Académique Documents
Professionnel Documents
Culture Documents
Pour les équipes informatiques, la mise en place du BYOD représente beaucoup de travail : il leur
faut sécuriser les accès aux données sensibles de l’entreprise stockées sur les périphériques, tout en
permettant aux utilisateurs de faire leur travail le plus efficacement possible. Parallèlement, ces services
informatiques doivent également préserver la confidentialité des employés. Dans certains pays, le
respect de la vie privée est une obligation légale. Une architecture mobile moderne compatible avec le
BYOD doit donc trouver le juste équilibre entre :
■■ La sécurité des données et des applications — protéger les accès aux informations
sensibles de l’entreprise stockées sur des appareils mobiles.
■■ L’indépendance des utilisateurs — permettre aux employés de faire leur travail quand
ils le souhaitent et à partir de n’importe quel endroit, les aidant ainsi à mener à bien leurs
missions.
■■ La confidentialité des utilisateurs — donner le droit aux utilisateurs à la « tranquillité »,
afin que l’entreprise ne puisse pas avoir une visibilité totale sur leurs applications personnelles
et sur les données présentes sur le périphérique, en particulier dans un contexte BYOD.
■■ Le SSO sur le web et les applications natives — proposer aux utilisateurs une expérience
fluide, à la fois sur les applications mobiles web et natives
■■ Les API — permettre les accès aux données professionnelles uniquement aux applications et
utilisateurs autorisés.
1
LIVRE BLANC
Ces quatre éléments permettront à une entreprise de trouver le bon équilibre entre la sécurité,
l’indépendance des utilisateurs et la confidentialité.
CE QUE J’AI
CE QUE JE SAIS
CE QUE JE SAIS
AVANT ACTUELLEMENT
Le vieux principe du « quelque chose que l’on sait, quelque chose que l’on possède et quelque
chose que l’on est » a été très utile pour différencier les mécanismes d’authentification. De plus
en plus, la tendance s’éloigne de «ce que l’on sait » (mots de passe) pour s’intéresser à « ce
que l’on a », les téléphones portables. Cette tendance est non seulement encouragée par les
problèmes et les limites apparentes des mots de passe, mais également par les possibilités que
représente l’authentification mobile. Celle-ci permet notamment d’améliorer la sécurité et le
confort d’utilisation (on a toujours pensé que l’un empêchait l’autre).
Les téléphones mobiles actuels intègrent le facteur d’authentification « ce que je possède », qui
est très utile. Soit celui-ci joue le rôle de deuxième facteur, intervenant ainsi en complément du
modèle classique basé sur des mots de passe, soit il remplace totalement les mots de passe.
Dans les faits, un smartphone n’est rien d’autre qu’un ordinateur portable extrêmement puissant,
équipé des fonctionnalités suivantes, utiles à l’authentification :
■■ L’interface utilisateur. Cette interface apparait lorsque l’utilisateur est invité à entrer
ses identifiants, ou pour les identifiants à usage unique.
2
LIVRE BLANC
■■ La biométrie. De plus en plus, les équipements mobiles sont équipés de matériel qui
permet la validation de certains éléments biométriques de l’utilisateur, comme une
empreinte ou une capture de la rétine.
Les différents types d’authentification mobile s’appuient sur les fonctionnalités de plusieurs
combinaisons. PingID™ repose, par exemple, sur un modèle d’authentification mobile qui
autorise l’utilisateur en envoyant un « challenge » à une application installée sur son équipement,
préalablement enregistré, via Google Cloud Messaging pour Android ou les services de
notification Apple Push. A la réception, l’utilisateur n’a qu’à déverrouiller son écran pour répondre
au challenge.
La FIDO™ Alliance (Fast Identity Online) est en phase de définition d’une méthode d’authentification
mobile alternative, exploitant les nouvelles fonctionnalités biométriques des appareils. Dans le modèle
de FIDO, l’utilisateur s’authentifie à l’appareil via une validation biométrique. Celle-ci permet de
déverrouiller une clé cryptographique, utilisée pour l’authentification au serveur.
Cependant, le téléphone (et d’autres capteurs locaux) peut ouvrir la voie à un type
d’authentification plus passif et plus continu, dans lequel les actions des utilisateurs et le
FACTEURS
IMPLICITES
FACTEURS
IMPLICITES
FACTEURS
EXPLICITES
FACTEURS
EXPLICITES
AVANT ACTUELLEMENT
3
LIVRE BLANC
contexte sont sous surveillance permanente, puis comparés aux habitudes passées et connues.
Les chercheurs explorent, par exemple, la thématique de la biométrie passive, comme
l’écartement des mains sur le clavier ou l’amplitude des pas, pour améliorer la fiabilité globale
de l’authentification utilisateur. L’authentification en continu promet de rendre l’authentification
utilisateur plus passive, réservant ainsi les authentifications actives ou explicites à des
circonstances spécifiques (acheter une action par rapport à simplement visualiser son cours).
Alors que les méthodes d’authentification mobiles mentionnées ci-dessus permettent d’améliorer
de façon considérable le confort des utilisateurs, conserver des méthodes si explicites pour
chaque application est loin d’être une solution idéale. Il est donc intéressant de combiner
l’authentification mobile à des mécanismes de SSO. En effet, une seule authentification mobile
utilisateur peut couvrir plusieurs applications.
Les mécanismes standards qui permettent le SSO aux applications des navigateurs mobiles
sont bien établis. Grâce au protocole SAML, (security assertions markup language) le SSO au
navigateur mobile est possible, de la même façon qu’au navigateur d’un poste de travail. D’autres
protocoles de SSO aux navigateurs web existent comme OpenID® et WS-Federation. Plus
récemment OpenID Connect (Connect) s’est imposé comme un protocole qui, comme il repose
sur OAuth, couvre à la fois les navigateurs web et les applications natives.
OAuth et Connect peuvent être tous deux utilisés pour sécuriser les applications mobiles natives
(à l’inverse de SAML et d’autres protocoles SSO Web). Cependant, ni OAuth, ni Connect ne
peuvent, en l’état, permettre le SSO à travers les applications natives, les deux partant du principe
que l’utilisateur doit d’abord s’authentifier puis autoriser chaque application native, une à une.
SSO SAML
NAPPS
ACCES AUX
APPLICATIONS OPENID
CONNECT
Individuel OAUTH
4
LIVRE BLANC
Le groupe de travail (WG, Working Group) de Native Applications (NAPPS) à la fondation OpenID
est en cours de définition d’un profil d’OpenID Connect qui permettrait le SSO entre et à travers
les applications mobiles web et natives, via la méthode suivante :
■■ OpenID Connect active les applications mobiles natives individuelles ainsi que le SSO
pour les applications mobiles web.
Application Serveur
mobile Navigateur d’authentification API
L’application appelle les objets
du navigateur
Validation du jeton
Application Serveur
mobile Navigateur d’authentification API
Un grand nombre d’API REST sont des applications mobiles natives. La meilleure méthode pour
authentifier des applications natives à leur endpoint REST correspondant est d’attacher un jeton
d’accès OAuth aux appels API.
Ci-dessous un schéma montrant le flux OAuth standardisé, par lequel une application native
obtient un jeton d’un serveur d’autorisation (AS), puis qui utilise ce jeton pour appeler l’API. C’est
grâce à la validation de ce jeton que l’API peut déterminer au nom de quel utilisateur l’application
native est en train de fonctionner, pour ainsi prendre la décision d’autorisation adaptée.
L’utilisateur étant directement impliqué dans l’émission du jeton (via le navigateur mobile)
vers l’application native, le flux ci-dessus permet (mais ne rend pas obligatoire) une étape
d’autorisation, qui est une fonctionnalité importante aidant à la préservation de la confidentialité.
De plus, l’utilisateur étant authentifié dans le navigateur, il est alors possible de le diriger vers
5
LIVRE BLANC
Le BYOD vient contrarier le désir des entreprises de contrôler les appareils pour les protéger
contre la perte des données sensibles, notamment car les employés ont des attentes et veulent
être autonomes quant à l’utilisation personnelle de leurs équipements.
Les mécanismes de segmentation et la forme qu’ils prennent pour les employés sont différents.
La gestion des applications mobiles (MAM, Mobile Application Management) modifie chaque
application professionnelle (via le « wrapping » ou un SKD) pour effectuer les contrôles suffisants,
tout en ne modifiant aucune application personnelle de l’employé. Du point de vue de l’employé,
une application compatible avec le MAM permet aux applications personnelles et professionnelles
de coexister.
Le concept de double personne est, pour l’utilisateur, une expérience différente, à savoir celle
au cours de laquelle l’employée passe explicitement d’un environnement personnel à un
environnement professionnel (une expérience, pour certains, négative). Pour accéder au profil
professionnel du téléphone, l’employé devra s’authentifier, habituellement au moyen d’un
code PIN ou d’un identifiant validé localement. Les capteurs d’empreintes digitales des tout
derniers téléphones iOS et Samsung (et la disponibilité croissante de leurs fonctionnalité pour
les applications tierces) rendent crédible le scénario dans lequel l’employé pourrait utiliser son
empreinte digitale pour accéder au profil professionnel de son smartphone.
Dans le schéma ci-dessous, notez que l’application native S1 n’interagit pas directement avec
l’utilisateur pour l’authentification. C’est le conteneur qui interagit, en tout logique, au nom de
l’application professionnelle.
Serveur Application
d’authentification Conteneur native S1 API S1
Ouverture du navigateur à la page d’authentification
Authentification de l’utilisateur
via le SSO à l’entreprise (invisible)
Serveur Application
d’authentification
Conteneur native S1 API S1
7
LIVRE BLANC
1.5 Résumé
Une architecture mobile moderne doit représenter le juste équilibre entre exigences de sécurité,
indépendance des utilisateurs et confidentialité. Pour répondre à ces exigences, ce document
préconise quatre éléments essentiels :
■■ L’authentification mobile
■■ Le SSO
■■ Les API
ACTIVATION CONFIDENTIALITE
SECURITE
Ces quatre éléments répondent aux exigences de sécurité, sont compatibles avec
l’authentification mobile et le SSO. De plus, la possibilité de segmenter les profils personnels et
professionnels est un facteur favorisant la confidentialité.
Cet équilibre est essentiel pour exploiter pleinement le potentiel de projets mobiles initiés par
les entreprises. La valeur ajoutée des appareils mobiles pour les entreprises est chaque jour
plus importante, avec au cœur de cette problématique, la productivité et la satisfaction des
utilisateurs.
Connectez-vous à pingidentity.com pour découvrir comment les solutions Ping Identity aident à la
mise en place de projets BYOD.