Bonjour,
En fait, les banques trouvent actuellement le système par SMS
insuffisant et sont obligées de chercher des solutions à
authentification plus forte. La solution de remplacement devrait être
disponible dans les quelques mois/années à venir : les process des
banques sont toujours super longs (dans un soucis de qualité,
certainement ^^).
Toujours est il que le SMS n'est pas assez sécurisé :
* Il peut être lu par n'importe qui
* Il ne requiert pas de code PIN pour être recu
* Il n'a pas une délivraison garantie, et instantanée (que celui qui
n'a pas raté un problème parce que son SMS est arrivé avec 15 min (ou
plusieurs heures dans les moins bon cas) de retard lève la main =))
* Il est transmissible (renvoi du SMS, épelé sur un appel vocal, etc)
En soi, le sms garantit que *quelqu'un* détient le téléphone et non la
personne très précise qu'on cherche à authentifier (incarnée par le
couple téléphone/Homme).
Florian MAURY
2010/6/24 Giles R DeMourot :
> Bonjour,
>
> Cela fait penser au système d'authentification employé par certaines banques
> (la mienne) en http comme en ftp pour valider les virements (https) ou
> télécharger des documents (ftp), avec code pin généré à chaque demande
> d'accès et envoyé par sms par le serveur de la banque, code qui doit être
> réentré pour accéder à la section virement de son compte sur le serveur
> https, ou ftp pour les documents. Le système est aussi utilisé en https pour
> valider les paiements carte bancaire d'un montant élevé, voire d'un montant
> pas particulièrement élevé pour certaines banques intermédiaires.
>
> GRM
>
> -Original Message-
> From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of
> Florian MAURY
> Sent: Thursday, June 24, 2010 12:13 PM
> To: Liste FRnoG
> Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment
> vous protégez vous ?
>
> Bonjour,
> Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai
> contacté directement en privé pour éviter des gestes trop commerciaux
> directement sur la liste, mais puisque tu le demandes, je vais me faire un
> plaisir de parler d'un produit développé par mon précédent employeur et qui
> répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser
> ce genre d'accès ; Il s'agit d'une solution d'authentification forte par
> téléphonie mobile, qui permet au travers d'un navigateur de générer de
> manière automatique un appel vocal avec le téléphone du client, puis de
> jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce
> son entendu par le téléphone constitue une étape d'authentification, puisque
> effectuée par un autre média qu'Internet, non reproductible, et non
> transportable (une retransmission par un second téléphone ou autre
> dispositif avec compression altérera le message et le rendra
> inauthentifiable). L'authentification peut être renforcée par la demande
> pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant
> s'authentifier est susceptible de ne pas avoir de matériel sonore
> (enceintes, casque, etc...), il est possible d'effectuer l'authentification
> par l'entrée d'un code de transaction : il est à noter cependant que l'on
> perd dès lors l'OTP.
> Je précise, quitte à présenter le produit en détail qu'il est accessible en
> SaaS ou en mode appliance, rackable en datacenter, et que le produit est
> commandable à partir de n'importe quel langage disposant d'une librairie
> d'appel SOAP. Je précise également que cette solution est compatible avec
> tous les téléphones, tous les opérateurs, dans tous les pays.
> Je suis là demain, pour en parler, si vous le souhaitez.
>
> Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir
> discuter du produit en connaissance de cause demain.
> http://www.certificall.net
>
> Ce type de solution s'intercale donc très bien dans l'étape
> d'authentification pour accès à l'espace privé du client. Il est dès lors
> possible de savoir que le client est bien celui qu'il prétend être, et
> ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le
> client peut donc partir en vacances à l'autre bout du monde et toujours
> pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos
> vacances ;) )
>
> A demain,
> Florian MAURY
>
>> 2010/6/24 Mehdi Badreddine :
>>> à ce propos, quid des OTP ? des retours d'expériences ?
>>>
>>> Mehdi
>>>
>>> Le 24 juin 2010 10:35, Jérémie Pogeant a
> écrit :
>
> [snip]
> Citez moi un serveur SFTP qui est capable de :
> - faire des soft quota
> - trouver ses uid/gid/login/pass/clef publique depuis une db ou un
> annuaire ldap
> - qui soit évidement opensource et portable ailleurs que sur du
> linux...
> [/snip]
proFTPd avec mod_sftp et mod_sql (pour la base des users).
Il est compatible avec la gestion des quotas. Par contre je ne sais
pas pour le stockage de la clé publique dans la db.
--
Jérémie Pogeant
>>>
>>
