Software OTP pour l'Iphone

Dans un précédent billet je vous parlais de la montée en puissance des solutions d’authentification forte sur les Smartphones et notamment sur l’Iphone.

Une de mes convictions est que notre « compagnon » de tous les jours servira de plus en plus à nos activités dans le monde numérique et plus particulièrement en ce qui concerne la sécurité des transactions…

Ce billet se concentre aujourd’hui sur les solutions de type One Time Password (OTP) pour l’Iphone. Le concept de base est très simple. Au lieu de se promener avec son Token Hardware OTP (Style SecurID) dans la poche on utilise l’Iphone comme support hardware et software pour embarquer le Token d’authentification. On appelle cela un Soft Token.

En termes de technologie le principe est simple. On installe une application sur le téléphone. Cette application permet de générer le One Time Password. Pour que cela fonctionne il est nécessaire d’avoir un secret (ou seed) stocké sur le téléphone. On peut alors se poser la question légitime de la sécurité concernant le stockage de ce secret. Pour le moment je n’ai pas encore trop étudié cela sur l’Iphone. Cela viendra dans un prochain billet.

Dès lors que l’application est installée il est possible de générer le mot de passe à usage unique. Bien souvent l’application vous demande un PIN code avant la génération du OTP. Concernant le type de technologie OTP, on trouve sur le marché soit des Soft Token dit « time-based » ou « event-based ».

Si vous désirez aller plus loin et faire des tests voici la liste des Soft Tokens que j’ai trouvé sur l’Apple Store (septembre 2009). Cette liste n'est sûrement pas exhaustive...

Les liens sur l'Apple Store:


RSA SecurID Software Token
mOTP
WiKID Strong Authentication Software Token
EzSoftToken
iOATH Lite





A ma connaissance et d'ici très bientôt il y aura d'autres Soft Token. Notamment un client Iphone de la société Cidway, et de la société CryptoCard.

A suivre...