Sécurité
RSA délivre des mots de passe dynamiques par SMS
Un mot de passe renouvelé toutes les minutes est un excellent gage de sécurité. RSA élimine la contrainte du token en les délivrant par SMS. Les applications sont légion, banque en ligne en tête. (Vendredi 6 septembre 2002)
     
A lire également
Trop de mots de passe inefficaces sur les réseaux

De l'art de choisir le bon mot de passe

Les clés 1024 bits ne sont pas incassables

Vocabulaire et algorithmes de la cryptographie
Difficile pour un pirate de déjouer la tactique du "token" : pour identifier un utilisateur, le terminal lui réclame son User ID, son code Pin et un mot de passe qui change toutes les minutes. Mais voilà, pour générer ce mot de passe, il faut bien équiper l'utilisateur d'un petit porte-clé bourré d'électronique, qui fait rapidement monter la facture - une quarantaine d'euros pour chaque token. Plus gênant encore : si l'utilisateur souhaite se connecter sans délai à un nouveau service en ligne, difficile de le faire attendre, le temps d'expédier le token par la poste ...

En toute simplicité
La solution proposée par RSA avec RSA Mobile ? Elle est fort simple et repose presque entièrement sur un objet d'utilisation courante : le téléphone portable. L'utilisateur se connecte - sur son intranet, son extranet ou même un site Internet -, il saisit son code Pin, son User ID et il attend. Quelques secondes plus tard, un mot de passe apparaît sur l'écran de son téléphone portable au format SMS. Le tour est joué : l'utilisateur est identifié dans la minute, sans qu'il soit pour autant nécessaire de l'équiper d'un coûteux token.

Des économies en perspective ? Pas si sûr : un serveur (installé chez le client) expédie un SMS à chaque connexion, ce qui induit un coût variable. "Il est vrai que celà coûte une certaine somme à l'expéditeur, mais lorsqu'on négocie de grandes quantités de messages, on en arrive à un prix de 2 à 3 centimes d'euro par SMS" explique Derek Brink, Chef de Produit Corp. chez RSA.

Une solution complémentaire
RSA ne compte pas détrôner les token classiques avec son produit : "Nous fabriquons des millions de tokens chaque année, et RSA Mobile ne va pas changer la donne. Les deux solutions s'adressent à deux marchés différents. Losqu'un utilisateur a besoin de se connecter plusieurs fois par jour à son poste client, le Token reste la meilleure option. Mais s'il souhaite se connecter une à deux fois par semaine à un site Internet sécurisé, la solution du mobile devient vraiment compétitive" argue Kevin Bocek, ingénieur avant vente pour l'Europe.

Selon Derek Brink, "de nombreux responsables informatiques aimeraient améliorer la sécurité de leur site Web ou de leur Intranet, et RSA mobile devrait les intéresser". Quelles sont donc ces nouvelles applications ? RSA semble regarder de très près l'identification des clients des banques en ligne. "Une partie des DSI du milieu ne sont pas satisfaits par la solution d'identification qu'ils ont mis en place. Certains ont même opté pour un envoi massif de tokens à leurs clients. Pour les banques, notre système d'identification serait un excellent arguement commercial".

Nouveaux marchés
RSA vise d'autres marchés : "British Telecom s'intéresse de très près à RSA Mobile pour épauler ses ingénieurs au cours de leurs déplacements : notre produit leur permettrait de rédiger des rapports et d'envoyer des informations à distance de façon tout à fait sécurisée". De même, RSA pense que les administrateurs Intranet pourraient être très intéressés par le produit (dont la sortie est prévue fin septembre). Seule limite : la transaction entre le client et le serveur ne pourra se faire qu'à travers un navigateur Web.

Bonne nouvelle : RSA a fait en sorte que son système soit utilisable aux quatre coins de la planète. "Le SMS permet de délivrer un mot de passe dans n'importe quel pays en 5 à 10 secondes. Nous avons d'ailleurs des accords avec des prestataires de service SMS dans de nombreux pays étrangers". Les frontières ne devraient donc pas être une limite.

Demeure toutefois un problème de taille : tous les internautes (quoiqu'une grande partie tout de même) ne disposent pas d'un téléphone portable. Le système de RSA ne peut par conséquent pas se dire parfaitement universel. Et pour cause : le système perd tout son attrait si quelques utilisateurs sont autorisés à se connecter sans mobile, d'une façon plus classique et moins sécurisée. En effet, la force d'un système de sécurité est égale à celle de son maillon le plus faible. Pour bénéficier de RSA Mobile, une enteprise sera donc obligée d'équiper ses clients ou ses employés en téléphones mobiles ... ou de refuser l'accès à certains.
[Nicolas Six, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY