FR3017729A1 - Procede d'authentification a distance - Google Patents

Procede d'authentification a distance Download PDF

Info

Publication number
FR3017729A1
FR3017729A1 FR1451301A FR1451301A FR3017729A1 FR 3017729 A1 FR3017729 A1 FR 3017729A1 FR 1451301 A FR1451301 A FR 1451301A FR 1451301 A FR1451301 A FR 1451301A FR 3017729 A1 FR3017729 A1 FR 3017729A1
Authority
FR
France
Prior art keywords
terminal
authentication
terminals
list
enrolled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1451301A
Other languages
English (en)
Other versions
FR3017729B1 (fr
Inventor
Gerard Dedieu
David Cossard
Christopher Nicol
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bull Sas Fr
Original Assignee
Evidian SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Evidian SA filed Critical Evidian SA
Priority to FR1451301A priority Critical patent/FR3017729B1/fr
Publication of FR3017729A1 publication Critical patent/FR3017729A1/fr
Application granted granted Critical
Publication of FR3017729B1 publication Critical patent/FR3017729B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Description

PROCÉDÉ D'AUTHENTIFICATION À DISTANCE DOMAINE TECHNIQUE La présente invention est relative aux méthodes d'authentification à distance, et plus particulièrement à un procédé permettant de déléguer l'authentification d'un équipement à un autre équipement.
ETAT DE LA TECHNIQUE Dans le domaine des méthodes d'authentification à distance, on connait les solutions d'authentification unique (en anglais « Single Sign-On », SSO), appelées également fédération des identités. A l'aide d'une seule authentification, telle que la saisie d'un mot de passe, l'utilisateur accède depuis son poste informatique à plusieurs applications informatiques sécurisées (ou par exemple à plusieurs sites web sécurisés). L'accès à ces ressources est ainsi simplifié, car l'utilisateur n'a qu'un seul mot de passe dit « principal » à retenir. La sécurité des accès est en outre renforcée.
Dans ce type de solutions, l'utilisateur interagit avec un seul terminal et transfère l'authentification d'une ou plusieurs applications vers une autre application, dont il maîtrise l'authentification. Il ne peut par contre accéder à d'autres terminaux. Il existe par ailleurs des solutions de contrôle à distance. Depuis son poste, l'utilisateur peut prendre la main sur un poste distant, à condition qu'une session ait déjà été ouverte sur cet autre poste. Il peut aussi ouvrir à distance une session sur un terminal, si bien sûr il en connait les identifiants. Par contre, ces solutions ne lui permettent pas de s'authentifier sur le terminal distant, en transférant l'authentification de son propre terminal, lorsque par exemple il ignore le mot de passe du terminal distant. RESUME DE L'INVENTION On constate qu'il existe un besoin de prévoir un procédé permettant de déléguer l'authentification d'un premier terminal, sur lequel l'utilisateur souhaite se connecter, à un second terminal sur lequel il est déjà connecté, autrement dit transférer l'authentification du second terminal au premier terminal.
Selon l'invention, on tend à satisfaire ce besoin en prévoyant les étapes suivantes : - activer une requête d'authentification à distance, depuis le premier terminal ; - recevoir sur le premier terminal une liste de terminaux enrôlés ; - sélectionner, parmi la liste de terminaux enrôlés, le second terminal ; et - recevoir sur le premier terminal, après acceptation d'une demande de délégation d'authentification par le second terminal, des données d'authentification permettant à l'utilisateur de s'authentifier sur le premier terminal.
Dans un mode de mise en oeuvre préférentiel, un serveur reçoit la requête d'authentification envoyée par le premier terminal, accède à une mémoire dans laquelle est enregistrée la liste des terminaux enrôlés, envoie la liste des terminaux enrôlés au premier terminal et envoie la demande de délégation d'authentification au second terminal. Dans une variante de mise en oeuvre, le premier terminal accède à une mémoire dans laquelle est enregistrée la liste des terminaux enrôlés et envoie la demande de délégation d'authentification au second terminal.
Le premier terminal peut recevoir les données d'authentification en provenance du serveur ou du second terminal. L'invention vise également un procédé de transfert d'une authentification entre deux terminaux par l'intermédiaire d'un serveur, le serveur mettant en oeuvre les étapes suivantes : - recevoir une requête d'authentification à distance venant d'un premier terminal sur lequel un utilisateur souhaite s'authentifier ; - transmettre au premier terminal une liste de terminaux enrôlés ; - recevoir du premier terminal la désignation d'un second terminal choisi parmi la liste de terminaux enrôlés et sur lequel l'utilisateur est déjà authentifié ; - envoyer une demande de délégation d'authentification au second terminal ; - recevoir du second terminal une permission de délégation, en réponse à la demande de délégation d'authentification ; et - transmettre au premier terminal des données d'authentification permettant à l'utilisateur de s'authentifier sur le premier terminal.
De préférence, le serveur accède à une mémoire dans laquelle sont enregistrés la liste de terminaux enrôlés et les données d'authentification de l'utilisateur. La requête d'authentification comporte avantageusement un nom d'utilisateur et une clef de session servant à chiffrer la liste des terminaux enrôlés et les données d'authentification. La liste des terminaux enrôlés peut contenir tous les terminaux sur lesquels l'utilisateur est déjà authentifié.
Alternativement, l'enrôlement de chaque terminal de la liste peut aussi être obtenu par une précédente authentification de l'utilisateur sur ledit terminal suivie d'une communication entre le serveur et ledit terminal. Le serveur peut alors associer une clé publique à chaque terminal de la liste lors de son enrôlement et la demande de délégation d'authentification envoyée au second terminal comporte, de préférence, un nom d'utilisateur chiffré avec la clé publique du second terminal Un autre aspect de l'invention concerne un dispositif d'authentification permettant de transférer une authentification vers un premier terminal, sur lequel un utilisateur souhaite s'authentifier, depuis un second terminal sur lequel l'utilisateur est déjà authentifié. Ce dispositif comporte : - une mémoire dans laquelle est enregistrée une liste de terminaux enrôlés ; - des moyens pour consulter la liste de terminaux enrôlés ; - des moyens pour envoyer une demande de délégation d'authentification au second terminal, le second terminal étant choisi parmi la liste de terminaux enrôlés ; et - des moyens pour récupérer des données d'authentification. Dans un mode de réalisation préférentiel, le dispositif d'authentification forme un serveur et comprend en outre des moyens pour se connecter au premier et second terminaux, des moyens pour transmettre la liste de terminaux enrôlés au premier terminal, et des moyens pour transmettre les données d'authentification au premier terminal. Enfin, un autre aspect de l'invention concerne un terminal d'authentification comprenant le dispositif d'authentification selon l'invention et formant le premier terminal. BREVES DESCRIPTION DES FIGURES D'autres caractéristiques et avantages de l'invention ressortiront clairement de la description qui en est donnée ci-dessous, à titre indicatif et nullement limitatif, en référence aux figures annexées, parmi lesquelles : - La figure 1 représente un premier mode de mise en oeuvre d'un procédé d'authentification à distance selon l'invention ; - La figure 2 représente un deuxième mode de mise en oeuvre du procédé d'authentification à distance selon l'invention ; et - La figure 3 représente un troisième mode de mise en oeuvre du procédé d'authentification à distance selon l'invention.
DESCRIPTION DETAILLEE D'AU MOINS UN MODE DE REALISATION Le terme « terminal » désigne dans la description qui suit un dispositif informatique permettant à un utilisateur d'interagir avec des ressources réseau.
Le procédé d'authentification à distance, décrit ci-après en relation avec les figures 1 à 3, se présente sous la forme d'un protocole de communication entre deux terminaux. Il comporte une succession d'étapes F1 à F6 ayant pour but de mettre en relation les deux terminaux et de transférer l'authentification d'un terminal à l'autre. La communication peut se faire soit par l'intermédiaire d'un serveur (figures 1 et 2), soit de façon directe entre les deux terminaux (figure 3). En outre, lorsqu'un serveur est utilisé, celui-ci peut être l'intermédiaire de l'ensemble des communications (Figure 1) ou d'une partie seulement des échanges entre les terminaux (Figure 2). Le premier terminal est un terminal A sur lequel un utilisateur souhaite s'authentifier. Pour diverses raisons, par exemple parce qu'il ignore les données d'authentification lui permettant d'ouvrir une session sur le terminal A, l'utilisateur souhaite utiliser l'authentification d'un second terminal B pour se connecter au terminal A. Le terminal B est donc un terminal sur lequel l'utilisateur est déjà authentifié. L'utilisateur a accès physiquement aux deux terminaux A et B. L'utilisation d'un second terminal (terminal B) offre à l'utilisateur la possibilité d'utiliser des moyens d'authentification auxquels il n'aurait pas accès sur le premier terminal (A). A titre d'exemple, le terminal A est un poste informatique de travail appartenant à un réseau d'entreprise, qui normalement exige un nom d'utilisateur et un mot de passe pour s'y connecter, tandis que le terminal B est un appareil mobile, tel qu'une tablette ou un téléphone portable, équipé d'un capteur biométrique. L'utilisateur peut ainsi s'authentifier sur le terminal A grâce à son empreinte digitale et le capteur biométrique du terminal B. Cela permet une grande souplesse dans les méthodes d'authentification. Dans le mode de mise en oeuvre préférentiel de la figure 1, la communication entre les deux terminaux A et B s'effectue par l'intermédiaire d'un serveur sécurisé S. On appelle « serveur » un dispositif informatique connecté en réseau qui met à disposition d'autres dispositifs (appelés clients ou terminaux) des services, tels qu'un espace de stockage. Le serveur S agit ici comme tiers de confiance pour faire dialoguer les deux terminaux et délivre au terminal A les informations nécessaires à l'ouverture d'une session sur ce terminal. Lors d'une première étape F1 du procédé d'authentification, l'utilisateur requiert sur le terminal A une délégation d'authentification. L'utilisateur exprime ainsi le souhait de confier l'authentification du terminal A à un autre terminal. L'interface d'authentification du terminal A fait, par exemple, apparaître un bouton ou un lien servant à activer la délégation d'authentification. L'activation de la délégation déclenche l'envoi d'une requête d'authentification à distance, du terminal A vers le serveur S. Cette requête contient, de préférence un identifiant, ou nom d'utilisateur, et une clef de session. En réponse à la requête d'authentification, le serveur envoie au terminal A, lors d'une étape F2, une liste de terminaux enrôlés par l'utilisateur. Par « terminaux enrôlés », on entend des terminaux associés à l'utilisateur qui sont susceptibles d'accepter les délégations d'authentification. Par conséquent, cette liste contient ici au moins le terminal B, à qui est destinée la délégation d'authentification du terminal A. Bien que non représentés, la liste peut contenir d'autres terminaux en plus du terminal B.
La liste de terminaux enrôlés par l'utilisateur est stockée dans une mémoire MEM. Le serveur S accède à cette mémoire et y récupère la liste de terminaux enrôlés, pour ensuite l'envoyer au terminal A. Les terminaux enrôlés peuvent avoir fait l'objet d'une procédure d'enrôlement, ou d'enregistrement, préalablement à l'activation de la délégation d'authentification (étape F1). L'enregistrement d'un terminal sur la liste des terminaux enrôlés est, de préférence, obtenu par une précédente authentification de l'utilisateur sur ce terminal, suivie d'une communication entre le serveur S et le terminal.
La procédure d'enrôlement peut notamment être accomplie par le biais d'une application exécutée sur le terminal à enrôler, par exemple le terminal B. Cette application demande à l'utilisateur de s'authentifier sur le terminal B, puis un échange de données, telles que les identifiants de l'utilisateur et du terminal, s'effectue entre le terminal B et le serveur S. Le couple d'identifiants est enregistré sur la mémoire MEM par le serveur S. Ainsi, le serveur établit le lien entre l'utilisateur et ce terminal.
Alternativement, la liste des terminaux enrôlés contient tous les terminaux sur lesquels l'utilisateur est déjà authentifié. On considère alors que ces terminaux sont enrôlés, c'est-à-dire associés à l'utilisateur, par le simple fait que l'utilisateur y est actuellement connecté. Cela suppose que le serveur S ait connaissance des sessions ouvertes sur les différents terminaux, par exemple en les interrogeant l'un après l'autre. Alternativement, chaque terminal notifie au serveur les ouvertures/fermetures de session. Les terminaux enrôlés sont avantageusement des appareils mobiles, tels qu'un téléphone ou un ordinateur portable, c'est-à-dire des appareils que l'utilisateur peut facilement emmener avec lui. Dans l'exemple du réseau d'entreprise décrit ci- dessus, l'utilisateur peut être un employé de l'entreprise qui souhaite se connecter sur un poste de l'entreprise distant autre que son poste habituel. Il a, au préalable, défini son téléphone comme un terminal enrôlé et peut, dès lors, se connecter à cet autre poste avec son téléphone.
L'enrôlement des terminaux, qu'il soit préétabli ou « dynamique » lorsqu'il s'agit des terminaux en cours de connexion, fixe un premier niveau de sécurité. En effet, il assure un certain contrôle de l'utilisateur, car seuls les terminaux utilisés par celui-ci acceptent les délégations d'authentification.
Lorsqu'une clé de session est contenue dans la requête d'authentification, cette clé sert avantageusement à chiffrer la liste des terminaux enrôlés. Ainsi, un degré supplémentaire de protection est atteint, car seul le terminal A disposant de la clé peut déchiffrer la liste et connaître les terminaux susceptibles d'accepter une délégation d'authentification. La liste des terminaux enrôlés est reçue sur le terminal A et, à l'étape F3, on sélectionne parmi cette liste le terminal B, i.e. un terminal enrôlé sur lequel l'utilisateur est déjà authentifié. Ce choix peut s'effectuer sur le terminal A à travers une interface graphique qui liste à l'utilisateur tous les terminaux enrôlés. L'identifiant du terminal sélectionné, ainsi que l'identité de l'utilisateur, sont ensuite envoyés au serveur S par le réseau. Bien sûr, si un seul terminal figure sur la liste, il peut être automatiquement sélectionné. A l'étape F4, le serveur S envoie une demande de délégation d'authentification au terminal B sélectionné à l'étape F3. Cette demande de délégation contient, de préférence, le nom de l'utilisateur pour vérifier qu'il a bien une session ouverte sur le terminal B. Lors de la procédure d'enrôlement d'un terminal, une clé de cryptage associée au terminal a pu être échangée avec le serveur S, en même temps que les identifiants de l'utilisateur et du terminal. Le serveur S associe alors une clé publique à chaque terminal enrôlé et l'enregistre dans la mémoire MEM. Cette clé peut notamment servir à authentifier le terminal B, lors des requêtes futures, comme celle de l'étape F5. La demande de délégation est, de préférence, cryptée par le serveur S avec la clé publique du terminal B et celui-ci décode la demande de délégation avec une clé privée. Ceci renforce encore la sécurité des échanges car seul le terminal possédant la clef privée déchiffre la demande de délégation. En F5, l'utilisateur confirme la délégation d'authentification, en acceptant la demande envoyée en F4 sur le terminal B. Par exemple, une interface apparaît sur le terminal B demandant à l'utilisateur s'il est bien à l'origine de la demande de délégation. Une permission de délégation est alors envoyée par le terminal B au serveur S. Par défaut, le terminal B peut être configuré pour ne pas accepter les demandes de délégation si celles-ci ne sont pas cryptées avec sa clé Pour davantage de sécurité, l'acceptation de la demande de délégation peut faire l'objet d'une nouvelle authentification de l'utilisateur sur le terminal B. On contrôle ainsi une nouvelle fois l'identité de l'utilisateur (il s'est déjà authentifié une première fois pour se connecter au terminal B). Le terminal B peut aussi être configuré de sorte à accepter automatiquement les demandes délégation qui lui parviennent. La permission de délégation parvient au serveur S et, en F6, ce dernier transmet au terminal A les données d'authentification permettant à l'utilisateur de s'y connecter. Les données d'authentification sont, par exemple, l'identifiant et le mot de passe de l'utilisateur. De préférence, les données d'authentification de chaque utilisateur sont enregistrées 10 dans la mémoire MEM. En outre, elles sont avantageusement chiffrées par le serveur S avant d'être envoyées au terminal A. Le chiffrement peut notamment être réalisé à l'aide de la clef de session envoyée à l'étape F1. Les données d'authentification (ex. couple identifiant/mot de passe) de l'utilisateur 15 peuvent être enregistrées dans la mémoire MEM lorsque l'utilisateur s'authentifie pour la première fois, indifféremment depuis le terminal A ou le terminal B. Les données qu'il aura saisies pour ouvrir une session sont transmises au serveur S, qui les enregistre dans la mémoire MEM. 20 Enfin, à l'étape F7 de procédé d'authentification, les informations fournies par le serveur S sont utilisées par le terminal A pour ouvrir une session sur ce terminal (après un éventuel déchiffrement). Dans le mode de réalisation de la figure 1, la mémoire MEM constitue une base de 25 données unique comprenant (entre autres) la liste des terminaux enrôlés, le couple identifiant/mot de passe de chaque utilisateur et les clés publiques des terminaux. Couplée au serveur, cette mémoire centralise donc toutes les informations nécessaires à la délégation d'une authentification. Il en résulte que n'importe quel terminal connecté au serveur peut requérir l'authentification par un autre terminal. 30 Ainsi, dans ce mode de réalisation, le serveur S et la mémoire MEM constituent un dispositif qui transfère l'authentification du terminal B vers le terminal A à travers les communications des étapes F1 à F6. Ce dispositif d'authentification comporte notamment : - des moyens pour se connecter aux terminaux A et B ; - des moyens pour consulter la liste de terminaux enrôlés sur la mémoire MEM ; - des moyens pour transmettre la liste de terminaux enrôlés au terminal A ; - des moyens pour envoyer une demande de délégation d'authentification au terminal B ; - des moyens pour récupérer des données d'authentification sur la mémoire MEM ; et - des moyens pour transmettre ces données d'authentification au terminal A Le serveur S est, par exemple, un ordinateur doté d'un microprocesseur, d'une mémoire, dans laquelle sont enregistrées des instructions, et d'une interface réseau reliés entre eux par un bus de données. L'exécution des instructions par le microprocesseur permet de générer et/ou traiter les messages que sont : - la requête d'authentification (Fi ) ; - la liste des terminaux enrôlés (F2) ; - la désignation d'un terminal enrôlé (F3) ; - la demande de délégation (F4) ; - la permission de délégation (F5) ; et - les données d'authentification (F6). Ces messages transitent entre le microprocesseur et l'interface réseau par le bus de données et l'interface réseau est chargée de recevoir ces messages en provenance des terminaux A et B, ou de les envoyer à ces terminaux, via le réseau. La mémoire MEM fait, de préférence, partie intégrante du serveur S et peut être confondue avec la mémoire de stockage des instructions. Dans une variante de réalisation, la mémoire MEM est externalisée, c'est-à-dire distincte du serveur S. Une solution d'authentification et de chiffrement est alors 30 adoptée, pour protéger les échanges de données entre le serveur S et cette mémoire externe. La figure 2 représente un deuxième mode de mise en oeuvre du procédé d'authentification. Ce deuxième mode diffère de celui de la figure 1, en ce que l'étape F6 d'envoi des données d'authentification au terminal A est effectuée par le terminal B, au lieu du serveur S. Autrement dit, les données d'authentification proviennent du terminal B, et plus du serveur S. Il n'y a donc de permission de délégation à proprement parler, sauf à considérer qu'elle est implicitement comprise dans les données d'authentification. Le terminal B accède à une mémoire MEM2 dans laquelle sont enregistrées les données d'authentification (ex. identifiant/mot de passe). Il peut s'agir de sa propre mémoire, par exemple dans le cas d'un appareil mobile, ou d'une base de données distante qu'il contacte pour récupérer les données d'authentification. Il est par exemple possible d'installer sur le terminal B un fournisseur de réseau (« network provider » en anglais) qui se charge de fournir les données d'authentification, à la demande du terminal A.
La mémoire MEM2 est distincte de la mémoire couplée au serveur S. Cette dernière, renommée MEM1, contient désormais seulement la liste des terminaux enrôlés, et éventuellement les clés publiques des terminaux enrôlés.
Les étapes F1 à F4 du procédé de la figure 2, ainsi que les moyens pour les mettre en oeuvre, sont par ailleurs inchangés. Ce deuxième mode de mise en oeuvre du procédé est plus rapide que la solution précédente avec un stockage centralisé, car les données d'authentification proviennent directement du terminal B. En outre, on réduit ainsi les risques de congestion ou de panne du serveur S. Afin de simplifier la mise en oeuvre du procédé d'authentification, on pourrait aussi envisager de se dispenser d'un serveur d'échange et de faire communiquer les terminaux A et B de façon directe, si d'une part les données d'authentification sont enregistrées sur le terminal B (comme sur la figure 2), et si d'autre part le terminal A peut accéder directement (et en lecture seulement) à la mémoire contenant la liste des terminaux enrôlés.
La figure 3 représente ce mode de mise en oeuvre simplifié, où les étapes F1 à F6 sont mises en oeuvre uniquement par les terminaux A et B.
Après activation de la requête d'authentification à distance (F1) par l'utilisateur, le terminal A accède à la liste des terminaux enrôlés stockée sur une mémoire MEM3 (étape F2). L'utilisateur sélectionne parmi cette liste le terminal auquel il veut déléguer l'authentification du terminal A, ici le terminal B (étape F3). Ainsi, les étapes F1 à F3 sont commandées uniquement par le terminal A, et celui-ci ne communique avec le terminal B qu'à partir de l'étape F4. La demande de délégation est envoyée par le terminal A au terminal B (étape F4), qui après acceptation, lui retourne les données d'authentification de l'utilisateur (étapes F5-F6). Une session peut alors être ouverte sur le terminal A (étape F7).
Ainsi, le terminal A et la mémoire MEM3 de la figure 3 forment un dispositif d'authentification autonome pour requérir la délégation d'authentification au terminal B. Il comprend les mêmes moyens que le serveur S de la figure 1, pour consulter la liste des terminaux enrôlés, transmettre des requêtes au terminal B et recevoir en retour des données d'authentification. La mémoire MEM3 peut être interne ou externe au terminal A, comme la mémoire MEM2 au terminal B. D'autres moyens (ou méthodes) d'authentification que ceux décrits précédemment peuvent être utilisés sur le terminal B. On peut citer notamment les cartes d'accès RFID, les schémas de déverrouillage, la reconnaissance faciale et la reconnaissance d'iris.

Claims (16)

  1. REVENDICATIONS1. Procédé d'authentification à distance par transfert d'une authentification entre deux terminaux (A, B), comprenant les étapes suivantes : activer (F1) une requête d'authentification à distance, depuis un premier terminal (A) sur lequel un utilisateur souhaite s'authentifier ; recevoir (F2) sur le premier terminal une liste de terminaux enrôlés ; - sélectionner (F3), parmi la liste de terminaux enrôlés, un second terminal (B) sur lequel l'utilisateur est déjà authentifié ; et - recevoir (F6) sur le premier terminal (A), après acceptation d'une demande de délégation d'authentification par le second terminal (B), des données d'authentification permettant à l'utilisateur de s'authentifier (F7) sur le premier terminal.
  2. 2. Procédé d'authentification selon la revendication 1, dans lequel le premier terminal (A) accède à une mémoire (MEM3) dans laquelle est enregistrée la liste des terminaux enrôlés et envoie (F4) la demande de délégation d'authentification au second terminal (B).
  3. 3. Procédé d'authentification selon la revendication 1, dans lequel un serveur (S) reçoit (F1) la requête d'authentification envoyée par le premier terminal (A), accède à une mémoire (MEM, MEM1) dans laquelle est enregistrée la liste des terminaux enrôlés, envoie (F2) la liste des terminaux enrôlés au premier terminal (A) et envoie (F4) la demande de délégation d'authentification au second terminal (B).
  4. 4. Procédé d'authentification selon la revendication 3, dans lequel le premier terminal (A) reçoit (F5) les données d'authentification en provenance du serveur (S).
  5. 5. Procédé d'authentification selon l'une quelconque des revendications 1 à 3, dans 30 lequel le premier terminal (A) reçoit (F5) les données d'authentification en provenance du second terminal (B).
  6. 6. Procédé de transfert d'une authentification entre deux terminaux (A, B) parl'intermédiaire d'un serveur (S), le serveur mettant en oeuvre les étapes suivantes : recevoir (F1) une requête d'authentification à distance venant d'un premier terminal (A) sur lequel un utilisateur souhaite s'authentifier ; transmettre (F2) au premier terminal une liste de terminaux enrôlés ; recevoir (F3) du premier terminal (A) la désignation d'un second terminal (B) choisi parmi la liste de terminaux enrôlés et sur lequel l'utilisateur est déjà authentifié ; envoyer (F4) une demande de délégation d'authentification au second terminal ; recevoir (F5) du second terminal (B) une permission de délégation, en réponse à la demande de délégation d'authentification ; et - transmettre (F6) au premier terminal (A) des données d'authentification permettant à l'utilisateur de s'authentifier (F7) sur le premier terminal.
  7. 7. Procédé de transfert selon la revendication 6, dans lequel le serveur accède à une mémoire (MEM) dans laquelle sont enregistrés la liste de terminaux enrôlés et les données d'authentification de l'utilisateur.
  8. 8. Procédé de transfert selon l'une des revendications 6 et 7, dans lequel la requête d'authentification comporte un nom d'utilisateur et une clef de session servant à chiffrer la liste des terminaux enrôlés et les données d'authentification.
  9. 9. Procédé de transfert selon l'une quelconque des revendications 6 à 8, dans lequel l'enrôlement d'un terminal de la liste est obtenu par une précédente authentification de l'utilisateur sur ledit terminal suivie d'une communication entre le serveur (S) et ledit terminal.
  10. 10. Procédé de transfert selon la revendication 9, dans lequel le serveur (S) associe une clé publique au terminal de la liste lors de son enrôlement.
  11. 11. Procédé de transfert selon la revendication 10, dans lequel la demande de délégation d'authentification envoyée (F4) au second terminal (B) comporte un nom d'utilisateur chiffré avec la clé publique du second terminal.
  12. 12. Procédé de transfert selon l'une quelconque des revendications 6 à 8, dans lequel la liste des terminaux enrôlés contient tous les terminaux sur lesquels l'utilisateur est déjà authentifié.
  13. 13. Dispositif d'authentification pour la mise en oeuvre d'un procédé selon l'une quelconque des revendications 1 à 12 permettant de transférer une authentification vers un premier terminal (A), sur lequel un utilisateur souhaite s'authentifier, depuis un second terminal sur lequel l'utilisateur est déjà authentifié (B), le dispositif comportant : - une mémoire (MEM, MEM1, MEM3) dans laquelle est enregistrée une liste de terminaux enrôlés ; - des moyens pour consulter la liste de terminaux enrôlés ; - des moyens pour envoyer une demande de délégation d'authentification au second terminal (B), le second terminal étant choisi parmi la liste de terminaux enrôlés ; et - des moyens pour récupérer des données d'authentification.
  14. 14. Dispositif d'authentification selon la revendication 13 formant un serveur (S) et 20 comprenant en outre : - des moyens pour se connecter au premier (A) et second (B) terminaux ; - des moyens pour transmettre la liste de terminaux enrôlés au premier terminal (A) ; et - des moyens pour transmettre les données d'authentification au premier 25 terminal (A).
  15. 15. Dispositif d'authentification (S) selon la revendication 14, dans lequel les données d'authentification sont enregistrées dans la mémoire (MEM). 30
  16. 16. Terminal d'authentification comprenant le dispositif d'authentification selon la revendication 13 et formant le premier terminal (A).
FR1451301A 2014-02-18 2014-02-18 Procede d'authentification a distance Active FR3017729B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1451301A FR3017729B1 (fr) 2014-02-18 2014-02-18 Procede d'authentification a distance

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1451301A FR3017729B1 (fr) 2014-02-18 2014-02-18 Procede d'authentification a distance

Publications (2)

Publication Number Publication Date
FR3017729A1 true FR3017729A1 (fr) 2015-08-21
FR3017729B1 FR3017729B1 (fr) 2017-07-14

Family

ID=50780697

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1451301A Active FR3017729B1 (fr) 2014-02-18 2014-02-18 Procede d'authentification a distance

Country Status (1)

Country Link
FR (1) FR3017729B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3105482A1 (fr) * 2019-12-18 2021-06-25 Orange Procédé d’obtention de mot de passe pour l’accès à un service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2077517A1 (fr) * 2007-12-28 2009-07-08 Gemalto SA Délégation de conditions d'accès entre jetons portables
EP2498529A1 (fr) * 2011-03-08 2012-09-12 Trusted Logic Mobility SAS Procédé d'authentification d'utilisateur pour accéder à un service en ligne

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2077517A1 (fr) * 2007-12-28 2009-07-08 Gemalto SA Délégation de conditions d'accès entre jetons portables
EP2498529A1 (fr) * 2011-03-08 2012-09-12 Trusted Logic Mobility SAS Procédé d'authentification d'utilisateur pour accéder à un service en ligne

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3105482A1 (fr) * 2019-12-18 2021-06-25 Orange Procédé d’obtention de mot de passe pour l’accès à un service

Also Published As

Publication number Publication date
FR3017729B1 (fr) 2017-07-14

Similar Documents

Publication Publication Date Title
EP3008872B1 (fr) Procédé d'authentification d'un terminal par une passerelle d'un réseau interne protégé par une entité de sécurisation des accès
EP2514167B1 (fr) Procede et dispositif de controle
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ...
WO2002073930A1 (fr) Dispositif portable pour securiser le trafic de paquets dans une plate-forme hote
FR3028979A1 (fr) Procede de controle d'acces a un systeme de production d'un systeme informatique non connecte a un systeme d'information dudit systeme informatique
FR3017729A1 (fr) Procede d'authentification a distance
EP1668868A1 (fr) Systeme d acces a un reseau adapte pour la mise en oeuvre d'un procede a signature simplifiee, et serveur pour sa realisation
WO2016075395A1 (fr) Procédé et système de gestion d'identités d'utilisateurs destiné à être mis en œuvre lors d'une communication entre deux navigateurs web
WO2019239029A1 (fr) Procédé de traitement de messages par un dispositif d'un réseau de voix sur ip
WO2020016504A1 (fr) Dispositifs et procedes de gestion d'un attachement d'un dispositif de communication a un reseau d'un operateur
EP3041192B1 (fr) Infrastructure d'authentification de téléphones ip d'un système toip propriétaire par un système eap-tls ouvert
EP4080923B1 (fr) Dispositif électronique de gestion décentralisée de groupe(s) de communication
EP3265948B1 (fr) Transfert sécurisé d'information d'authentification
EP4187409A1 (fr) Procédé et système d'authentification d'un utilisateur sur un serveur d'identité as a service
FR3037751A1 (fr) Composant materiel et procede d'acces d'un terminal distant a un reseau local, passerelle de service, procede d'autorisation d'acces et programme d'ordinateur correspondants
EP3672193A1 (fr) Procédé et système d'authentification d'un terminal client par un serveur cible, par triangulation via un serveur d'authentification
FR3051091A1 (fr) Procede d'authentification pour autoriser l'acces a un site web ou l'acces a des donnees chiffrees
EP3360293A1 (fr) Moyens de gestion d'accès à des données
FR3070776A1 (fr) Enrolement perfectionne d'un equipement dans un reseau securise
EP3735001A1 (fr) Réseau de communication et procédé de gestion décentralisée de communications via le réseau de communication
EP2339775A1 (fr) Procédé et dispositif de chiffrement distribué basé sur un serveur de clés
FR3090152A1 (fr) Réinitialisation d’un secret applicatif au moyen du terminal
WO2011157928A1 (fr) Procede et systeme d'acces securise a un serveur http
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR3046272A1 (fr) Procede et dispositif de connexion a un serveur distant

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

TP Transmission of property

Owner name: BULL SAS, FR

Effective date: 20220708

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11