juillet
2006
Un article de Pierre Henri Kuate
Voici un scenario qui m’arrive souvent et qui m’ennuie:
Je suis à l’extérieur et je dois accéder à ma boite e-mail. Je n’ai que deux options:
– Utiliser un ordinateur public (dans un cybercafé par exemple)
– Utiliser l’ordinateur d’un ami
Dans les deux situations, je dois taper mon compte et mon mot de passe sur un ordinateur étranger et suspect-able qui pourrait être infecté par un « key-logger » (logiciel qui enregistrer tout ce qui est tapé sur le clavier). Si cela se produit une fois, je risque pas mal d’ennuis 
Une assez élégante solution à ce petit problème serait de pouvoir créer des « mot de passes jetables » qui ne peuvent être utilisés qu’une fois pour accéder à sa boite électronique. De sorte que lorsque vous pensez que votre mot de passe pourrait être intercepté, vous utiliser un mot de passe jetable (qui sera inutile à l’intercepteur).
L’étape suivante serait de pouvoir créer des sous-comptes avec moins de permissions (comme des comptes de SE) et/ou une durée de vie limité ; des CDDs (Comptes à Durée Déterminées) :). Ex: Pour un voyage de trois jours, vous créez un compte qui ne pourra que lire des messages se conformant à certains filtres (cf. GMail) et qui sera désactivé trois jours après son activation… Vous pouvez aussi permettre à quelqu’un d’accéder à certains éléments de votre boite (ex: lecture de certain mails professionnels pour un collègue).
Les possibilités sont quasi illimitées; vous n’avez qu’à laisser courir votre imagination 
Evidemment, cette idée peut être appliquée à n’importe quel type de système sécurisé et je suis sur que quelque chose de similaire est déjà disponible dans des applications d’entreprise. Avez-vous entendu parler de certains ?
J’espère vraiment que, très bientôt, cette idée sera implémentée dans la plus part des sites web (il n’y a pas vraiment de difficulté technique pour le faire).
Qui sera le premier? Google? Yahoo? Microsoft?
(Hey, peut être que je devrais breveter cette idée :P)
L’ennui avec le live-CD, c’est que ce n’est pas pratique du tout: Déjà, je vois mal une personne accepter que je « viruse » son ordinateur avec Linux; pas facile à expliquer à un non-initié.
Et un redémarrage est necessaire à chaque fois qu’on veux passer de l’un à l’autre: Redémarrage, je me connecte, redémarrage, j’ai besoin d’une application ou d’un périphérique, redémarrage, j’envoi les données récupérés dans ma boite; zut! j’ai oublié un truc, redémarrage, je fais le truc oublié, redémarrage, je termine ce que j’ai à faire dans ma boite, redémarrage (ouf).
J’abandonne si, à chaque fois, je dois configurer le modem ADSL (entrer les adresses IPs, compte, mot de passe, etc.)
oui mais il y a encore pas mal de modem usb vraiment pas évident à configurer…
En même temps c’est pas tres grave si la carte son, la webcam et le volant avec retour de force ne sont pas reconnus quand je vais consulté mes comptes…
Les live-CD Linux ont fait de gros progrès.
Oui les OTP sont deja implementés dans les identification web et les calculettes qu’on appel souvent des tokens sont encore très utilisées d’ailleurs je m’en suis servi pas plus tard que ce matin donc désolé pour le brevet mais ca marchera pas.
Je ne suis pas sur que cela corresponde à ce dont tu as besoin mais il existe une sorte de mot de passe dit jetable, les OTP (One Time Password) comme expliqué là:
http://www.securiteinfo.com/crypto/otp.shtml
Je connais le principe de la calculette qu’on utilisait autrefois dans mon ancienne boite. Le principe : on définit un mot de passe racine et le nombre de mdp fils (disons 100). A l’initialisation, les 100 mdp sont définis, ils découlent du mdp racine et des x précédents fils. L’utilisateur a une calculette qu’il initialise avec le mdp racine. A l’utilisation c’est simple : le software demande le mdp x. Il suffit de le demander à la calculette et voilà. Bien sur le software ne demande jamais le même mdp, ce qui signifie que l’utilisateur peut se connecter que 100 fois à son software avant de tout réinitialiser. Pour une sécurité optimale, la calculette sera une sorte de porte-clé que l’utilisateur gardera toujours sur lui …
Pour palier à ce genre de problèmes, j’avais lu qu’une société voulait proposer un service de live CD pour les banques. Le client se loggait à son compte en bootant sur un live CD donc plus de risque de key-logger.
ça n’a pas été retenu car trop de problèmes de compatibilitée avec les différents hardwares (comment mettre tous les drivers sur un live CD).
Mais un live CD pourrait convenir à ta problèmatique