Dans leur immense majorité, les systèmes informatiques fonctionnent avec une sécurité statique : au moment de la connexion, l’utilisateur saisit son nom et son mot de passe. Ce système comporte des faiblesses bien connues : pour des raisons évidentes de facilité, l’utilisateur choisit des mots de passe simples. Si les mots de passe se multiplient, l’utilisateur finit par se servir du même pour toutes les applications, ou pis, en établit une liste sur un Post-it… Avec la carte à puce, ces problèmes disparaissent. Au moment de la connexion, l’utilisateur insère la carte dans son lecteur, puis s’identifie par un mot de passe unique, comparable au code d’une carte bancaire. Tous les autres mots de passe stockés sur la carte sont alors disponibles. On peut les utiliser, sans avoir à les ressaisir, par un simple glisser-déposer dans les différentes applications. Pour obtenir un niveau de sécurité supérieur, il est possible d’utiliser un système de mots de passe dynamique. L’accès à la carte est, là encore, contrôlé par un mot de passe unique. On utilise ensuite la carte à puce pour en générer un autre, qui change à chaque nouvelle utilisation de l’application.
La PKI apporte un niveau de sécurité supérieur
Le principal avantage de ce système est d’éviter de faire transiter les mots de passe sur le réseau. Pour augmenter encore le niveau de sécurité, on peut utiliser un système de sécurité à clé publique, dit PKI (Public Key Infrastructure). On sait que ce système, particulièrement ingénieux, repose sur les propriétés mathématiques de la factorisation des très grands nombres entiers. On peut rendre public sans danger la clé qui sert au codage de l’information, car il faut, pour la décoder, une autre clé qui n’est pas calculable à partir de la première. Pour éviter de stocker les clés de décodage dans le système de l’entreprise, on les confie à un tiers de confiance, l’autorité de certification. La PKI permet, en plus du simple contrôle d’accès, de créer des systèmes de signature électronique, et de coder les messages.
La mise en ?”uvre d’un système de sécurité par carte à puce est relativement simple, car les procédures sont largement normalisées. En plus de la sécurisation de l’accès au réseau local à partir de postes fixes, il est également possible de sécuriser cet accès lors de la connexion à distance d’ordinateurs portables. On peut d’ailleurs profiter de la carte pour banaliser les postes de travail : une fois l’utilisateur identifié, le poste initialise son système d’exploitation en tenant compte de ses habitudes de travail. Financièrement, un système de sécurité par carte à puce est bon marché. En fait, le plus cher n’est pas le logiciel, mais le prix d’achat des lecteurs de cartes à puce : il faut en effet compter environ 500 F ht (76 ?) pour un modèle sur poste fixe, et 1 500 F ht (229 ?) sur un ordinateur portable. La production, par Schlumberger et STMicroelectronics, de cartes équipées d’une interface USB va faire baisser considérablement le prix du lecteur, qui se réduira alors à un simple câble avec un coupleur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.