Dans cette troisième étape pour une authentification de très haute qualité un système d'auto-enregistrement des soft tokens était implémenté.

(A voir aussi Phase 1 et Phase 2)

Résultats

Composant

Infrastructure d'authentification forte à l'UNIL

Production d'une CampusCard intégrant la fonctionnalité OTP

Sécurisation de notre VPN d'administration

Eléments en place pour un déploiement en grand nombre de "soft tokens"

L'implémentation d'une solution d'authentification forte à l'UNIL est terminée avec cette phase 3 et sera maintenu avec le système de gestion des utilisateurs.
Le VPN d'administration l'utilise maintenant pour 66 personnes avec satisfaction. Ce projet a démontré la possibilité d'intégrer un "hardware token" de type OTP sur le CampusCard ; la solution est élégante et fonctionnelle malgré quelques imperfections.
Le développement Java pour l'auto enregistrement est également un succès, même s'il n'est pas totalement terminé.
Avec un tel système, un déploiement auprès d'un grand nombre d'utilisateur est possible.

Le système d'authentification forte est maintenant intégré à l'infrastructure de UNIL et environ 80 utilisateurs pourront utiliser le système pour accéder au VPN d'administration.

Le code source du module Java est propriété de la société FISId. Il est utilisable avec le serveur DS3 uniquement. Le module Java est disponible auprès de la société FISId. Il faut finaliser quelques détails avant de le mettre en production à l'UNIL.

Comme activités futures sont prévues:

1. Finir le développement java et mise en production du système d'auto-enregistrement.
2. Sécurisation, avec l'authentification forte, de l'accès aux applications SAP (RH et Finance).

---

Objectives

Dans la troisième étape, un système d'auto-enregistrement des soft tokens sera implémenté dans le serveur d'authentification. Ceci permettrait de simplifier la gestion des soft token qui aurait lieu.

Un soft token est une application fonctionnant sur le téléphone de l'utilisateur. Une telle application génère, sur pression d'un bouton, un OTP selon la norme OATH. DS3 fournit déjà sur les sites respectifs une telle application pour iOS, Android et Windows Phone. Pour que cela fonctionne avec le serveur d'authentification DS3, il faudra y enregistrer le secret OATH (clé de 128 bits minimum).

Étapes

1. Adapter le système d'auto-enregistrement des soft tokens de DS3 à notre environnement.

La société DS3 offre déjà à la base une telle fonctionnalité avec son serveur d'authentification. Ce système est basé sur une application Java que sera configuré et adapté à l'environnement. Il s'agit essentiellement de déporter cette application sur un "serveur proxy" dans une zone du réseau ouverte sur internet.
Sur son smartphone, dans l'application DS3 OATH, l'utilisateur devra introduire l'url de ce service d'enregistrement et son mot de passe. Le reste est entièrement automatique : transmission du secret OATH et création de l'utilisateur dans le serveur DS3 et initialisation du soft token sur le smartphone.

1. Sur le même serveur proxy ajouter également une application web pour que chacun des utilisateurs puisse enregistrer son numéro de portable.

Celui-ci serait alors directement injecté dans le ser-veur DS3 pour le challenge SMS et dans le système SAP Idm pour stockage et éventuelle réutilisation dans d'autre contexte.