Avec la multiplication des SI virtualisés (Vmware, Citrix, Microsoft) et l'évolution en parallèle des services et débits réseaux disponibles, l'accès à distance s'est généralisé, et le nomadisme est devenu un usage courant.
Accéder à l'information « de n'importe où et n'importe quand » est le nouveau leitmotiv de l'Entreprise.
La sécurisation de ces nouveaux besoins en accès externes a également suivi cet engouement, en multipliant connexions vpn/ssl, dmz et firewall etc...
Il reste toutefois une brique qui a du mal à trouver la solution adaptée au monde de la virtualisation : l'authentification des utilisateurs.
En effet, pas de connexion de l'extérieur vers le SI sans authentification renforcée des utilisateurs.
Oui, il existe de nombreuses solutions d'authentification à plusieurs facteurs : token/clef/calculette/applet PDA - fournissant un code à utilisation unique (OTP), clef/badge avec certificat, lecteur biométrique, carte matricielle type bingo card.
La particularité commune à toutes ces solutions est de devoir posséder un matériel physique autonome (token) ou à connecter (lecteur) pour accéder à un environnement virtuel : un paradoxe !
Certains éditeurs comme RSA proposent d'ores et déjà des solutions complémentaires à base d'envois de SMS, d'applications sur PDA, ou de software token (application à installer sur le poste remplaçant le token physique).
Le pas vers la dématérialisation totale, SWIVEL l'a franchi avec sa solution novatrice PINSAFE.
Accéder à l'information « de n'importe où et n'importe quand » est le nouveau leitmotiv de l'Entreprise.
La sécurisation de ces nouveaux besoins en accès externes a également suivi cet engouement, en multipliant connexions vpn/ssl, dmz et firewall etc...
Il reste toutefois une brique qui a du mal à trouver la solution adaptée au monde de la virtualisation : l'authentification des utilisateurs.
En effet, pas de connexion de l'extérieur vers le SI sans authentification renforcée des utilisateurs.
Oui, il existe de nombreuses solutions d'authentification à plusieurs facteurs : token/clef/calculette/applet PDA - fournissant un code à utilisation unique (OTP), clef/badge avec certificat, lecteur biométrique, carte matricielle type bingo card.
La particularité commune à toutes ces solutions est de devoir posséder un matériel physique autonome (token) ou à connecter (lecteur) pour accéder à un environnement virtuel : un paradoxe !
Certains éditeurs comme RSA proposent d'ores et déjà des solutions complémentaires à base d'envois de SMS, d'applications sur PDA, ou de software token (application à installer sur le poste remplaçant le token physique).
Le pas vers la dématérialisation totale, SWIVEL l'a franchi avec sa solution novatrice PINSAFE.
SWIVEL est une société créée en 2000 dont le cœur de métier est l'authentification à 2 facteurs.
300 déploiements à travers 30 pays ont déjà été réalisés avec le produit Pinsafe.
SWIVEL Pinsafe est une solution d'authentification renforcée dématérialisée (tokenless - sans token physique), fonctionnant sur le principe d'une suite de chiffres en code de Turing / Captcha affichée sur la page d'authentification.
Parenthèse: Captcha (Completely Automated Public Turing test to Tell Computers and Humans Apart) est une forme de test de Turing permettant de différencier de manière automatisée un utilisateur humain d'un ordinateur, Le concept Captcha est simple, un code s'affiche au sein d'une image déformée et difficilement lisible, l'humain digne de ce nom interprète le code et le saisi.
Avec PINSAFE, l'utilisateur se sert donc de son code PIN qu'il a mémorisé pour identifier la position des chiffres dans cette suite numérique affichée en Captcha, et il en déduit son passcode (one time code - OTC), qu'il doit ensuite saisir dans le portail.
*A noter - pour compléter cette solution, SWIVEL propose aussi en complément une solution d'applets sur PDA (génération locale de la chaine de sécurité) ou d'envois de cette la chaîne de sécurité (code de Turing) via SMS.
Déduction du passcode à partir du code PIN
et de la chaine de carractères affichée par le Captcha
et de la chaine de carractères affichée par le Captcha
Dans sa version totalement dématérialisée, Swivel Pinsafe se compose d'une architecture en 2 parties:
- une appliance physique ou virtuelle d'authentification et de génération de code (ou installation du logiciel Pinsafe sur un serveur dédié classique)
- agents à installer sur les machines/portail nécessitant une authentification renforcée
- aucune installation sur la partie cliente ni token à posséder
Cas fréquents d'usage
- accès distant (internet/intranet)
- sécurisation d'application
- web mail
- durcissement de mot de passe
- plan pandémique
- accès Wifi,
- portails B2C (banques, web marchant...)
- portails B2B (accès partenaires, accès priviligiés...)
Systèmes supportés
- Microsoft: Outlook Web Access, IIS, ISA Server, IAG/Whale
- Radius SSL technologies: Checkpoint VPN, Juniper SSL VPN, Citrix Access Gateway, Netilla, Aventail, Array Networks, F5, Cisco
Exemple d'intégration avec Citrix Web Interface/CAG
si PIN = 26090 et chaîne de sécurité (code de Turing) = FWU6934CA2,
passcode = W32A2 (position 2, 6, 0, 9, 0 au niveau du code de Turing)
passcode = W32A2 (position 2, 6, 0, 9, 0 au niveau du code de Turing)
- L'utilisateur renseigne son login, puis clique sur « Get Code »
- la security string (code de Turing) est alors généré par le serveur/appliance Swivel et affiché sur la page d'authentification
*cette chaine de caractères peut être alphanumérique
*le code de turing affiché en GIF peut être d'aspects graphiques différents selon la difficulté de lecture souhaitée
*le code généré est propre à l'utilisateur, et valable une seule fois - l'utilisateur déduit de son PIN (qui peut être à 4, 6, 8,10 chiffres) son passcode : identifiés par le PIN qui donne la position au sein de la chaine de sécurité.
- l'utilisateur renseigne son password AD + passcode OTC résultant
Outre sa simplicité de mise en œuvre et de l'éventail important de système compatibles avec la solution (qui s'appuie sur du radius), SWIVEL bénéficie d'un support technique très réactif et de tarifs très attractifs face à la concurrence (2 à 4 fois moins cher face aux grandes maisons habituelles), avec il est vrai un focus sur la dématérialisation totale de token là où d'autres peuvent proposer des gammes plus étendues.
*A noter : SWIVEL pratique de plus une tarification spéciale pour les usages en pandémie. En effet, PINSAFE peut être rapidement déployé pour cet usage, car aucune gestion de token physique ni déploiement coté poste distant n'est à mettre en œuvre.