Difficile pour un pirate de déjouer
la tactique du "token" : pour identifier un utilisateur,
le terminal lui réclame son User ID, son code Pin
et un mot de passe qui change toutes les minutes. Mais voilà,
pour générer ce mot de passe, il faut bien équiper
l'utilisateur d'un petit porte-clé bourré d'électronique,
qui fait rapidement monter la facture - une quarantaine d'euros
pour chaque token. Plus gênant encore : si l'utilisateur
souhaite se connecter sans délai à un nouveau service
en ligne, difficile de le faire attendre, le temps d'expédier
le token par la poste ...
En toute simplicité
La solution proposée par RSA avec RSA Mobile ? Elle
est fort simple et repose presque entièrement sur un objet
d'utilisation courante : le téléphone portable.
L'utilisateur se connecte - sur son intranet, son extranet
ou même un site Internet -, il saisit son code Pin, son
User ID et il attend. Quelques secondes plus tard, un mot de passe
apparaît sur l'écran de son téléphone
portable au format SMS. Le tour est joué : l'utilisateur
est identifié dans la minute, sans qu'il soit pour autant
nécessaire de l'équiper d'un coûteux token.
Des économies en perspective ?
Pas si sûr : un serveur (installé chez le client)
expédie un SMS à chaque connexion, ce qui induit un
coût variable. "Il est vrai que celà coûte
une certaine somme à l'expéditeur, mais lorsqu'on
négocie de grandes quantités de messages, on en arrive
à un prix de 2 à 3 centimes d'euro par SMS" explique
Derek Brink, Chef de Produit Corp. chez RSA.
Une solution
complémentaire
RSA ne compte
pas détrôner les token classiques avec son produit :
"Nous fabriquons des millions de tokens chaque année,
et RSA Mobile ne va pas changer la donne. Les deux solutions
s'adressent à deux marchés différents. Losqu'un
utilisateur a besoin de se connecter plusieurs fois par jour à
son poste client, le Token reste la meilleure option. Mais s'il
souhaite se connecter une à deux fois par semaine à
un site Internet sécurisé, la solution du mobile devient
vraiment compétitive" argue Kevin Bocek, ingénieur
avant vente pour l'Europe.
Selon Derek Brink, "de nombreux
responsables informatiques aimeraient améliorer la sécurité
de leur site Web ou de leur Intranet, et RSA mobile devrait les
intéresser". Quelles sont donc ces nouvelles applications ?
RSA semble regarder de très près l'identification
des clients des banques en ligne. "Une partie des DSI du milieu
ne sont pas satisfaits par la solution d'identification qu'ils ont
mis en place. Certains ont même opté pour un envoi
massif de tokens à leurs clients. Pour les banques, notre
système d'identification serait un excellent arguement commercial".
Nouveaux marchés
RSA
vise d'autres marchés : "British Telecom s'intéresse
de très près à RSA Mobile pour épauler
ses ingénieurs au cours de leurs déplacements :
notre produit leur permettrait de rédiger des rapports et
d'envoyer des informations à distance de façon tout
à fait sécurisée". De même, RSA
pense que les administrateurs Intranet pourraient être très
intéressés par le produit (dont la sortie est prévue
fin septembre). Seule limite : la transaction entre le client
et le serveur ne pourra se faire qu'à travers un navigateur
Web.
Bonne nouvelle : RSA a fait en
sorte que son système soit utilisable aux quatre coins de
la planète. "Le SMS permet de délivrer un mot
de passe dans n'importe quel pays en 5 à 10 secondes. Nous
avons d'ailleurs des accords avec des prestataires de service SMS
dans de nombreux pays étrangers". Les frontières
ne devraient donc pas être une limite.
Demeure toutefois un problème
de taille : tous les internautes (quoiqu'une grande partie tout
de même) ne disposent pas d'un téléphone portable.
Le système de RSA ne peut par conséquent pas se dire
parfaitement universel. Et pour cause : le système perd
tout son attrait si quelques utilisateurs sont autorisés à
se connecter sans mobile, d'une façon plus classique et moins
sécurisée. En effet, la force d'un système de
sécurité est égale à celle de son maillon
le plus fiable. Pour bénéficier de RSA Mobile, une enteprise
sera donc obligée d'équiper ses clients ou ses employés
en téléphones mobiles ... ou de refuser l'accès
à certains. [Nicolas Six, JDNet]