Petite avant-première pour SanDisk, à l'occasion de la dernière RSA Conference de Nice. Ce constructeur, essentiellement connu pour sa ligne de cartes mémoires (SD, MC, PCMCIA etc), vient de signer un accord OEM avec RSA et Verisign, lui permettant d'intégrer un processeur de crypto et les mécanismes d'authentification des deux susnommés à l'intérieur d'une clef USB. Jusqu'à 10 licences « clef » peuvent être contenues dans chaque clef, ce qui offre à l'usager la possibilité de jongler avec une dizaine de sites exigeant une authentification « forte », et ce, sans devoir collectionner une ribambelle de « token » et autres calculettes à mots de passe.

Dans le cadre d'un usage « entreprise », il est possible de contrôler à distance la désactivation de chaque clef, voir de piloter un « formatage à distance » du contenu de la clef, dans l'hypothèse d'une perte ou d'un vol. Le cas risque d'être un peu plus compliqué lorsque la clef en question regroupe les crédences d'un particulier qui jongle avec des accès bancaires, de sites marchands, de RAS d'entreprise etc.

Serait-ce la fin du « mot de passe passe-partout » ? « Nous avons le business model » explique Joerg U.Ferchau, Directeur du Strategic Business Development de SanDisk. « Il repose essentiellement, dans un premier temps, sur les banques qui souhaitent sécuriser les liaisons de leurs grands clients, sur les sites marchands qui veulent protéger les accès de leurs vendeurs les plus réguliers... peu à peu, cette offre devrait pouvoir s'étendre jusqu'au client final, qui, contre une trentaine d'euros, pourrait acquérir la base matérielle puis demander à son fournisseur ou banquier la délivrance d'un certificat personnel ». Reste que l'émission du « mot de passe unique et temporaire » s'effectue encore par le biais d'une interface graphique, susceptible d'être compromise (voir le hack des claviers virtuels, présenté notamment par Nicolas Grégoire à l'occasion des avant-dernières SSTIC de Rennes). « Afin d'éviter ce genre de problème, il devrait être possible, à l'avenir, d'ouvrir un tunnel VPN directement entre le serveur distant et l'électronique de la clef, sans exiger la moindre saisie manuelle, donc le plus petit risque de « Keylogger » logiciel ou matériel »

Pour l'heure, chaque clef peut contenir un certain nombre d'applications spécifiques, dont notamment un client VPN Citrix, des outils mail, de navigation Web et de stockage sécurisé (l'échange même des fichiers via USB peut-être administré, voir strictement interdit) ou des programmes de protection binaire (antispywares etc). De là à se demander si un jour ou l'autre il ne serait pas imaginable de voir débouler SanDisk sur le secteur du « LiveUSB », en embarquant un noyau embarqué et des applications bureautiques spécifiques... « nous y pensons plus que fortement. Il est encore trop tôt pour dévoiler le type de noyau que nous allons utiliser, mais effectivement, à partir du moment où nous sommes capables d'intégrer un processeur de chiffrement à l'intérieur d'une clef USB, nous sommes également prêts à y ajouter une CPU plus traditionnelle... ». L'ordinateur sur un porte-clefs, pour « road warrior » cybernaute sécurisé... l'idée est plaisante. Si le coût est à la hauteur des promesses de SanDisk, cela pourrait bien intéresser quelques RSSI chargés de superviser une flotte d'outils « mobiles ».

. Web-profils.com, la place de marché du conseil et de l'ingénierie