Les jetons de sécurité : le petit plus dont vous avez besoin

Les jetons de sécurité : le petit plus dont vous avez besoin

Stocker les informations d’identification d’utilisateur est l’un des obstacles principaux à la création d’une application web sans session …

Des jetons, une solution ?

En effet, il faut ces informations pour identifier l’utilisateur en toute sécurité. Mais sans stocker les données sur le serveur, on peut risquer l’usurpation d’un profil. Si l’on pouvait résoudre ce problème, il serait alors aisé de créer une application sans session. Et c’est pourquoi les jetons cryptés sont aujourd’hui la solution.

Les entreprises d’envergure comme Google, Facebook, Twitter et Apple offrent un processus d’authentification en deux étapes. Ce processus est extrêmement sécurisé et sert en tant que mesure de sécurité supplémentaire pour protéger vos comptes en ligne afin qu’ils ne soient pas compromis. Il vous confirme que vous êtes le seul à avoir l’autorisation d’accéder à votre compte.

Les bugs existent

L’une des pires exemples de violations de sécurité reste le très populaire Bug Heartbleed. Il est un rappel convaincant des défauts inhérents à une approche de la sécurité fondée exclusivement ou principalement sur le mot de passe. Le monde du jeu en ligne est l’un des plus touchés. En effet à cause de ce Bug Heartbleed, des dizaines de milliers d’utilisateurs ont perdu leurs comptes pendant quelques semaines.

Quoi de plus fort ?

En plus d’un mot de passe, les sites de poker en ligne offrent une option d’authentification forte. L’option la plus commune est un code PIN envoyé par email au joueur.

Le jeton de sécurité est un matériel autonome (comme par exemple RSA SecurID mis en place par PokerStars) qui génère une deuxième clé aléatoire nécessaire pour accéder à votre compte. Michael Josem, responsable des relations publiques chez PokerStars, a déclaré que PokerStars était une fois de plus bien au fait de l’importance de la sécurité pour leurs clients.

rsa-pokerstars

Le site a été le premier opérateur de poker en ligne à fournir des jetons de sécurité RSA et il est aussi le premier à proposer un mécanisme de sécurité SMS. Ce service ajoute un mécanisme de sécurité supplémentaire pour aider les comptes des joueurs à être protégés contre les menaces en ligne et en plus il est gratuit.

RSA ?

Le jeton de sécurité RSA crée par PokerStars affiche un code à six chiffres qui change chaque minute. Une fois qu’un jeton de sécurité RSA est activé pour le compte d’un joueur, celui-ci devra entrer ce code de sécurité à chacune de ses connexions.

Concrètement, une authentification en deux étapes suggère qu’en plus d’un nom d’utilisateur et mot de passe aux normes, vous aurez aussi besoin d’un code qui est envoyé généralement par message texte sur votre téléphone mobile ou via une application. Avant d’avoir accès au site, vous serez invité à entrer ce code de vérification qui est, précisons-le, généré de manière aléatoire.

Et pour les joueurs vraiment soucieux de leur sécurité, certains sites de poker envoient un petit gadget gratuit avec un écran. Ce jeton/clé de sécurité fonctionne de la même manière qu’un message texte, c’est à dire qu’on vous envoie un code généré aléatoirement que vous devez taper avec votre mot de passe. Vous avez également la possibilité d’avoir accès à un jeton de sécurité par voie numérique, grâce à l’installation d’une application spécifique sur votre mobile ou votre tablette.

Et dans WordPress ?

Dans WordPress, l’authentification forte n’est pas native, il vous faudra ajouter un plugin comme Google Authenticator ou More Secure Login. Ces plugins gratuits ajoutent cette seconde couche de sécurité qui crée alors l’authentification forte.

Concernant les jetons de sécurité appelés aussi nonces, ils sont dans WordPress depuis la version 2.0.3 et protègent vos requêtes d’actions (envois de formulaires, clics sur des liens d’actions). Sans ces jetons là, la vulnérabilité CSRF serait présente.

Julio Potier

Consultant en Sécurité, Expert WordPress, Formateur, Marketeur et créateur du plugin de sécurité WordPress SecuPress.
Julio développe et sécurise du contenu web tous les jours. La création de plugins WordPress et la vente de produits WordPress font partie de son quotidien.

Lire la suite

Vous aimez ? Partagez !


Réagir à cet article

120 caractères maximum