Sécuriser mes connexions sur Internet - Label IDéNum - Annonce du Gouvernement et réalités

Informations pour votre compte
Authentification
Visiteurs : 4070 (1 par jour)
Info Vie Mon Réseau N°796-1458

Sécuriser mes connexions sur Internet - Label IDéNum - Annonce du Gouvernement et réalités

Commentaires

Nathalie Kosciusko-Morizet, a présenté le label IDéNum visant à remplacer les mots de passe par un système d’identification physique tel qu’un téléphone, une clé USB ou une carte à puce pour accéder à n’importe quel service en ligne.
« Le label IDéNum repose sur l’association d’un certificat avec un support physique de type clé USB, carte à puce, carte SIM d’un téléphone portable, et un code secret pour l’activation du support. »
« Pour l’internaute, l’opération ne sera pas gratuite, puisque les organismes qui émettront des certificats valables de 3 à 5 ans sont » libres de leur politique commerciale ".

  • Pistes à débattre
    • On parle ici d’authentification uniquement, et non de sécurité, qu’il s’agisse d’un mot de passe ou d’un certificat sur support physique, tant que l’ensemble de ces informations transite sur des réseaux ouverts, le problème reste entier (Attaques de type « Man In The Middle », comme l’a encore démontré Ross Anderson). Centraliser les authentifications sur quelques prestataires ne ferait que simplifier la tâche aux hackers…
    • La délégation de l’authentification ne change rien non plus à la sécurité des services s’appuyant sur ce système (faille du système, vol de session…), alors que l’utilisateur se croit généralement plus protégé lorsqu’il utilise une clé physique..
    • L’usage d’un support standard (périphérique USB) multiplie les risques de vol du certificat et/ou code d’activation (copie, malware, usage nomade sur des machines non fiables…)
    • L’aspect commercial, payant et sa limitation à la France limitent de fait la portée du projet.
  • Quelques approches de l’authentification
    • L’approche retenue pour limiter le nombre de mots de passe, centraliser l’authentification (ce qui techniquement revient à la déléguer à un tiers de confiance), n’est pas nouvelle, OpenId a dans ce domaine quelques longueurs d’avance.
    • Une autre approche est l’usage de mots de passe volatiles transitant par des réseaux privés : le besoin de s’authentifier génère un mot de passe, reçu par exemple par SMS, utilisable uniquement là où l’utilisateur veut s’authentifier et quelques minutes seulement. Ce genre de système existe depuis plusieurs années et règle à la fois le problème du support physique et de la mémorisation de mots de passe, tout en réglant le problème de la sécurisation de l’échange des clés. S’il n’est pas plus développé aujourd’hui, c’est simplement qu’il a un coût devant être supporté par les utilisateurs.



par Redaction Wirkers le 2 février 2010
modifie le 11 février 2010
Suite à donner