Difficile pour un pirate de déjouer
la tactique du "token" : pour identifier
un utilisateur, le terminal lui réclame son User
ID, son code Pin et un mot de passe qui
change toutes les minutes. Mais voilà, pour générer
ce mot de passe, il faut bien équiper l'utilisateur
d'un petit porte-clé bourré d'électronique,
qui fait rapidement monter la facture - une quarantaine
d'euros pour chaque token. Plus gênant encore :
si l'utilisateur souhaite se connecter sans délai
à un nouveau service en ligne, difficile de le
faire attendre, le temps d'expédier le token par
la poste ...
En toute
simplicité
La solution proposée par RSA avec RSA Mobile
? Elle est fort simple et repose presque entièrement
sur un objet d'utilisation courante : le téléphone
portable. L'utilisateur se connecte - sur son intranet,
son extranet ou même un site Internet -,
il saisit son code Pin, son User ID et il attend. Quelques
secondes plus tard, un mot de passe apparaît sur
l'écran de son téléphone portable
au format SMS. Le tour est joué : l'utilisateur
est identifié dans la minute, sans qu'il soit
pour autant nécessaire de l'équiper d'un
coûteux token.
Des économies en
perspective ? Pas si sûr : un serveur
(installé chez le client) expédie un SMS
à chaque connexion, ce qui induit un coût
variable. "Il est vrai que celà coûte
une certaine somme à l'expéditeur, mais
lorsqu'on négocie de grandes quantités
de messages, on en arrive à un prix de 2 à
3 centimes d'euro par SMS" explique Derek Brink,
Chef de Produit Corp. chez RSA.
Une
solution complémentaire
RSA
ne compte pas détrôner les token classiques
avec son produit : "Nous fabriquons des millions
de tokens chaque année, et RSA Mobile
ne va pas changer la donne. Les deux solutions s'adressent
à deux marchés différents. Losqu'un
utilisateur a besoin de se connecter plusieurs fois
par jour à son poste client, le Token reste la
meilleure option. Mais s'il souhaite se connecter une
à deux fois par semaine à un site Internet
sécurisé, la solution du mobile devient
vraiment compétitive" argue Kevin Bocek,
ingénieur avant vente pour l'Europe.
Selon Derek Brink, "de
nombreux responsables informatiques aimeraient améliorer
la sécurité de leur site Web ou de leur
Intranet, et RSA mobile devrait les intéresser".
Quelles sont donc ces nouvelles applications ?
RSA semble regarder de très près l'identification
des clients des banques en ligne. "Une partie des
DSI du milieu ne sont pas satisfaits par la solution
d'identification qu'ils ont mis en place. Certains ont
même opté pour un envoi massif de tokens
à leurs clients. Pour les banques, notre système
d'identification serait un excellent arguement commercial".
Nouveaux
marchés
RSA
vise d'autres marchés : "British Telecom
s'intéresse de très près à
RSA Mobile pour épauler ses ingénieurs
au cours de leurs déplacements : notre produit
leur permettrait de rédiger des rapports et d'envoyer
des informations à distance de façon tout
à fait sécurisée". De même,
RSA pense que les administrateurs Intranet pourraient
être très intéressés par
le produit (dont la sortie est prévue fin septembre).
Seule limite : la transaction entre le client et
le serveur ne pourra se faire qu'à travers un
navigateur Web.
Bonne nouvelle : RSA
a fait en sorte que son système soit utilisable
aux quatre coins de la planète. "Le SMS
permet de délivrer un mot de passe dans n'importe
quel pays en 5 à 10 secondes. Nous avons d'ailleurs
des accords avec des prestataires de service SMS dans
de nombreux pays étrangers". Les frontières
ne devraient donc pas être une limite.
Demeure toutefois un problème
de taille : tous les internautes (quoiqu'une grande
partie tout de même) ne disposent pas d'un téléphone
portable. Le système de RSA ne peut par conséquent
pas se dire parfaitement universel. Et pour cause :
le système perd tout son attrait si quelques utilisateurs
sont autorisés à se connecter sans mobile,
d'une façon plus classique et moins sécurisée.
En effet, la force d'un système de sécurité
est égale à celle de son maillon le plus
faible. Pour bénéficier de RSA Mobile, une
enteprise sera donc obligée d'équiper ses
clients ou ses employés en téléphones
mobiles ... ou de refuser l'accès à
certains.
|