Mobile et codes-barres 2D sécurisent l'authentification

Par 29 mars 2010
Mots-clés : Smart city

Open Sesame facilite l'accès à ses comptes personnels sur des sites en photographiant uniquement un code-barre. Le système permet de se protéger des logiciels espions qui mémorisent les touches frappées.

Pour sécuriser la rédaction de mots de passe et empêcher les tentatives de récupération par des enregistreurs de frappe (keyloggers), l'université de Tübingen propose de s'en remettre au mobile et aux codes-barres 2D. Une équipe du département de sciences informatiques a mis au point Open Sesame, un système qui permet de s'identifier sur un site partenaire simplement en photographiant un code-barre. Et ce, depuis n'importe quel poste. Aucune autre manipulation n'est ensuite requise, comme la validation de sa demande. L'utilisateur doit s'inscrire au service puis télécharger le logiciel applicatif sur son smartphone. Pour relier des comptes au système, il doit ensuite réaliser une procédure d'initialisation : celle-ci relie le nom du serveur, l'identifiant et le mot de passe de la personne, ainsi qu'une clé secrète pour chaque page.
Scanner avec son téléphone
Le processus est ensuite simple : à chaque fois qu'il souhaite se connecter à un compte, l'internaute doit se rendre sur la page d'authentification. Là, OpenSesame affiche un code-barre - qui encode le nom du serveur et un identifiant de session - qu'il lui faut scanner avec la caméra de son téléphone. Le logiciel recherche alors le nom de l'utilisateur relié au compte auquel il souhaite accéder. Une fois ces données validées, il envoie à un serveur une note comprenant l'identifiant de session, celui de l'utilisateur et son mot de passe. Le serveur contrôle les informations reçues. Si la réponse est positive, il se connecte à la fenêtre de navigation sur l'ordinateur et ouvre la page de l'utilisateur.
Accéder à des sites sensibles
Pour accéder à un service contenant des données sensibles - comme celui de son compte bancaire - l'université rajoute une couche de sécurité : les concepteurs du service proposent de profiter de l'option PIN. A ce moment-là, l'utilisateur n'accède pas directement à son compte après avoir scanné le code-barre. Mais il reçoit sur son téléphone un code composé de huit chiffres. Il doit ensuite les retranscrire sur un pavé affiché à côté du code-barre. Cela en cliquant sur les bons chiffres avec sa souris : en cas de présence de chevaux de Troie, ces derniers ne pourront apercevoir que les clics et pas les données. Un tel dispositif permet à Open Sesame de fonctionner en cas d'impossibilité de se connecter à Internet depuis son mobile, ou si l'utilisateur ne dispose pas d'un smartphone.

Mentions légales © L’Atelier BNP Paribas