> Tech > Etape 1 : Collecte des données

Etape 1 : Collecte des données

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Pour déterminer les données à  collecter, réfléchissez d'abord à  la meilleure manière d'authentifier les utilisateurs autrement qu'avec le couple habituel : nom d'utilisateur / mot de passe. Il existe de nombreux exemples non techniques de ce genre d'authentification. C'est ainsi qu'une conversation téléphonique avec un agent de service client ou

avec un organisme financier
commence inévitablement par
quelques questions dont la réponse
rassure l’agent sur l’identité de l’appelant.
Certains organismes se contentent
de l’adresse et du numéro de
compte. D’autres demandent des informations
personnelles comme le
nom de jeune fille de la mère ou un
mot de passe de compte. Ces questions
de base assurent une authentification
de personne à  personne. Les
deux interlocuteurs peuvent ensuite poursuivre la discussion sur un plan
plus technique.

Pour commencer à  collecter des renseignements confidentiels sur l’utilisateur,
créez une page Web sécurisée
par NTFS (data_collection.asp dans
l’exemple d’application) qui présente
entre quatre et six questions personnelles,
comme le montre la figure 1.
Ces questions-défi doivent répondre à  plusieurs critères. Ce doit être des réalités
que seul l’utilisateur connaît, que
l’on ne peut pas trouver dans des bases
de données d’entreprise ou dans des
stockages d’informations publics et
qu’on ne peut pas deviner en faisant
preuve d’imagination (c’est-à -dire que
les intrus ne peuvent pas trouver les
réponses par intuition, conversation
banale, ou connaissance des traits physiques physiques
de l’utilisateur). De plus, les réponses
doivent être statiques (c’est-à dire
que le renseignement ne change
pas si l’utilisateur change de fonction
ou de lieu). Ces critères excluent des
questions sur, par exemple, le service
dans lequel l’utilisateur travaille, son
adresse personnelle, son numéro de
téléphone.

Presque tout le monde peut fournir
des informations généalogiques
comme l’anniversaire des parents, l’année
de naissance de la mère, ou le nom
du grand-père maternel. Ce genre d’informations
est difficile à  découvrir par
des relations et des contacts ordinaires
et, par conséquent, peut constituer
des données statiques intéressantes.
On peut aussi considérer des défis ouverts
à  l’interprétation de l’utilisateur,
comme demander une date mémorable.
De telles questions ne précisent
pas le genre de date : d’anniversaire,
de naissance, de recrutement, ou
autres. Vous pouvez aussi laisser les utilisateurs
formuler la question et la réponse.
Cette méthode est probablement
la plus sûre parce que les
imposteurs devraient alors découvrir à 
la fois la question-défi et la réponse. Il
n’est pas facile de trouver des questions-
défi remplissant tous les critères
nécessaires ; par conséquent, laisser la
question aux seules mains des utilisateurs
n’est peut-être pas le meilleur
choix. Pour que les données soient à  la
fois statiques et difficiles à  découvrir, il
faut équilibrer les questions-défi définies
par l’utilisateur et prédéfinies.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010