VP Marketing et Stratégie de Bee Ware (www.bee-ware.net), un éditeur de solutions de sécurité Web, Eric Battistoni propose cette tribune sur les problématiques d'authentification en entreprise...

Dès que l'on parle de transaction, la première des précautions consiste à s'assurer de l'identité des parties. Dans le monde des applications Web cette précaution devient une véritable priorité. Authentifier de façon incontournable les utilisateurs est une condition indispensable pour garantir confidentialité et intégrité des données transmises, c'est aussi la meilleure des protections contre les Hackers et autres utilisateurs malicieux.

L'importance de l'Authentification

L'authentification forte est également appelée authentification à 2 facteurs. L'authentification classique (identifiant + mot de passe) s'appuie sur un facteur unique de sécurité constitué par le mot de passe. L'authentification forte utilise un deuxième facteur de sécurité matérialisé par un Token ou une carte d'accès. Pour être authentifié l'utilisateur doit à la fois faire la preuve d'une connaissance (le mot de passe) et d'une possession (la carte d'accès). L'authentification forte est également associée à un concept de mot de passe unique (One Time Password -OTP) qui garantit que même si un pirate parvenait à capturer une séquence d'authentification pour la rejouer ultérieurement il ne pourrait pas pour autant accéder à l'application.

Les risques liés au processus d'authentification

Le premier risque concerne les utilisateurs et les données qu'ils confient à l'application. Un utilisateur malicieux peut chercher à connaître les données appartenant à un autre utilisateur, ou un pirate peut dérober et / ou divulguer la totalité des informations d'une base de données utilisateurs. Le deuxième risque concerne l'application et le serveur qui la supporte. Une faille dans un script d'authentification peut rendre une application complètement vulnérable, pouvant permettre à un pirate de prendre le contrôle du serveur. L'authentification forte est une garantie reconnue pour la sécurité. Elle interdit toute tentative d'usurpation de comptes, qu'il s'agisse de vol d'identifiant ou d'attaque « Brute Force », elle protège du risque lié à l'utilisation de mot de passe faible ou de vulnérabilité présente dans le script d'authentification. En garantissant une authentification inviolable, c'est non seulement l'application mais surtout les utilisateurs qui sont protégés. Les informations confiées ne seront alors ni détournées ni altérées. Cet élément est un point stratégique dans le monde du transactionnel.

Obligations, réglementations et bénéfices divers

L'authentification est une composante clef de toute architecture applicative et, en tant que telle, est au cœur de différentes recommandations et réglementations. La CNIL a émis à plusieurs reprises des préconisations pour l'utilisation de mécanismes d'authentification forte dans les applications sensibles (banque, transactions électroniques, e-administration…). Dans un autre domaine, la réglementation PCI DSS (traitement des données relatives aux cartes de paiement) impose une robustesse de l'application vis à vis des attaques et malversations Web. L'authentification forte répond très positivement à cette demande pour ce qui concerne l'authentification et de ce fait constitue un des éléments permettant d'obtenir la certification PCI DSS.

La sécurité n'est pas le seul intérêt de l'authentification forte. De par leur consistance physique le Token ou la carte d'accès représentent un lien matériel entre le fournisseur de services et ses utilisateurs. Le possesseur d'une carte d'accès est ainsi valorisé et se voit accorder le statut de membre, ou d'utilisateur privilégié. Déployer une solution d'authentification forte conjugue donc le bénéfice de la confiance, grâce à une sécurité renforcée, avec celui de la fidélisation client.