Accueil > 2011 > avril > base élèves et sconet sont-ils toujours inviolés ?

base élèves et sconet sont-ils toujours inviolés ?

| ldh-toulon.net | vendredi 1er avril 2011

mercredi 20 avril 2011

La société RSA SecureID a annoncé le 17 mars 2011 avoir subi une cyber-attaque sophistiquée qui a permis aux attaquants d’extraire certaines informations relatives au système SecurID. Le président exécutif de RSA écrit dans une lettre ouverte adressée à ses clients : « nous pensons que l’information piratée ne permet pas de mener avec succès une attaque directe contre l’un de nos clients RSA SecurID, mais l’information dérobée pourrait être utilisée pour réduire l’efficacité de l’authentification ».

Parmi ces clients se trouve le ministère de l’Education nationale notamment pour Base élèves et Sconet. Afin de contrôler l’accès à Base élèves 1er degré, le ministère de l’Education nationale remet une « clé OTP » à chaque directeur d’école ce qui lui permet de se connecter à Base élèves et d’y entrer des données de ses élèves.

Après nous avoir asséné de façon péremptoire que « toutes les garanties de sécurité sont prises », les responsables de Base élèves pourront prendre conscience de la vulnérabilité du système de protection et de la complexité des problèmes de sécurisation.
[Mis en ligne le 31 mars 2011, mis à jour le 1er avril]

clé OTP

RSA (SecurID) victime d’une intrusion : 40 millions de clients concernés
[ZDNet France, le 18 mars 2011]

Sécurité - L’entreprise américaine a reconnu avoir été touchée par une attaque très sophistiquée durant laquelle ont été dérobées des informations sur son système d’authentification utilisé par 40 millions de clients.

Dans une lettre ouverte à ses clients, RSA a révélé hier avoir été victime d’une attaque informatique très sophistiquée au cours de laquelle des informations sensibles ont été dérobées. « Certaines de ces informations concernent spécifiquement les produits d’authentification SecurID », écrit Arthur Coviello, le P-DG de RSA.

Il n’a pas donné plus de détails mais a indiqué que même si les données dérobées ne pouvaient pas permettre une attaque directe contre un client utilisant SecurID, elles peuvent « potentiellement être exploitées » pour compromettre l’efficacité du système d’authentification.

Système d’authentification potentiellement compromis

Ce système repose sur un token, un module électronique détenu par les utilisateurs qui génère un code à 6 chiffres modifié toutes les minutes et qui doit être associé à un mot de passe pour donner accès à un réseau. SecurID est aujourd’hui utilisé par 40 millions de clients, notamment dans les transactions financières et par les administrations. En France, l’Éducation Nationale y a recours [...].


L’authentification forte par clé OTP [1]

Une clé d’authentification permet de s’assurer que la personne qui utilise cette clé possède l’autorisation d’accéder au système d’information. Une identification « classique » repose sur un identifiant et un mot de passe. Pour une authentification « forte », le mot de passe dépend d’un numéro qui change en permanence (une fois par minute) : lorsque les 6 chiffres de la clé ont été utilisés pour une authentification, ils ne sont pas réutilisables et il faut attendre la série suivante de chiffres pour pouvoir réutiliser la clé. D’où le terme OTP – One Time Password – qui signifie « mot de passe à usage unique ».

Problème : à l’occasion d’une cyber-attaque, la société RSA s’est fait dérober des informations importantes sur la technologie mise en oeuvre. D’après les déclarations de la société, les informations dérobées ne permettent pas des attaques directes contre les utilisateurs de cette technologie, mais elles pourraient être utilisées pour diminuer l’efficacité de l’authentification forte dans le cadre d’une attaque plus large.

Dans le monde, plus de 40 millions d’employés utilisent cette technologie quotidiennement. En France, les clés OTP sont utilisés en interne par des institutions comme l’Éducation Nationale ou des sociétés comme Air France.


P.-S.

Pour en savoir plus, on peut consulter :

* www.lemondeinformatique.fr/a...
* http://www.lemondeinformatique.fr/a...

Notes

[1] Voir également : wikipedia.org/wiki/SecurID


transmis par agnes - collectifs locaux anti-délation <>
Wed, 20 Apr 2011 22:49:47 +0200


Voir en ligne : base élèves et sconet sont-ils toujours inviolés ?

Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.