Les clés OTP : grands principes



Contexte

L’application BE1D (Base Élève 1er degré) nécessite pour y accéder que l’utilisateur dispose d’un outil d’authentification forte, et ce qu’elle se situe dans un contexte d’hébergement académique ou national.
Les utilisateurs se verront donc progressivement dotés d’un système d’authentification forte à compter du mois de décembre 2008, l’objectif étant que 50 000 directeurs d’école et 10 000 mairies soient équipés à la fin du 1er trimestre 2009.
La cible prioritaire concerne les utilisateurs de BE1D ; néanmoins, l’usage du système d’authentification forte déployé pourra être rapidement, sinon immédiatement, étendu à d’autres applications tant dans le premier que le second degré, telles que le bouquet SCONET (Système d’Information des lycées et collèges). Les principes de déploiement présentés ont donc été pensés dans cette optique, à savoir une distribution de clés à destination de tous les acteurs Éducation Nationale voire même au-delà, puisque sont également concernés les établissements du privé.

Principes fonctionnels

L’expérimentation de déploiement OTP réalisée en 2007 a permis de fixer un certain nombre d’orientations et d’en déterminer de nouvelles. Le bilan positif de ces quelques mois d’utilisation a par ailleurs été l’élément déterminant de la présente généralisation du déploiement OTP – en effet, les quelques 1 300 clés déployées à ce jour sur différents départements ont donné entière satisfaction aux utilisateurs, avec en outre peu d’incidents remontés.

Clé personnelle et nominative

L’utilisation première de la clé OTP se fera dans le contexte BE1D. À ce titre, les utilisateurs seront confrontés à une évolution majeure, puisque l’identification se fera dorénavant de façon nominative et individuelle – jusqu’alors, y compris pour les utilisateurs expérimentateurs OTP, l’identification était fonctionnelle, c'est à dire liée à l’école et non à l’utilisateur lui-même.

L’OTP est en effet une réponse au besoin d’authentification forte exprimé à l’égard des applications de l’Éducation Nationale donnant accès à des données nominatives en général, et de BE1D en particulier. Dans cette optique, il est donc nécessaire d’identifier précisément l’utilisateur qui se connecte à l’application, afin d’une part de le responsabiliser au maximum quant à l’usage qu’il fait de cette application, et d’autre part de rendre possible la nécessaire traçabilité des actions effectuées.

Identification et habilitations

Le caractère personnel de la clé de sécurité est également motivé par la distinction fonctionnelle claire qu’a voulu introduire le ministère entre les notions fondamentales que sont d’un côté l’identification de l’utilisateur (« qui je suis ») et son habilitation (« ce que j’ai le droit de faire »), notions qui étaient amalgamées à travers l’usage d’un login fonctionnel. Le recours à un login individuel associé à une politique d’habilitations permet ainsi une gestion beaucoup plus souple de l’accès des utilisateurs aux applications et aux données dont ils ont besoin dans leurs missions. Cela permet à l’utilisateur de conserver la même identification/authentification quelle que soit son affectation, celle-ci déterminant en revanche la nature de ses habilitations sur les applications liées à sa fonction. La conséquence concrète de ceci est que la clé OTP remise à l’utilisateur lui restera attachée tant qu’il demeurera au sein de son académie, indépendamment de son affectation à telle ou telle école. Il utilisera donc toujours le même identifiant, celui qui lui est personnel, associé à sa clé OTP ; ses habilitations seront par contre mises à jour dans les référentiels techniques en fonction de son affectation, pour par exemple lui supprimer ses droits sur son ancienne école et lui en donner de nouveaux sur son affectation du moment.

Cette distinction prend tout son sens à partir du moment où un utilisateur accède à plusieurs applications à l’aide de sa clé OTP ; il est en effet impératif que le changement d’habilitation sur l’une de ses applications n’impacte pas la ou les autres si ce n’est pas utile, ce qui serait le cas avec un identifiant lié à une affectation. Concrètement, cela permettra qu’à terme un utilisateur puisse continuer à se connecter à son application de messagerie à l’aide de son identifiant et de sa clé OTP même s’il ne doit plus avoir accès à BE1D, par exemple.

Conservation de la clé

Une fois sa clé reçue, l’utilisateur la conserve tant qu’il reste au sein de son académie. Ainsi, comme indiqué précédemment, tout changement d’affectation intra-académique n’entraîne pas la restitution de la clé, mais uniquement la mise à jour de ses habilitations. Si par contre un porteur de clé quitte son académie, il doit alors la remettre à son responsable et s’en voit attribuer une nouvelle dans son académie de destination.

A noter que chaque acteur de la chaine organisationnelle de distribution possèdera sa propre clé de sécurité, celle-ci devant lui permettre d’accéder aux outils qui lui seront nécessaires dans l’accomplissement des tâches propres à son rôle particulier.

Suppression des logins fonctionnels

La remise d'une clé OTP nominative à un directeur d'école rendra obsolète le login fonctionnel associé à l'école de ce directeur. Du fait de leur niveau de sécurité moindre, et dans le cas des directeurs d’école, les logins fonctionnels devront à terme être supprimés. Toutefois, afin de ne pas perturber le bon fonctionnement des applications et de ne pas imposer une transition trop brutale aux utilisateurs, les logins fonctionnels seront maintenus au moins jusqu'en Janvier 2009. Passée cette échéance, et une fois les utilisateurs de l'application BE1D équipés de clés OTP, l'ensemble des logins fonctionnels des directeurs d’école d'une académie sera supprimé de façon simultanée.

Le cas des mairies reste par contre à part, du fait que leurs personnels ne sont pas gérés dans les référentiels de l’Éducation Nationale. C’est donc le maire qui prendra la responsabilité d’associer une personne de ses services à un login fonctionnel, ce afin de permettre l’auditabilité et l’imputabilité a posteriori des actions réalisées via ce login fonctionnel.

Remise en face-à-face

L’étape de remise de la clé à son porteur constitue le maillon fondamental de la chaîne de confiance garantissant un niveau d’authentification élevé. Elle implique donc l’identification formelle du porteur préalablement à la remise de la clé, idéalement par une personne le connaissant déjà. C’est pourquoi le rôle du RC (responsable de la Remise de la Clé) peut être attribué pour le 1er degré à l’IEN, responsable de ses directeurs d’école, et pour le 2nd degré au chef d’établissement, responsable des enseignants placés sous son autorité.


Ces clés sont personnalisées au logo du ministère, comme représenté sur l’illustration ci-dessous :

Les clés OTP : grands principes

OTP :

One Time Password. Mot de passe à usage unique ; technologie mise en œuvre basée sur une clé générant des codes aléatoires à une fréquence régulière, dont la combinaison avec un code PIN* aboutit au mot de passe que l'utilisateur saisit lors de son authentification*.

Code PIN :

Code personnel numérique d’identification ; il est défini par le DC* et connu de lui seul ; lors de l’authentification, ce code, d’une longueur comprise entre 4 et 6 chiffres, est saisi conjointement au code aléatoire pour former le mot de passe attendu par l’application auquel souhaite accéder le DC*.

DC :

Détenteur de la clé ; il s’agit de l’utilisateur final, celui qui détient et utilise la clé de sécurité : directeur d’école, chef d’EPLE, enseignant du 2nd degré, mais également tous les acteurs amenés à intervenir dans la chaîne organisationnelle liée à la gestion du cycle de vie des clés de sécurité.

Documents supplémentaires :


Lundi 28 Septembre 2009
     

Rectorat de l'académie de Corse
Boulevard Pascal Rossini
BP 808
20192 Ajaccio CEDEX 4

Tél : +33 (0)4 95 50 33 33
Fax : +33 (0)4 95 51 27 06
Nous contacter

Horaires d'ouverture au public :
du lundi au vendredi
de 9h30 à 11h30
et de 14h30 à 16h
Enquête : «qualité de l'accueil»