Sécurité : Une clé USB pour protéger les transactions en ligne
Petite avant-première pour SanDisk, à l'occasion de la dernière RSA Conference de Nice. Ce constructeur, essentiellement connu pour sa ligne de cartes mémoires (SD, MC, PCMCIA etc), vient de signer un accord OEM avec RSA et Verisign, lui permettant d'intégrer un processeur de crypto et les mécanismes d'authentification des deux susnommés à l'intérieur d'une clef USB. Jusqu'à 10 licences « clef » peuvent être contenues dans chaque clef, ce qui offre à l'usager la possibilité de jongler avec une dizaine de sites exigeant une authentification « forte », et ce, sans devoir collectionner une ribambelle de « token » et autres calculettes à mots de passe.
Dans le cadre d'un usage « entreprise », il est possible de contrôler à distance la désactivation de chaque clef, voir de piloter un « formatage à distance » du contenu de la clef, dans l'hypothèse d'une perte ou d'un vol. Le cas risque d'être un peu plus compliqué lorsque la clef en question regroupe les crédences d'un particulier qui jongle avec des accès bancaires, de sites marchands, de RAS d'entreprise etc.
Serait-ce la fin du « mot de passe passe-partout » ? « Nous avons le business model » explique Joerg U.Ferchau, Directeur du Strategic Business Development de SanDisk. « Il repose essentiellement, dans un premier temps, sur les banques qui souhaitent sécuriser les liaisons de leurs grands clients, sur les sites marchands qui veulent protéger les accès de leurs vendeurs les plus réguliers... peu à peu, cette offre devrait pouvoir s'étendre jusqu'au client final, qui, contre une trentaine d'euros, pourrait acquérir la base matérielle puis demander à son fournisseur ou banquier la délivrance d'un certificat personnel ». Reste que l'émission du « mot de passe unique et temporaire » s'effectue encore par le biais d'une interface graphique, susceptible d'être compromise (voir le hack des claviers virtuels, présenté notamment par Nicolas Grégoire à l'occasion des avant-dernières SSTIC de Rennes).