Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Julian Lovelock, ActiIdentity : Les jetons OTP sont-ils tous les mêmes ?

août 2011 par Julian Lovelock, directeur principal chez ActivIdentity

Les jetons OTP font la une de l’actualité ces temps-ci en raison de la recrudescence des attaques menées par les pirates à l’encontre des grandes entreprises, des fournisseurs de solutions de sécurité et des organismes gouvernementaux. La tendance actuelle est à la sophistication accrue des menaces. De l’avis de Julian Lovelock, directeur principal chez ActivIdentity, l’un des principaux éditeurs mondiaux de solutions d’identification sécurisée et membre du groupe HID Global, ces attaques expertes laissent à penser que la conception même des jetons OTP serait imparfaite.

Comme le déclare Julian Lovelock : « En février 2010, une grande entreprise a annoncé que ses serveurs avaient fait l’objet d’une attaque APT (Advanced Persistent Threat) avec extraction de données. Et puis au mois de mai, le réseau d’une autre entreprise a subi une “perturbation majeure”, attribuée en partie à une attaque exploitant ces données volées. »

« Ces attaques ont inévitablement fait naître des doutes parmi les professionnels de la sécurité réseau quant au bien-fondé du principe des jetons OTP : ils se demandent si une simple adaptation de la technologie sera suffisante. Pour répondre à cette question, il est important de bien comprendre le fonctionnement des jetons OTP, qui s’articule autour de deux axes : d’une part, la gestion des clés et, d’autre part, l’algorithme du jeton lui-même », continue Julian Lovelock.

Il existe en réalité plusieurs types d’algorithme qui procèdent différemment pour afficher le nombre aléatoire constituant le mot de passe à usage unique. Ces variations ont un impact sur la façon dont nous utilisons les jetons et sur leur niveau de sécurisation.

Les algorithmes OTP se fondent normalement sur une clé statique (par périphérique) et utilisent une variable (ou facteur évolutif) — comme le temps, un événement ou les deux — pour modifier le code secret :

« Certains jetons reposent sur un algorithme temporel. Évidemment, l’utilisation du temps comme variable pose problème : d’une part, ce facteur est commun à tous les périphériques et, d’autre part, tout un chacun peut savoir l’heure qu’il est partout dans le monde. En d’autres termes, si vous parvenez à obtenir la clé d’un jeton et que vous connaissez l’algorithme (combinaison secrète) et l’heure actuelle, vous pouvez générer le nombre aléatoire », ajoute Julian Lovelock.

« D’autres jetons utilisent un compteur ou un événement (nombre de fois où l’utilisateur appuie sur le bouton pour afficher le mot de passe à usage unique) comme variable. Cela signifie que chaque jeton possède une variable différente et qu’il est donc très difficile pour un pirate de prédire le nombre associé à un jeton donné. Le problème des algorithmes OTP reposant sur un simple compteur réside dans le fait que le mot de passe à usage unique n’expire pas réellement et peut donc faire l’objet de tentatives d’hameçonnage (réception d’un courrier électronique envoyé par un pirate se faisant passer pour un tiers de confiance et visant à vous soutirer votre mot de passe à usage unique). »

Ce qui nous amène à une autre catégorie d’algorithmes OTP utilisant à la fois la variable temporelle et le principe de compteur, alliant ainsi le meilleur de chaque type de jeton. En effet, l’hameçonnage s’avère plus ardu et il est plus difficile de prédire le mot de passe, car chaque jeton possède dans la réalité un compteur différent. L’extraction du code secret se révèle donc beaucoup moins efficace.

« En résumé, il existe en réalité plusieurs types de jeton OTP et c’est en comprenant leurs différences que vous pourrez prendre une décision avisée en vue du remplacement de votre système, en demandant éventuellement des jetons qui reposent à la fois sur une variable temporelle et sur un compteur d’événement », conclut Julian Lovelock.


Voir les articles précédents

    

Voir les articles suivants