Newsletter #5

Le protocole d’authentification CrypTonAuth
Par Monika Trimoska, Gaël le Mahec & Gilles Dequen

La sécurité informatique, avec le volume grandissant des transactions numériques, est désormais l’affaire de tous. La capacité pour tout un chacun de pouvoir garantir son identité et s‘assurer de l’identité de son interlocuteur (l'authentification) est une question cruciale permettant d’accorder sa confiance. L'usage des réseaux sociaux, les achats en ligne, etc. nous amènent quotidiennement à faire confiance aux procédures de sécurisation d’accès aux systèmes d’information que nous utilisons. Pour autant, faisons-nous pleinement confiance à l’authentification « classique » reposant sur la communication d’un couple identifiant, mot de passe ? L’un des préalables est qu’il est nécessaire de faire pleinement confiance à votre interlocuteur et à sa politique de sécurité. Malgré cela, cette façon  de s’authentifier très répandue présente plusieurs faiblesses pouvant — parfois — s’avérer dommageables aux utilisateurs. La faiblesse d'un mot de passe [1] choisi par un utilisateur constitue toujours une brèche de sécurité du système d’information. Les techniques d’authentification par biométrie pouvant être une alternative s’avèrent à ce jour intéressantes mais encore perfectibles [2, 3].

Le projet CrypTonAuth est une méthode d’authentification ayant pour objectif principal de réduire au maximum la confiance accordée à la sécurité du système d’information de l’interlocuteur distant. Pour ce faire, il propose de  réduire au maximum le risque de la récupération des données d’authentification et cela y compris dans le cas où le système d’information distant est corrompu. Plus précisément, dans le cas d’un mot de passe, les données transmises sur le réseau, ainsi que les données enregistrées sur le serveur, ne permettent pas de prendre connaissance de l’information d’origine et cela même si elle est cryptographiquement faible. Ce point fort de la technologie CrypTonAuth est assuré par la propriété d’être « One-Time-Password », tout en étant transparent pour l’utilisateur.  Ainsi, l’idée générale est que le serveur et le client s’assurent réciproquement que la connexion en cours s’inscrit dans la continuité de la connexion précédente et, par extension, de la phase d’enregistrement originelle. La phase d’enregistrement, quant à elle, est réalisée classiquement une unique fois grâce à une connexion sécurisée entre le client et le serveur.

Le protocole CrypTonAuth repose sur la technologie CrypTonID (développée par Gilles Dequen, Mickaël Krajecki et Florian Legendre) permettant la reconstitution de données « hachées ». Le brevet de ces deux technologies est déposé sur l’Office européen des brevets [4]. Le standard cryptographique utilisé pour le côté « client » du protocole est la fonction de hachage SHA-3-512. Cette primitive est conçue pour garantir une sécurité cryptographique mettant en jeu un faible besoin en ressources (mémoire, calcul, énergie). Cette faible consommation de ressources confère à CrypTonAuth un usage compatible à l’authentification dans l’IoT. C’est par conséquent l’un des cas d’usage privilégié.

La sécurité des objets connectés est devenu un sujet très répandu depuis que les pirates informatiques ont trouvé une vraie opportunité dans ce domaine très peu sécurisé et non standardisé [5]. CrypTonAuth essaie de répondre au mieux à ces problématiques liées à la sécurisation des objets connectés. Dans ce but, nous avons développé le prototype d’un dispositif qui peut servir comme un token d’authentification pour toutes les applications et tous les appareils d’un utilisateur. Ce dispositif peut ainsi être utilisé pour remplacer les clés de voiture, ouvrir des portes, déverrouiller des stations de travail, autoriser une transaction bancaire, etc. Nous envisageons, par la suite, d’implanter le dispositif d’authentification « CrypTonAuth » dans des objets d'utilisation quotidienne, comme des bijoux, bracelets, montres, porte-clés, etc.

Actuellement CrypTonAuth et CrypTonId ont été prototypés et sont en phase de tests préliminaires au sein du laboratoire MIS. Un premier dispositif « connecté » a ainsi été fabriqué, et la procédure de certification ANSSI est en cours. 
Le projet CrypTonAuth est porté par Gaël Le Mahec, Gilles Dequen et Monika Trimoska du laboratoire MIS. Sa maturation est prise en charge par la SATT Nord. Entre autres, il sera présenté lors des Journées Réseaux de l’Enseignement et de la Recherche [6].

[1] http://www.lci.fr/high-tech/et-les-mots-de-passes-les-plus-pirates-en-20...
[2] http://www.frandroid.com/marques/samsung/428266_le-capteur-diris-du-sams...
[3] http://www.ccc.de/en/updates/2014/ursel
[4] Patent EP 15.305.475.4, https://register.epo.org/application?number=EP15305475&lng=en&tab=doclist
[5] http://www.lemonde.fr/pixels/article/2017/01/27/le-casse-tete-de-la-secu...
[6] JRES 2017, du 14 au 17 novembre 2017, à Nantes. https://www.jres.org/

Thème: