Ping intègre l’authentification multifacteurs dans les applications mobiles

Les applications mobiles ont longtemps manqué de certaines mesures de renforcement de la sécurité pour les entreprises. Mais Ping Identity espère changer cela en permettant l’intégration de l’authentification forte à ces applications.

C’est en en tout cas l’ambition affichée du PingID SDK, présenté lors du Cloud Identity Summit 2017. Ce kit de développement est conçu pour aider les développeurs à ajouter aisément l’authentification à facteurs multiples à leurs applications mobiles.

Le kit de développement est disponible aussi bien pour iOS qu’Android et permet d’intégrer une couche d’authentification multifacteurs personnalisable, à sa marque, sans avoir à s’appuyer sur un produit tiers. De quoi donner les moyens « aux organisations de préserver leur expérience de marque plutôt que de forcer leurs clients à télécharger une application d’authentification à facteurs multiples distincte », souligne Ping Identity dans un communiqué de presse.

André Durand, le patron de Ping Identity, estime que si cette annonce peut paraître mineure, elle vise à répondre à un problème majeur : « c’est quelque chose d’important que d’avoir l’authentification forte intégrée à une application mobile. Toutes ces applications sont aujourd’hui lancées comme s’il s’agissait d’applications SaaS. Tout au plus intègrent-elles une authentification par mot de passe, sans tirer profit de tout ce que le terminal mobile peut apporter pour compléter l’authentification de l’utilisateur ».

Dans cette perspective, le SDK PingID peut utiliser plusieurs composants des terminaux iOS et Android : données de géolocalisation, ou données biométriques. Et de permettre ainsi une authentification hors bande, pour les services Web, afin d’approuver des transactions à partir de terminaux de confiance.  

André Durand explique que « l’on peut vérifier les identités à partir d’approbations de transactions. C’est le Saint Graal. Si un système a besoin de vous envoyer une demande d’approbation, il peut la faire transition par une notification push sur votre terminal mobile, et votre empreinte digitale combinée à vos données de géolocalisation peuvent vous authentifier. Et nous avons alors des transactions non répudiables ».

Pour le patron de Ping Identity, les scénarios d’utilisation sont « sans limite » : par exemple, pour approuver un rapport de dépenses d’un employé depuis une application mobile, il doit cliquer sur un lien vers un site Web où s’authentifier à nouveau. Avec le SDK PingID, il pourrait lancer l’application à partir d’une notification sur un terminal qui l’a déjà authentifié.

A de nombreux égards, cette approche rappelle celle de UnifyID, jeune pousse distinguée par les experts de l’Innovation Sandbox de la dernière édition de RSA Conference, en début d’année. Celle-ci s’appuie sur une empreinte numérique de l’utilisateur pour compléter son authentification, construite à partir d’un profil comportemental alimenté par les capteurs et interfaces des terminaux mobiles – gyroscope, accéléromètre, magnétomètre, baromètre, GPS, Wi-Fi, Bluetooth, etc.

UnifyID ne propose pas, pour le moment, d’interfaces permettant de l’intégrer avec des applications mobiles tierces. Mais son application mobile sert de clé d’entrée aux applications Web – via une extension pour le navigateur Web – et peut demander périodiquement à l’utilisateur de confirmer la transaction demandée sur son poste de travail depuis son terminal mobile, à partir d’une notification.

Avec nos confrères de SearchSecurity.com (groupe TechTarget).