Passez à la connexion sans mot de passe avec GateKeeper
avril 2022 par Marc Jacob
GateKeeper est un système matériel d’authentification et de contrôle d’accès pour les ordinateurs, les applications et les sites web. Grâce à lui, un utilisateur peut se connecter automatiquement avec son badge "Halberd", ou une application se trouvant sur son smartphone, sans avoir à renseigner de mot de passe. Il pourra aussi, en fonction des règles de sécurité définies, être amené à renseigner un code dans le cas où la double authentification aura été activée. Et lorsque l’utilisateur s’éloigne de son poste de travail, sa session Windows se ferme automatiquement.
Ce système permet par la même occasion à l’administrateur de la sécurité de déployer des mots de passe dits forts de façon transparente pour l’utilisateur, mais aussi de les mettre à jour comme bon lui semble.
INFORMATIONS DE L’UTILISATEUR
Le logiciel GateKeeper demande à l’utilisateur d’enregistrer son jeton (clé) à l’aide de ses informations d’identification Windows. Ces informations d’identification sont chiffrées à l’aide du chiffrement AES 256 bits et à la norme FIPS. La même norme est utilisée pour chiffrer les informations d’identification web de l’utilisateur. Ces informations d’identification chiffrées sont stockées dans une base de données locale accessible uniquement aux administrateurs. Cette base de données est périodiquement synchronisée avec le serveur afin que de nouveaux utilisateurs, les informations d’identification et les jetons puissent être ajoutés à tout moment à partir du client ou du serveur.
COMMUNICATION BLUETOOTH ET DONNÉES SANS FIL
GateKeeper utilise la norme sans fil Bluetooth 4 pour les communications entre le jeton (porté par l’utilisateur) et le dongle USB (branché sur l’ordinateur). Le Bluetooth 4 standard permet au système de fonctionner à très faible puissance, et augmente donc la durée de vie de la batterie.
La spécificité de GateKeeper est qu’AUCUNE information privée n’est transmise par voie hertzienne. Les noms d’utilisateur et les mots de passe sont chiffrés et stockés sur le serveur GateKeeper et ne sont JAMAIS transmis par voie hertzienne. A aucun moment du fonctionnement de GateKeeper, aucune information privée n’est échangée entre le jeton GateKeeper et l’ordinateur. Pendant le fonctionnement normal de GateKeeper, les seules données transmises par voie hertzienne sont la force du signal, la durée de vie de la batterie et la réponse de l’accéléromètre.
Un micrologiciel de périphérique en lecture seule empêche la relecture de la clé cryptographique si un attaquant obtient un accès physique au jeton.
Les jetons n’acceptent la mise à jour du micrologiciel en direct que lorsque le micrologiciel est signé par Untethered Labs, ce qui rend impossible l’insertion d’un micrologiciel malveillant dans un jeton.
Afin d’éviter la duplication des jetons GateKeeper, une CLÉ SECRETE générée de manière aléatoire peut être écrite sur chaque jeton pendant le processus d’enregistrement. Cette CLÉ SECRÈTE est ensuite utilisée pour générer des codes d’accès à usage unique sur le jeton qui sont annoncés dans le cadre des paquets d’annonce Bluetooth, et analysés par le logiciel client. Ces codes d’accès à usage unique changent toutes les quelques secondes, et empêchent donc d’autres appareils Bluetooth d’imiter un jeton GateKeeper.