Comment SFR sécurise l'activation des smartphones

Pour protéger l'accès à son portail distributeur, l'opérateur a renoncé aux jetons d'authentification de SecurID pour déployer une solution logicielle signée CA. Les gains ne sont pas seulement économiques.

Le portail distributeur de SFR permet à plus de 5 000 points de vente de souscrire des contrats, d'activer des smartphones ou des services complémentaires aux abonnements, de l'opérateur, entre autres. Sécuriser ces opérations est donc un enjeu essentiel pour SFR. Pour cela, le groupe se servait jusqu'à récemment d'une solution matérielle : les jetons d'authentification, ou tokens, de la filiale de RSA SecurID, devaient générer les mots de passe à usage unique indispensables à l'authentification.

Problème : il fallait acheminer ces tokens, au nombre de 15 000, avec la nécessité de les renouveler tous les trois ans, dans les milliers de points de vente. "Cela engendrait donc des coûts logistiques conséquents : à peu près 100 000 euros par an. En plus, ces jetons pouvaient être prêtés ou oubliés. Cette technologie ne permet donc pas une bonne traçabilité. Et son utilisation n'est pas toujours confortable sur le terrain", fait valoir Selim Baccar, responsable projets sécurité chez SFR. Le problème de la traçabilité est épineux, puisque la règlementation se fait désormais plus contraignante pour les opérateurs, visés depuis l'été 2011 par une loi stricte qui les oblige à révéler et à préciser les fuites de données.

Le piratage de SecurID a "conforté" SFR dans son choix

SFR décide donc de miser sur une technologie similaire, mais logicielle, ce qui permet d'économiser les frais logistiques. Une fois le logiciel installé sur un poste, ce dernier peut accéder de manière sécurisée au portail distributeur tout en laissant une trace fiable de son accès. RSA propose ce type de solution logicielle mais elle était "insuffisamment sécurisée" selon Selim Baccar, qui a eu des doutes sur la sécurité de la solution avant que SecurID soit victime d'un piratage sophistiqué qui aura marqué l'histoire de la sécurité informatique en 2011. Un piratage qui a évidemment entrainé des inquiétudes sur la fiabilité des tokens de SecurID, et qui a "conforté SFR dans son choix" admet aujourd'hui Selim Baccar.

C'est finalement la solution proposée par CA, AuthMinder, qui est retenue. Plus sécurisée, elle permettait aussi à SFR de ne pas trop modifier son infrastructure serveur, car l'opérateur utilisait déjà une solution voisine de CA (SiteMinder). 25 000 licences d'AuthMinder sont acquises. Face aux 15 000 tokens précédents, et leur coût logistique, "le ROI des licences de CA est atteint en trois ans", calcule Selim Baccar. Le déploiement, commencé il y a près d'un an, est presque achevé. Outre un meilleur confort d'utilisation pour les points de vente, "la solution a tenu ses promesses, et fait exactement tout ce qui était promis, ce qui est loin d'être toujours le cas dans le secteur de la sécurité informatique", fait remarquer le chef de projet sécurité de SFR pour conclure.

SFR / Smartphone