Authentifieurs

Il semble difficile d'imposer le même support physique d'authentification à tous. Il faut donc raisonner à l'envers : ne pas partir du support mais penser à une solution qui s'applique à tous : une solution logicielle multi-supports.

Les tables de codage sont compatibles avec tous les supports physiques : du plus simple et peu cher (cédécarte, clé mémoire USB) au plus sophistiqué (crypto-clé USB, carte SIM, carte à puce) en gardant un bon niveau de sécurité. Les solutions XCA et XCC supportent plusieurs supports physiques d'authentification qui sont aussi panachables suivant les catégories d'utilisateurs.

On peut aujourd'hui se poser la question de savoir si le téléphone mobile ou le smartphone est un bon support physique d’authentification?

Selon les chiffres de l'ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) la France compte 53 millions d'abonnés fin 2007, 56 millions fin 2008 et 61,4 millions fin 2009. En 2009, 82% des Français de plus de 12 ans ont un téléphone mobile. Le téléphone mobile est un lecteur de puces SIM très largement répandu aujourd'hui dans la population française et européenne. Par ailleurs, 90 % des nouveaux téléphones qui sortent sur le marché sont équipés de Java, c'est-à-dire qu'ils possèdent une JVM (Java Virtual Machine).

Le téléphone est un bon authentifieur pour le citoyen, le consommateur et le professionnel pour les raisons suivantes :

• cher mais déjà payé par le consommateur (ou son entreprise)
• toujours en possession de l'utilisateur (au même titre que ses clés)
• très surveillé par l’utilisateur et perçu comme un bien personnel de valeur et non partageable avec autrui
• utilisable pour s'authentifier aussi bien en mode Internet mobile, en mode GSM par SMS ou bien encore en mode non connecté (principe d'une midlet Java agissant comme une calculette)
• ouvert pour accueillir des modules logiciels d'authentification : la nouvelle génération comporte des connecteurs de mémoire SD additionnelle
• authentification forte de type GBA (Generic Bootstrap Authentication) avec code PIN ou bien par tables de codage et code secret associé
• sécurité renforcée par l’usage d’un double canal : télécommunication en plus du Web

Le client d'authentification XCA tourne sur les téléphones compatibles Java, les smartphones BlackBerry et les smartphones Androïd. La version XCA iPhone sortira pour le Mobile World Congress de Barcelone à la mi-février 2010.