
L’utilisateur se connecte depuis son navigateur sur la page d’authentification du pare-feu.
Il saisit son login et le code OTP
Les mots de passes sont omniprésents dans nos vies professionnelles et personnelles, grâce à eux, nous pouvons prouver notre identité et ainsi accéder à des espaces privés (messageries, partage de fichiers, VPN, bureau à distance…).
Malheureusement, c’est souvent ce même mot de passe qui est le talon d’Achille de nos systèmes d’informations : trop facile à partager et pas assez complexe, il est aujourd’hui la cause de nombreux piratages et autres vols de données (ransomware).
C’est pourquoi EXER a développé pour ses revendeurs et intégrateurs une solution d’authentification forte de type « OTP » (One Time Password, ou mot de passe à usage unique). Le principe est simple, lorsque l’utilisateur se connecte avec son VPN ou à son portail SSL, il s’authentifie avec un mot de passe unique (généré par son smartphone ou une application), dont l’usage est limité dans le temps
Le mot de passe généré est de type« TOTP » (Time-based One-time Password), décrit dans la RFC 6238.
Pour chaque utilisateur, un secret maître est généré, de ce dernier découleront les mots de passe à usage unique. Le secret est généralement transmis sous forme de QRcode
Basée sur le protocole RADIUS, la solution a été validée avec les parefeu Stormshield, que ce soit au niveau VPN (SSL ou IPSec Xauth) ou au niveau du portail d’authentification.
Ceci permet donc de sécuriser les accès à distance, que ce soit via VPN ou via ouverture de port sécurisée (via authentification préalable).
Exemple d’usage pour un accès bureau à distance sécurisé
L’utilisateur se connecte depuis son navigateur sur la page d’authentification du pare-feu.
Il saisit son login et le code OTP
Le code OTP peut être généré par 3 types de supports :
L’application pour smartphone
La carte NFC
Le porte clef NFC
Désormais authentifié, le client peut lancer sa connexion bureau à distance : Il s’authentifie alors avec son mot de passe Windows «classique» et peut travailler normalement.
Ici nous avons bien deux facteurs d’authentification : l’OTP sur le portail, puis le mot de passe Windows pour l’accès RDP
Il est toutefois possible de combiner dès la première étape, l’OTP avec un mot de passe statique, afin d’augmenter encore le niveau de sécurité (c’est préconisé dans le cadre d’un VPN, où il n’y a qu’une seule saisie du mot de passe)
Les nouveautés de la version 3.0
Euratechnologies – Bâtiment Cube
35 rue Winston Churchill
59160 Lille – Lomme