Téléphone portable et Authentification forte

05393623-photo-logo-apple-gb.jpg

La presse a beaucoup relayée la  sortie du dernier Iphone. Beaucoup d’articles ont traités la forme et très peu se sont attachés aux vraies avancées, même si certaines ne sont pas pleinement exploitées aujourd’hui, cela est très prometteur pour les prochaines générations de Smartphones.

Concernant les capacités spécifiques à l’Iphone 5s, je vous renvoi vers un très bon article du Forbes :

http://www.forbes.com/sites/quora/2013/09/18/what-is-apples-new-secure-enclave-and-why-is-it-important/

Par contre nous allons détailler les avancées en matière d’authentification et d’autorisation.

Ces nouveaux terminaux nous permettent désormais de disposer d’informations supplémentaires sur le demandeur comme notamment :

  1. Ce qu’il sait: le code PIN
  2. Ce qu’il détient : le téléphone
  3. Ce qu’il est : le capteur biométrique

On peut ajouter deux éléments supplémentaires qui ne sont pas encore vraiment exploités :

  1. L’amélioration de la précision possible des capteurs  biométriques : couplage au deuxième capteur biométrique déjà existant : la caméra
    • (ex : Analyse des vaisseaux sanguins du visage et du rythme cardiaque : des applications médicales l’utilisent déjà sur les smartphones)
    • Où est le capteur GPS
  2. L’apport du  GPS marque une avancée également dans la gestion des autorisations. Il permet d’améliorer la finesse de la gestion des rôles en ajoutant une dimension contextuelle

La gestion des rôles s’oriente encore aujourd’hui vers les modèles RBAC et ORBAC.

Une dimension contextuelle viendra s’ajouter (Contextual RBAC ou RiskBAC) :

  • Faut-il autoriser cette opération alors que la personne est au bureau en dehors de ses plages de travail habituelles ou que le système RH signale que cette personne est censée être en vacances ?
  • Pouvez-vous consulter votre compte bancaire ou de messagerie alors que vous êtes en vacances à l’étranger ?
  • Pourrez-vous payer lorsque vous n’êtes pas sur l’un de vos lieux d’utilisation habituels ?

Force est de constater qu’aujourd’hui notre téléphone devient de plus en plus indissociable de la personne et devient donc un périphérique personnel qui ne se prêtera plus. Une étape supplémentaire est franchie avec le stockage de données d’authentification forte, une autre le sera lorsqu’il sera reconnu comme moyen de paiement usuel.

Nous rentrons dans l’ère du BYOT (Bring Your Own  Token) et de l’autorisation contextuelle.  Nous commençons déjà à en voir les effets dans les relations avec les consommateurs  sur Internet (B to C),  combien de temps avant qu’il ne s’invite au sein de l’entreprise ?

Philippe

Chef de projet Sécurité