La nouvelle technologie d'authentification de Kenneth Weiss, qui utilise en plus la biométrie vocale, pourrait être déployée pour sécuriser les paiements mobiles, les transactions bancaires et le cloud computing. « C'est beaucoup plus approprié pour la technologie cloud émergente et les transactions financières, » a déclaré l'ancien fondateur de Security Dynamics Technologies, devenue RSA. Pour l'instant, cette technologie n'a pas encore été déployée dans des produits ou des services, mais l'inventeur explique que les différents éléments de cette technologie, parmi lesquels on trouve aussi un composant serveur pour authentifier l'identité de l'utilisateur, sont plus puissants que le système SecurID précédent, car elle ne se contente pas seulement de livrer un mot de passe à usage unique.
Elle vérifie l'identité de l'utilisateur en réalisant une analyse biométrique vocale, ce qui en fait un système d'authentification à trois niveaux. «Vous entrez un code PIN, vous parlez, et ensuite, la séquence de code unique à l'intérieur du téléphone produit un nombre aléatoire, » explique Kenneth Weiss, qui espère bien vendre sa technologie sous licence via son entreprise nouvellement créée Universal Secure Registry (USR). « Une partie de la technologie au coeur de ce système d'authentification repose sur des brevets de token SecurID désormais dans le domaine public, » a expliqué l'inventeur.
Une sécurité compromise chez RSA
SecurID a beaucoup attiré l'attention ces derniers temps, depuis que RSA a reconnu qui ses réseaux avaient été piratés et que les attaquants fussent parvenus à dérober des informations sensibles relatives à la technologie SecurID. Ces éléments ont été ensuite utilisés par les pirates pour essayer de s'introduire dans les systèmes de Lockheed Martin. Selon Kenneth Weiss, les informations confidentielles en question concernent les générateurs de code du système d'authentification à deux facteurs, chacun étant associé à un client SecurID unique. « Ces séquences sont comme des combinaisons de coffre-fort, » explique le CEO de RSA. « Ces générateurs de séquences secrètes ont été compromis ».
Cependant, monter une attaque avec ces informations ne serait pas forcément facile, parce que même un attaquant déterminé, qui tenterait d'imiter un jeton SecurID, a également besoin d'un mot de passe. « Mais ce serait possible ». Kenneth Weiss affirme que la conception de l'USR est meilleure parce que les valeurs des semences peuvent être mises à jour à intervalles réguliers, et « son algorithme est aussi plus puissant » que celui de SecurID. La combinaison qui sert de mot de passe comporte 16 chiffres au lieu de 8. Cependant, celui-ci reste convaincu que, malgré l'intrusion dans le réseau de RSA, SecurID reste fondamentalement fiable, même si « il y a beaucoup de choses qu'il ne peut pas faire ».
Repartir sur d'autres bases
Le CEO ajoute qu'entre lui et RSA, devenue une division sécurité au sein d'EMC, les relations n'étaient pas très bonnes, à cause d'un différend sur certaines pratiques commerciales : dans les années 90, au moment où il a créé Security Dynamics, qui a ensuite acheté RSA Data Security, il rappelle qu'il s'était vivement opposé à ces pratiques. Depuis, l'industrie de la sécurité a subi de nombreux changements, et Kenneth Weiss est là pour prouver que sa dernière technologie va dépasser la précédente.
Illustration principale : Kenneth Weiss, CEO d'Universal Secure Registry (USR)