pour cette connexion.
"Le système n´attribue pas les mots de passe de façon aléatoire car il faut que ces codes puissent être reconnus par notre serveur", précise Daniel Vincent. Fonctionnant avec le même logiciel d´algorithme, le serveur calcule le mot de passe que doit générer un Digipass précis, à une heure et à une date précise. Ainsi, l´outil d´un utilisateur différent ne donnera pas le même mot de passe à la même heure de connexion.

Un projet de 12000 euros

Quels sont les avantages de ce système par rapport aux autres solutions d´authentification forte, comme les cartes à puce, la biométrie, la reconnaissance vocale ou digitale ? "Le système à carte à puce de RSA est le leader du marché. Mais c´est une solution qui coûte assez chère et avec un inconvénient : vous devez changer les cartes à puce tous les 2 ans, ce qui augmente le coût du projet". Quant à la biométrie ou à la reconnaissance vocale, le responsable ne les trouvait pas "mûres" à cette époque. "Nous sommes une société de 1000 personnes qui a déployé cette solution en France pour l´instant, nous n´avons pas de laboratoires d´essai pour tester toutes les nouvelles solutions informatiques", souligne-t-il.
"Nous ne pouvions pas investir dans une solution qui n´avait pas fait ses preuves. Nous avons étudié les systèmes utilisés par le secteur bancaire, qui exige un niveau de sécurité aussi élevé que le nôtre. Et nous avons vu que plusieurs banques américaines, hollandaises ou belges utilisaient des systèmes d´authentification forte : un secret (code pin) et un objet que l´on posséde pour générer un mots de passe valable une seule fois".Autre avantage du système : sa facilité d´utilisation et d´installation. Le déploiement ?mise en place du "Secure server" qui contient le logiciel d´algorithme et paramétrage des tokens ? se fait en 3 jours et les salariés n´ont pas besoin d´avoir de compétences pointues en sécurité pour utiliser les Digipass. "Le risque zéro n´existe pas, mais ce système réduit considérablement les risques humains, qui relèvent surtout de l´inattention", explique Daniel Vincent. Digipass est aujourd´hui déployé sur une cinquantaine de portables utilisés essentiellement par des commerciaux, mais aussi par les informaticiens du support technique, la DRH et la direction. Le projet a coûté environ 12 000 euros. L´entreprise envisage aujourd´hui de déployer la solution en interne, pour sécuriser l´accès depuis les postes de travail fixes.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages