Dans le cadre du déploiement des applications de gestion de l’Education Nationale, chaque utilisateur habilité dispose d’un outil d’authentification forte pour y accéder : une clé de sécurité OTP personnelle (One Time Password ou mot de passe à usage unique).

L’authentification forte

L’authentification par simple mot de passe ne remplit pas les conditions de sécurité exigées. Le principe de l’authentification forte est d’utiliser plusieurs facteurs de nature distincte afin de rendre la tâche plus compliquée à un éventuel attaquant.

L’authentification forte réside dans l’association de 3 éléments totalement indissociables :

  • Identifiant de connexion (compte académique personnel)
  • Code secret (ou code PIN) connu seulement par l’utilisateur de la clé.
  • Code de la clé de sécurité en vigueur au moment de la connexion (partagé et synchronisé avec un serveur d’authentification). Ce code change toutes les minutes. Il ne peut être utilisé qu’une seule fois. Il n’est donc d’aucune utilité pour un pirate informatique.

Pour se connecter un utilisateur devra saisir :

  • Son identifiant
  • Son Passcode qui est la concaténation du code PIN et du Code secret.

Principe de fonctionnement

Grâce à son identifiant académique, un utilisateur est reconnu comme étant autorisé à utiliser une clé. Cet identifiant permet de déterminer la nature des habilitations sur les applications académiques liées à ses besoins.

  • Le mot de passe permet de contrôler que la clé est en possession de la bonne personne.
  • Le code partagé empêche un utilisateur malveillant de réutiliser les paramètres de connexion.
  • La clé OTP est personnelle, elle engage la responsabilité de son utilisateur. En conséquence, elle ne doit pas être prêtée, le mot de passe ne doit pas être divulgué, sa perte doit être immédiatement signalée aux services compétents.

A voir également : Guide d’utilisation de la clé OTP