Authentification forte

La technologie du mot de passe à usage unique (One Time Password - OTP), qui permet de s'authentifier avec un mot de passe à usage unique ou l'utilisation d'une carte matricielle d'authentification. Il n'est donc pas possible de garantir une véritable non-répudiation. Elle est fondée sur l'utilisation d'un secret partagé (cryptographie symétrique). L'authentifieur contient le secret. Le serveur d'authentification contient le même secret. Grâce au partage de ce dénominateur commun il est alors possible de générer des mots de passe à usage unique (ou OTP). Exemples de solution de type OTP :

• L'utilisation des SMS. Ce système utilise la technologie des SMS. L'utilisateur reçoit un OTP directement sur son téléphone portable. Le téléphone portable est considéré comme un authentifieur.
• La liste à biffer (ou Transaction Authentication Number - TAN). Il s'agit de rentrer un OTP provenant d'une liste de codes fournie par exemple par la banque. Cette liste est considérée comme un authentifieur.
• L'authentification à carte matricielle (ou Matrix card authentication). Il s'agit de rentrer un OTP provenant d'une carte matricielle fournie. Ce système utilise les coordonnées en Y et X. La carte matricielle est considérée comme un authentifieur.

Pour atteindre une authentification forte, en plus du secret partagé, un deuxième dénominateur commun doit être introduit dans le serveur d'authentification. Ce dénominateur est synchrone ou asynchrone :

• authentifieurs synchrones :
  • authentifieur fondé sur le temps. Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est le temps. Chaque partie est synchronisée sur le temps universel coordonné (UTC). On utilise alors un code PIN comme deuxième facteur d'authentification. Ces authentifieurs sont définis comme une technologie dite synchrone. Chaque minute, par exemple, ces authentifieurs affichent un nouveau « token », le One Time Password. L'exemple le plus connu est le SecurID de la société RSA Security.
  • authentifieur fondé sur un compteur. Ces authentifieurs utilisent, en plus du secret partagé, un dénominateur commun qui est un compteur. Chaque partie se synchronise sur le compteur. On utilise alors un code PIN comme deuxième facteur d'authentification. Le code PIN peut être entré sur un mini clavier. Comme la technologie fondée sur le temps, ces authentifieurs ne sont pas capables d'offrir la non-répudiation.

• authentifieurs asynchrones : ces authentifieurs fondés sur une authentification défi-réponse ou « challenge-réponse » utilisent, en plus du secret partagé, un nombre aléatoire (appelé nonce) généré par le serveur d'authentification. Le client reçoit ce nonce et répond au serveur. On utilise alors un code PIN comme deuxième facteur d'authentification. Le code PIN peut être entré sur un mini clavier. Comme cette technologie utilise un secret partagé, ces authentifieurs ne sont pas capables d'offrir la non-répudiation. Ces authentifieurs sont définis comme une technologie asynchrone dite OCRA (pour OATH Challenge-Response Algorithm) normalisée par le consortium OATH visant à développer des normes ouvertes d’authentification forte ;

Du fait que ce type de technologie utilise un secret partagé il n'est pas possible d'assurer la non-répudiation. La technologie du certificat numérique permet a contrario de garantir la non-répudiation.

Le certificat numérique[8] est fondé sur l'utilisation de la cryptographie asymétrique et l'utilisation d'un défi (challenge). Il est possible de garantir la non-répudiation car seule l'identité possède la clé privée. Ce sont par exemple :

• l'infrastructure à clés publiques (Public Key Infrastructure - PKI) ;
• le chiffrement RSA (inventé par les cryptologues américains Rivest, Shamir et Adleman)
• le protocole PKInit de Kerberos (Cerbère).

Le certificat numérique réside sur une carte à puce ou une clé USB ou un authentifieur hybride :

Carte à puce.

Exemple d'authentifieur hybride.

• Carte à puce. Pour sécuriser la clé privée et stocker le certificat numérique, la carte à puce est une solution très efficace. Cette technologie permet aussi d'implémenter d'autres fonctions telles que la sécurité des bâtiments, l'utilisation de badgeuse, etc. Généralement, la carte à puce est liée à l'utilisation d'un code PIN ou par l'utilisation de la biométrie. Lorsque la biométrie remplace le code PIN, le système offre une preuve « quasi absolue » du porteur de la carte (voir technologie Match-On-Card).

• Authentifieur USB. Ces authentifieurs utilisent la même technologie cryptographique que les cartes à puces. Ce type d'authentifieur est capable de stocker, générer du matériel cryptographique de façon très sécurisée. Ces authentifieurs sont définis comme une technologie dite connectée. En d'autres termes, il est nécessaire de « brancher » cet authentifieur sur l'ordinateur via le port USB. L'inconvénient majeur de cette technologie est qu'elle n'est pas vraiment portable. Par exemple, il est difficile d'utiliser son authentifieur USB sur une borne internet (dans un « kiosque », un hôtel, etc.).

• Authentifieur de type hybride. Ces authentifieurs offrent le meilleur des deux mondes. Ils sont capables de gérer les certificats numériques et d'offrir une solution très portable pour les nomades avec la technologie OTP.

La biométrie repose sur la reconnaissance d'une caractéristique[note 2] ou d'un comportement unique[9]. Exemple : la technologie d'authentification biométrique sur carte à puce Match-on-Card (MOC).

• Moneticien : Article sur la définition de l'identification et l'authentification - Octobre 2015
• L’Authentification de A à Z - septembre 2003 - Livre blanc
• (en) Authentification forte obligatoire pour les organismes financiers aux États-Unis - octobre 2005
• Biométrie Les principaux sont basés sur la reconnaissance de l'empreinte digitale, de l'iris de l'œil, ou la reconnaissance faciale (caméra 3D). https://www.securiteinfo.com/conseils/biometrie.shtml