Une banque française teste l'authentification forte pour utiliser les Google Apps
Une grande banque française - qui entend conserver l'anonymat - teste la sécurisation des accès aux Google Apps dans le cadre d'un pilote. Ces applications sont la messagerie Gmail, l'agenda, le traitement de texte, le tableur et la création de sites web de l'américain Google. Cette banque envisage d'adopter les Google Apps comme « outil de crise », indépendant de son infrastructure informatique, à l'usage de ses collaborateurs internes.
L'information émane de l'éditeur Dictao dont l'un des principaux clients est le crédit Lyonnais LCL et qui a été retenu pour ce pilote. Les données échangées étant sensibles, la banque a souhaité renforcer le niveau global de sécurité du système, en particulier en ce qui concerne la sécurité des accès, jugeant trop fragile l'authentification par simple login et mot de passe de Google Apps.
La banque teste deux moyens d'authentification : un mot de passe à usage unique généré par l'iPhone de l'utilisateur (standard OATH : Open AuTHentication) ou un mot de passe généré par une calculette dans laquelle l'utilisateur a inséré sa carte personnelle (standard EMV CAP). Ce mot de passe à usage unique est saisi par l'utilisateur à l'aide du clavier de son ordinateur et sert à l'authentifier.
La banque souhaite bénéficier des avantages du Cloud Computing pour ses applications de crise. Elle veut durcir le niveau de sécurité et garder sous son contrôle les données d'identification (numéros de téléphone, données contenues dans la carte) liées à ces moyens d'authentification sécurisés.
Elle s'est appuyée sur un serveur d'authentification tiers pour ce pilote. Ce serveur lui sert déjà à authentifier ses clients « Entreprises » et « Particuliers » pour la sécurisation des opérations de banque en ligne et de vente en ligne, avec de multiples moyens.
En effet, ce serveur aété conçu pour accepter tous les moyens d'authentification présents et à venir (certificat électronique, jeton EMV-CAP, OATH, OTP SMS, date de naissance, questions/réponses, OTP/Radius, etc.). Le projet a demandé la mise en oeuvre du standard SAML 2.0.
