[go: up one dir, main page]

FR3076638A1 - Procede de gestion d'un acces a une page web d'authentification - Google Patents

Procede de gestion d'un acces a une page web d'authentification Download PDF

Info

Publication number
FR3076638A1
FR3076638A1 FR1850235A FR1850235A FR3076638A1 FR 3076638 A1 FR3076638 A1 FR 3076638A1 FR 1850235 A FR1850235 A FR 1850235A FR 1850235 A FR1850235 A FR 1850235A FR 3076638 A1 FR3076638 A1 FR 3076638A1
Authority
FR
France
Prior art keywords
user
authentication
access
multimedia content
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
FR1850235A
Other languages
English (en)
Inventor
Jean-Marc Duro
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1850235A priority Critical patent/FR3076638A1/fr
Publication of FR3076638A1 publication Critical patent/FR3076638A1/fr
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention vise un procédé de gestion d'un accès par un dispositif d'un utilisateur à une page web d'authentification contrôlant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia, ce procédé comprenant, suite à une identification valide (E30,E40) de l'utilisateur auprès d'un serveur d'authentification gérant l'accès au service : - une étape de détermination (E50) d'une séquence test de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; - une étape de dissimulation (E60) de la séquence test dans le contenu multimédia résultant en une version modifiée du contenu multimédia ; - une étape d'envoi (E70) au dispositif de l'utilisateur de la version modifiée du contenu multimédia ; et - une étape d'envoi (E80) à un serveur proxy placé entre le dispositif de l'utilisateur et le serveur d'authentification, de la séquence test déterminée pour le dispositif de l'utilisateur.

Description

Arrière-plan de l'invention L'invention se rapporte au domaine générai des télécommunications.
Elle concerne plus particulièrement la connexion à un site web offrant un service et protégé par des données d'authentification telles qu'un identifiant et un mot de passe. Un tel site web est par exemple un site web d'une banque, un site de messagerie électronique, etc.
Dans l'état actuel de la technique, pour accéder au service offert par l'un de ces sites, l'utilisateur se connecte par l'intermédiaire de son terminal à une page d'authentification publique qui l'invite à saisir les données d'authentification (par exemple un identifiant et un mot de passe) qu'il a fournies lors de son enregistrement au service. Si l'utilisateur s'authentifie correctement, l'accès au service lui est offert.
La page d'authentification étant en accès public, un individu mal intentionné peut aisément y accéder et tenter de se connecter au service en usurpant les données d'authentification d'un utilisateur préalablement enregistré au service. Les données d'authentification de l'utilisateur ont pu par exemple être obtenues par l'individu mal intentionné via: l'installation d'un cheval de Troie sur le terminal de l'utilisateur.
Il existe donc un besoin de renforcer la protection des sites web offrant des services et protégés par des données d'authentification.
Objet et résumé de l'invention L'invention répond notamment à ce besoin en proposant un mécanisme qui ne rend l'accès possible à une page web d'authentification contrôlant l'accès à un service uniquement à un utilisateur enregistré auprès de ce service et après que celui-ci a rempli des conditions d'accès déterminées.
Pour mettre en œuvre ce mécanisme, l'invention s'appuie sur différents dispositifs, et plus précisément sur un serveur d'authentification gérant un accès au service auquel l'utilisateur souhaite se connecter, sur un serveur proxy placé en coupure de flux entre le dispositif de ('utilisateur et le serveur d'authentification, sur un dispositif de sécurité tel que par exemple un pare-feu, verrouillant l'accès à la page web d'authentification au service, et sur le dispositif de l'utilisateur à proprement parler.
Plus précisément, l'invention vise, selon un premier aspect, un procédé de gestion d'un accès par un dispositif d'un utilisateur à une page web d'authentification contrôlant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia, ce procédé de gestion comprenant, suite à une identification valide de l'utilisateur auprès d'un serveur d'authentification gérant l'accès au service : — une étape de détermination d'une séquence dite test de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; — une étape de dissimulation de la séquence test dans le contenu multimédia résultant en une version modifiée du contenu multimédia ; — une étape d'envoi au dispositif de l'utilisateur de ia version modifiée du contenu multimédia ; et — une étape d'envoi à un serveur proxy placé entre le dispositif de l'utilisateur et le serveur d'authentification, de la séquence test déterminée pour le dispositif de l'utilisateur.
Corrélativement, l'invention concerne un serveur d'authentification gérant un accès à un service auprès duquel est enregistré un utilisateur en association avec des données d'authentification et un contenu multimédia, ce serveur d'authentification comprenant : — un module d'identification, configuré pour identifier l'utilisateur ; — un module de détermination, activé si l'identification de ('utilisateur est valide, et configuré pour déterminer une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par un dispositif de l'utilisateur à une succession de trames de données ; — un module de dissimulation, configuré pour générer une version modifiée du contenu multimédia dans laquelle est dissimulée la séquence test ; — un module d'envoi, configuré pour envoyer ; o au dispositif de l'utilisateur, la version modifiée du contenu multimédia ; et o à un serveur proxy placé entre le dispositif de rutilisateur et le serveur d’authentification, la séquence test déterminée pour le dispositif de l'utilisateur. Selon un deuxième aspect, l'invention vise un procédé de contrôle par un serveur proxy d'un dispositif de sécurité verrouillant un accès à une page web d'authentification contrôlant un accès à un service auprès duquel est enregistré un utilisateur en association avec des données d'authentification et un contenu multimédia, le serveur de proxy étant placé entre un dispositif de l'utilisateur et un serveur d'authentification gérant l'accès au service, le procédé de contrôle comprenant : — une étape de réception en provenance du serveur d'authentification d'une séquence test de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à -une succession de trames de données ; — une étape d'interception d'une succession de trames de données émises par le dispositif de l'utilisateur à destination du serveur d'authentification ; — une étape d'extraction d'une séquence de paramètres ordonnés de la succession de trames de données interceptées ; — une étape de comparaison de la séquence test avec la séquence extraite ; — s'il existe une concordance, une étape d'envoi au dispositif de sécurité d'une commande de déverrouillage de l'accès à la page web d'authentification contrôlant l'accès au service pour le dispositif de l'utilisateur.
Corrélativement, l'invention concerne un serveur proxy placé entre un dispositif d'un utilisateur et un serveur d'authentification gérant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia, 1e serveur proxy comprenant : — un module de réception, apte à recevoir en provenance du serveur d'authentification, une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; — un module d'interception, configuré pour intercepter une succession de trames de données émises par le dispositif de l'utilisateur à destination du serveur d'authentification ; — un module d'extraction, configuré pour extraire une séquence de paramètres ordonnés de la succession de trames de données interceptées ; — un module de comparaison, configuré pour comparer la séquence test avec la séquence extraite ; —· un module d'envoi, activé si le module de comparaison détecte une concordance entre les séquences comparées, et configuré pour envoyer à un dispositif de sécurité verrouillant un accès à une page web d'authentification contrôlant l'accès au service, d'une commande de déverrouillage de cet accès pour le dispositif de ('utilisateur.
Selon un troisième aspect, l'invention vise aussi un procédé d'accès par un dispositif d'un utilisateur à une page web d'authentification contrôlant un accès à un service auprès duquel est enregistré rutilisateur en association avec des données d'authentification et un contenu multimédia, ce contenu multimédia étant stocké dans une mémoire du dispositif de l'utilisateur, ce procédé d'accès comprenant, suite à une identification valide de l'utilisateur auprès d'un serveur d'authentification gérant l'accès au service : — une étape de réception en provenance du serveur d'authentification d'une version modifiée du contenu multimédia dans laquelle est dissimulée une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués à une succession de trames de données ; — une étape d'extraction de la version modifiée du contenu multimédia, en utilisant le contenu multimédia stocké dans la mémoire du dispositif utilisateur, de la séquence test ; — une étape d'envoi à destination du serveur d'authentification d'une succession de trames de données comprenant les paramètres de la séquence test dans l'ordre indiqué par la séquence test ; et — une étape de réception de la page web d'authentification contrôlant l'accès au service.
Corrélativement, l'invention concerne un dispositif d'un utilisateur enregistré auprès d'un service en association avec des données d'authentification et un contenu multimédia, ce contenu multimédia étant stocké dans un mémoire du dispositif, ledit dispositif comprenant : — un module d'identification, configuré pour réaliser une identification de l'utilisateur auprès d'un serveur d'authentification gérant un accès au service : — un module de réception, apte à recevoir en provenance du serveur d'authentification, une version modifiée du contenu multimédia dans laquelle est dissimulée une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués à une succession de trames de données ; — un module d'extraction, configuré pour extraire de la version modifiée du contenu multimédia, en utilisant le contenu multimédia stocké dans la mémoire du dispositif, la séquence test ; — un module d'envoi, configuré pour envoyer à destination du serveur d'authentification une succession de trames de données comprenant les paramètres de la séquence test dans l'ordre indiqué par la séquence test ; et — un module de réception, apte à recevoir une page web d'authentification contrôlant l'accès au service. L'invention améliore ainsi ta protection des sites web déjà protégés par des données d'authentification (par exemple par un mot de passe) en limitant l'accès aux pages d'authentification à des utilisateurs enregistrés auprès du service. A cet effet, l'accès aux pages d'authentification est bloqué par défaut par un dispositif de sécurité, tel que par exemple un pare-feu, et n'est déverrouillé que si le dispositif de l'utilisateur cherchant à accéder à une telle page d'authentification envoie une séquence de trames de données à destination du serveur d'authentification suivant une configuration précise et un ordre déterminé pour cet utilisateur et pour sa session d'authentification en cours.
Avantageusement, les informations relatives à la séquence de trames de données à envoyer permettant de débloquer la page d'authentification pour l'utilisateur sont dissimulées dans un contenu multimédia enregistré préalablement pour l'utilisateur (par exemple lors de son adhésion au service). De cette sorte, un tiers mai intentionné qui ne dispose pas du contenu multimédia initialement enregistré, n'est pas en mesure de détecter la présence de ces informations dans la version modifiée du contenu multimédia (on parle aussi de version « stéganographiée » du contenu multimédia) ni a fortiori de les récupérer, quand bien même il intercepterait cette version modifiée du contenu multimédia lors de sa transmission au dispositif de rutilisateur. En outre, un dispositif utilisateur présentant la mauvaise séquence de trames au serveur d'authentification ne peut pas non plus accéder à la page d'authentification au service. L'invention offre donc une solution simple permettant une authentification forte des utilisateurs souhaitant accéder au service.
Dans un mode particulier de réalisation de l'invention, le contenu multimédia enregistré en association avec l'utilisateur et utilisé pour véhiculer la séquence test de paramètres de façon dissimulée est une image.
Ce mode de réalisation présente l'avantage d'être simple à mettre en œuvre : on peut en effet utiliser à cette fin des outils connus de stéganographie très efficaces tels que par exemple le logiciel Caméléon disponible à l'URL http://www.logitheque.com/logiciels/windows/antivirus_securite/steganographie/telecharg er/cameleon_12668.htm ou encore le logiciel TextlnPicture disponible à l'URL .http://www.logitheque.com/loqiciels/windows/antivirus securite/steganographie/telecharq er/textinpicture 20607.htm, qui permettent de dissimuler des informations dans une image non compressées sans que celles-ci ne soient détectables à l'œil nu. On évite ainsi qu'un tiers ayant accès à la version modifiée du contenu multimédia soupçonne que celle- ci contienne des informations supplémentaires par rapport au contenu multimédia d'origine.
Préférentiellement on utilise comme contenu multimédia une image non compressée.
Le recours à une image non compressée telle que par exemple à une image brute au format Bitmap rend inopérants les logiciels de détection d'images stëganographiées de l'état de la technique, qui ne fonctionnent pas avec de telles images.
En variante d'autres contenus multimédia peuvent être envisagés comme par exemple des contenus textuels ou audio.
On note qu'aucune limitation n'est attachée à la nature des paramètres de trames dissimulés dans la version modifiée du contenu multimédia. Il s'agit via la séquence test de paramètres transmise de permettre au serveur proxy de distinguer l'utilisateur à l'origine des trames afin de n'autoriser l'accès à la page web d'authentification qu'à cet utilisateur. Autrement dit, n'importe quels paramètres qui permettent de différencier une séquence de trames envoyée par un dispositif d'un utilisateur d'une séquence de trames envoyée par un dispositif d'un autre utilisateur conviennent.
Ainsi, dans un mode particulier de réalisation, pour au moins une trame de données, la séquence test contient au moins une information parmi un numéro de port de destination de ladite trame de données, un protocole de transport utilisé par la trame de données, et un protocole applicatif utilisé par la trame de données. L'invention, dans ce mode de réalisation, propose avantageusement d'appliquer, pour contrôler l'accès à la page d'authentification, le principe du « port-knocking » (ou tocage à la porte en français) qui permet de modifier en temps réel le comportement d'un pare-feu en provoquant l'ouverture d'un port de communication grâce au lancement préalable d'une suite de connexions sur des ports distincte dans un ordre déterminé. Cette technique est particulièrement simple à mettre en œuvre et requiert peu de 'ressources.
Dans un mode particulier de réalisation du procédé de contrôle, la commande de déverrouillage peut ainsi comprendre une commande d'ouverture d'un port d'accès à la page web d'authentification pour ledit dispositif utilisateur.
Cette commande de déverrouillage peut comprendre en outre une durée limitée pendant laquelle l'accès à la page web d'authentification est déverrouillé pour le dispositif de l'utilisateur.
Dans un autre mode de réalisation, la séquence test ne peut être utilisée qu'une unique fois pour débloquer l'accès à la page d'authentification contrôlant l'accès au service.
Ces différents modes de réalisation permettent de renforcer encore davantage la protection de l'accès à la page d'authentification en n'ouvrant que de façon éphémère l'accès à cette page d'authentification pour l'utilisateur.
Dans un mode particulier de réalisation, le procédé de gestion de l'accès comprend en outre : — une étape de réception en provenance d'un autre dispositif de l'utilisateur d'une requête pour obtenir le contenu multimédia enregistré en association avec l'utilisateur ; — une étape d'envoi à cet autre dispositif d'une adresse à usage unique pour fournir un code de validation de la requête ; — si le code est fourni via ladite adresse, une étape d'envoi audit autre dispositif de rutilisateur du contenu multimédia requis.
Ce mode de réalisation permet à l'utilisateur de s'authentifier et d'accéder au service via un autre dispositif de communication tout en s'assurant que le contenu multimédia est transféré de manière sécurisée vers cet autre dispositif.
Dans un autre mode de réalisation, un port d'accès à la page web d'authentification contrôlant l'accès au service est en outre dissimulé dans la version modifiée du contenu multimédia.
Ce port d'accès peut être accompagné typiquement d'une commande de rafraîchissement d'une requête d'authentification du dispositif de l'utilisateur pour que celle-ci soit émise sur le port d'accès fourni dans la version modifiée du contenu multimédia. L'envoi de la page d'authentification au dispositif de l'utilisateur est réalisé en réponse à cette requête.
Dans un mode particulier de réalisation, une séquence test de paramètres différente est déterminée pour le dispositif de l'utilisateur à chaque nouvelle connexion du dispositif de rutilisateur au serveur d'authentification.
Il s'agit par ce biais de renforcer encore davantage la protection de la page d'authentification en rendant éphémère la séquence de paramètres générée pour permettre au dispositif de l'utilisateur d'accéder à la page d'authentification. De cette sorte, un tiers mal intentionné qui parviendrait à obtenir cette séquence ne pourrait pas l'utiliser auprès du serveur d'authentification dès lors que rutilisateur légitime a déjà accédé à la page d'authentification notamment (la séquence sera « périmée » et ne pourra être utilisée avec succès par le tiers mal intentionné pour accéder à la page d'authentification). En outre cela limite dans le temps les risques d'une utilisation frauduleuse de la séquence de paramètres de trames.
Dans un mode particulier de réalisation, les différentes étapes du procédé de gestion, du procédé de contrôle et/ou du procédé d'accès sont déterminées par des instructions de programmes d'ordinateurs.
En conséquence, l'invention vise aussi un programme d'ordinateur sur un support d'informations, ce programme étant susceptible d'être mis en œuvre dans un serveur d'authentification, dans un serveur proxy, dans un terminal ou plus généralement dans un ordinateur, ce programme comportant des instructions adaptées à la mise en œuvre des étapes de l'un ou l'autre des procédés de gestion, d'accès et de contrôle décrits ci-dessus.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations ou d'enregistrement lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.
Le support d'informations ou d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur. D'autre part, le support d'informations ou d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations ou d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Selon un autre aspect, l'invention vise également un système de protection d'un accès à une page web d'authentification contrôlant un accès à un service, le système de protection comprenant : — un dispositif de sécurité verrouillant par défaut l'accès à la page web d'authentification ; — un serveur d'authentification gérant l'accès au service conforme à l'invention ; et — un serveur proxy conforme à l'invention, apte à déverrouiller sous conditions le dispositif de sécurité pour un dispositif d'un utilisateur enregistré auprès du service.
Dans un mode particulier de réalisation, le dispositif de sécurité est un pare- feu.
Selon un autre aspect encore, l'invention vise un système de communication comprenant : — un dispositif d'un utilisateur conforme à l'invention, ledit utilisateur étant enregistré auprès d'un service en association avec des données d'authentification et un contenu multimédia ; et — un système selon l'invention de protection d'un accès à une page web d'authentification contrôlant l'accès au service.
Le système de protection et le système de communication selon l'invention bénéficient des mêmes avantages mentionnés précédemment que les procédés de gestion, de contrôle et d'accès et que le serveur d'authentification, le serveur proxy et le terminal selon l'invention.
On peut également envisager, dans d'autres modes de réalisation, que le procédé de gestion, le serveur d'authentification, le procédé de contrôle, le serveur proxy, le procédé d'accès, le terminal, le système de protection et le système de communication selon l'invention présentent en combinaison tout ou partie des caractéristiques précitées.
Brève description des dessins D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures : — la figure 1 représente, dans son environnement, un système de communication selon l'invention, dans un mode particulier de réalisation ; — la figure 2 représente l'architecture matérielle d'un serveur d'authentification, d'un serveur proxy et d'un terminal selon l'invention, dans un mode particulier de réalisation ; et — la figure 3 illustre les principales étapes d'un procédé de gestion, d'un procédé d'accès et d'un procédé de contrôle selon l'invention, dans un mode particulier de réalisation.
Description détaillée de l'invention
La figure 1 représente, dans son environnement, un système de communication 1 conforme à l'invention, dans un mode particulier de réalisation.
Le système de communication 1 comprend un dispositif de communication 2 d'un utilisateur U, conforme à l'invention, qui permet à l'utilisateur U d'accéder à divers services via un réseau de télécommunications NW tel que par exemple le réseau public Internet. Aucune limitation n'est attachée à la nature du dispositif 2. Il peut s'agir de n'importe quel type de terminal, tel que par exemple un ordinateur portable ou un PC (pour « Personal Computer » an anglais), un téléphone intelligent (ou « smartphone » en anglais), une tablette numérique, etc.
Les services auxquels accède l'utilisateur U sont offerts, dans l'exemple envisagé ici, via un portail web, celui-ci étant hébergé par un système informatique 3. Un tel système informatique peut être indifféremment constitué d'un unique serveur ou d'une pluralité de serveurs.
On s'attache plus particulièrement ici à un service S, tel que par exemple un service de banque en ligne, ou de messagerie électronique, auprès duquel l'utilisateur U s'est enregistré via son dispositif de communication 2 en fournissant des données d'authentification. Ces données d'authentification comprennent ici un identifiant noté ID-U tel que par exemple une adresse électronique, un nom, ou tout autre identifiant permettant de l'identifier de manière unique, et un mot de passe noté PWD-U. Elles permettent de contrôler l'accès au service S : pour accéder au service S, l'utilisateur U doit s'authentifier sur une page web d'authentification WP-AUTH en fournissant tout ou partie des données d'authentification qu'il a déclarées lors de son enregistrement au service S.
Dans le mode de réalisation décrit ici, on suppose que lors de son enregistrement au service S, l'utilisateur U a également fourni un contenu multimédia, et plus spécifiquement ici, une image brute (c'est-à-dire non compressée), notée IM-U, telle que par exemple une image au format BITMAP. Cette image IM-U est mémorisée en association avec l'utilisateur U et ses données d'authentification ID-U et PWD-U dans une base d'utilisateurs 4 hébergée par le système informatique 3. Elle est également stockée en mémoire dans le dispositif de communication 2 de l'utilisateur U.
Conformément à l'invention, le système de communication 1 comprend également un système de protection 5 de l'accès à la page web d'authentification WP-AUTH contrôlant l'accès au service S. Le système de protection 5 est conforme à l'invention et comprend : — un dispositif de sécurité 6, verrouillant par défaut l'accès à la page web d'authentification WP-AUTH. Ce dispositif de sécurité 6 est ici un pare-feu (ou « firewall » en anglais), configuré par défaut pour bloquer toutes les requêtes d'accès à la page web d'authentification WP-AUTH ; — un serveur d'authentification 7 gérant l'accès au service S, et conforme à l'invention ; et — un serveur proxy 8 conforme à l'invention, et placé dans l'exemple envisagé à la figure 1, en coupure de flux entre le dispositif 2 de l'utilisateur U et le serveur d'authentification 7. Conformément à l'invention, le serveur proxy 8 est apte à déverrouiller sous certaines conditions le dispositif de sécurité 6 protégeant l'accès à la page web d'authentification WP-AUTH pour un dispositif d'un utilisateur enregistré auprès du service S, comme détaillé davantage ultérieurement.
Dans le mode de réalisation décrit ici, le serveur d'authentification 7, le serveur proxy 8 et le dispositif 2 de l'utilisateur U ont l'architecture matérielle d'un ordinateur 9 tel que représentée schématiquement à la figure 2. L'ordinateur 9 comprend notamment un processeur 10, une mémoire vive 11, une mémoire morte 12, une mémoire non volatile 13 et des moyens de communication 14. Ces moyens de communication 14 permettent au serveur d'authentification 7, au serveur proxy 8 et au dispositif 2 de communiquer entre eux notamment et avec le dispositif de sécurité 6. Ils peuvent comprendre une ou plusieurs interfaces de communication sur un ou plusieurs réseaux de télécommunication (fixes ou mobiles, avec ou sans fil, etc.).
La mémoire morte 12 de l'ordinateur 9 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur et sur lequel est enregistré un programme d'ordinateur conforme à l'invention, désigné de façon générale ici par PROG, comportant des instructions pour l'exécution de l'un des procédés objets de l'invention, suivant le dispositif considéré. Ainsi : — pour le dispositif de communication (terminal) 2 de l'utilisateur U, le programme PROG est un programme PROG2 comportant des instructions pour l'exécution des étapes du procédé d'accès selon l'invention ; —· pour le serveur d'authentification 7, le programme PROG est un programme PROG7 comportant des instructions pour l'exécution des étapes du procédé de gestion d'un accès selon l'invention ; et — pour le serveur proxy 8, Se programme PROG est un programme PROG8 comportant des instructions pour l'exécution des étapes du procédé de contrôle selon l'invention.
Chacun de ces programmes définit, de façon équivalente, des modules fonctionnels du dispositif sur lequel il est installé, aptes à mettre en œuvre les étapes du procédé concerné et s'appuyant sur les éléments matériels 10-14 de l'ordinateur 9.
Ainsi, le programme PROG7 définît les modules fonctionnels du serveur d'authentification 7, et plus particulièrement ici : — un module d'identification 7A, configuré pour identifier l'utilisateur Ü ; — un module de détermination 7B, activé si ridentification de l'utilisateur U est valide, et configuré pour déterminer une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par un dispositif de communication 2 de l'utilisateur U à une succession de trames de données ; — un module de dissimulation 7C, configuré pour générer une version modifiée notée IM_steg du contenu multimédia IM-U fourni par l'utilisateur U lors de son enregistrement, dans laquelle est dissimulée la séquence test ; — un module d'envoi 7D, configuré pour envoyer : o au dispositif de communication 2 de l'utilisateur U, la version modifiée IM_steg du contenu multimédia ; et o au serveur proxy 8 placé entre le dispositif de communication 2 de l'utilisateur U et le serveur d'authentification 7, la séquence test déterminée pour le dispositif 2.
De façon similaire, le programmé PROG8 définit les modules fonctionnels du serveur proxy 8, et plus particulièrement ici : — un module de réception 8A, apte à recevoir en provenance du serveur d'authentification 7, la séquence test de paramètres ordonnés destinés à être appliqués par le dispositif de communication 2 de l'utilisateur U à une succession de trames de données ; — un module d'interception 8B, configuré pour intercepter une succession de trames de données émises par le dispositif de communication 2 de rutilisateur à destination du serveur d'authentification 7. A cet effet, le serveur d'authentification 7 aura communiqué préalablement l'adresse IP par exemple du dispositif de communication 2 au serveur proxy 8 afin que celui-ci puisse identifier les trames qu'il convient d'intercepter ; •— un module d'extraction 8C, configuré pour extraire une séquence de paramètres ordonnés de la succession de trames de données interceptées ; — un module de comparaison 8D, configuré pour comparer la séquence test avec la séquence extraite ; et — un module d'envoi 8E, activé si le module de comparaison 8D détecte une concordance entre les séquences comparées, et configuré pour envoyer au dispositif de sécurité 6 verrouillant l'accès à la page web d'authentification WP-AUTH contrôlant l'accès au service S, d'une commande de déverrouillage de cet accès pour ie dispositif de communication 2 de l'utilisateur.
De façon similaire, le programme PROG2 définit les modules fonctionnels du dispositif 2 de l'utilisateur U, Dans le mode de réalisation décrit ici, le programme PROG2 a été fourni au dispositif de communication 2 de l'utilisateur U, sous la forme d'une extension d'un navigateur web installé sur le dispositif de communication 2, lors de son enregistrement au service S, pour lui permettre de s'authentifier auprès du service S et d'accéder à ce service conformément à l'invention. Il comprend plus particulièrement ici les modules fonctionnels suivants ; — un module d'identification 2A, configuré pour réaliser auprès du serveur d'authentification 7 une identification de l'utilisateur U ; — un module de réception 2B, apte à recevoir en provenance du serveur d'authentification 7, la version modifiée IM_steg du contenu multimédia IM-U dans laquelle est dissimulée la séquence test de paramètres ordonnés destinés à être appliqués à une succession de trames de données ; — un module d'extraction 2C, configuré pour extraire de la version modifiée IM_steg du contenu multimédia, en utilisant le contenu multimédia IM-U stocké dans la mémoire du dispositif de communication 2, la séquence test ; — un module d'envoi 2D, configuré pour envoyer à destination du serveur d'authentification 7 une succession de trames de données comprenant les paramètres de la séquence test dans l'ordre indiqué par la séquence test ; et — un module de réception 2E, apte à recevoir après avoir validement envoyé la succession de trames, la page web d'authentification WP-AUTH contrôlant l'accès au service 5.
Les fonctions des différents modules du dispositif de communication 2, du serveur d'authentification 7 et du serveur proxy 8 sont décrites plus en détail maintenant en référence à la figure 3.
La figure 3 représente les principales étapes d'un procédé d'accès, d'un procédé de gestion et d'un procédé de contrôle selon l'invention, dans un mode particulier de réalisation dans lequel ces différents procédés sont mis en œuvre respectivement par le dispositif de communication 2 de l'utilisateur U, par le serveur d'authentification 7 et par le serveur proxy 8.
Plus spécifiquement, on suppose ici que l'utilisateur U souhaite accéder au service S, et se connecte ici, par l'intermédiaire de son dispositif de communication 2 au serveur d'authentification 7 (étape E10).
Le serveur d'authentification 7, par le biais de son module d'identification 7A, lui renvoie un page web publique de connexion WP-ID sur laquelle l'utilisateur U est invité à s'identifier (étape E20). L'utilisateur U saisit via son dispositif de communication 2 son identifiant ID-U sur la page web WP-ID qui s'affiche sur l'écran de son dispositif de communication 2. Le module d'identification 2A du dispositif de communication 2 envoie la page dûment remplie au serveur d'authentification 7 (étape E3Q),
Le module d'identification 7A du serveur d'authentification 7 compare l'identifiant ID-U reçu du dispositif de communication 2 de l'utilisateur avec l'identifiant stocké dans la base d'utilisateur 4, et valide l'identification de l'utilisateur U (étape E40).
Suite à cette identification valide, le serveur d'authentification 7, via son module de détermination 78, détermine une séquence, dite séquence test, de paramètres de trames de données destinés à être appliqués par le dispositif de communication 2 de l'utilisateur U pour lui permettre de s'authentifier au service S (étape E50). Dans le mode de réalisation décrit ici, cette séquence test notée SEQtest est une liste ordonnée comprenant une pluralité de couples formés d'un protocole et d'un port. Par exemple, cette liste comprend ici trois couples (protocole,port) à savoir, les couples UDP :2222, TCP :3333, et ICMP :4444.
En variante, d'autres paramètres de trames de données peuvent être envisagés dès lors qu'ils permettent de différencier une succession de trames de données envoyées par le dispositif de communication 2 d'une succession de trames de données envoyées par un autre dispositif. Par exemple ces paramètres peuvent comprendre un ou plusieurs éléments parmi un port de communication, un protocole applicatif, un protocole de transport de données, des paramètres d'entête des trames de données, etc.
On note que dans le mode de réalisation décrit ici, une séquence test de paramètres différente est déterminée pour chaque dispositif de communication distinct (qu'il soit rattaché ou non au même utilisateur), pour chaque nouvelle connexion d'un dispositif de communication au serveur d'authentification 7.
Puis le serveur d'authentification 7 dissimule, via son module de dissimulation 7C, la séquence test SEQtest dans le contenu multimédia IM-U enregistré par l'utilisateur U (étape E60). Plus spécifiquement ici, il génère une image stéganographiée IM-steg à partir de l'image IM-U dans laquelle est dissimulée la séquence test SEQtest. A cet effet, dans le mode de réalisation décrit ici, le module de dissimulation 7C modifie au moyen d'un schéma d'encodage basique les bits de poids faible des pixels de l'image IM-U pour y insérer une version codée (et chiffrée ici) de la séquence test SEQtest. Ce schéma d'encodage modifie également avantageusement les bits de poids faible non utilisés de l'image IM-U pour que la longueur de la séquence test cachée dans l'image ne puisse être déterminée.
En variante, le module de dissimulation 7C peut utiliser d'autres outils de stéganographie connus tel que par exemple les logiciels Caméléon ou TextlnPicture cités précédemment.
Dans le mode de réalisation décrit ici, le module de dissimulation 7C dissimule également dans l'image stéganographiée IM-steg une commande de rafraîchissement de la page de connexion au service S et un port de communication PQRT-AUTH sur lequel envoyer cette commande de rafraîchissement. Ce port de communication est un port d'accès à la page web d'authentification WP-AUTH contrôlant l'accès au service est en outre dissimulé dans ia version modifiée du contenu multimédia. L'image stéganographiée IM-steg ainsi générée est renvoyée par le module d'envoi 7D du serveur d'authentification 7 au dispositif de communication 2, dans une version rafraîchie de la page de connexion WP-ID (étape E70), La page rafraîchie s'affiche sur l'écran du dispositif de communication 2 de l'utilisateur.
Par ailleurs, le serveur d'authentification 7 envoie, via son module d'envoi 7D, la séquence test SEQtest au serveur proxy 8 accompagnée l'adresse IP du dispositif de communication 2 (étape E80). Le serveur proxy 8 reçoit via son module de réception 8A la séquence test SEQtest et la stocke en association avec l'adresse IP du dispositif de communication 2 dans sa mémoire non volatiie (étape E90).
Sur réception par son module de réception 2A de l'image stéganographiée IM-steg, le dispositif de communication 2, via son module d'extraction 2B, compare l'image stéganographiée IM-steg avec le contenu multimédia IM-U stockée dans sa mémoire. On suppose ici que le module d'extraction 2B a été dûment configuré pour être en mesure de détecter et de décoder les modifications appliquées à l'image IM-U par le module de dissimulation 7C du serveur d'authentification 7. Autrement dit, le module d'extraction 2B a été dûment programmé pour appliquer la transformation inverse (décodage) de l'encodage réalisé par le module de dissimulation 7C afin d'extraire les informations dissimulées dans l'image stéganographiée IM-steg (étape Elûü).
Il extrait ainsi de l'image stéganographiée IM-steg, la séquence test SEQtest ainsi que la commande de rafraîchissement et le port de communication sur lequel envoyer cette commande.
Il transmet la séquence test SEQtest à son module d'envoi 2D.
Le module d'envoi 2D envoie alors à destination du serveur d'authentification 7 une succession de trames respectant les paramètres et l'ordre d'envol des paramètres indiqués dans la séquence test SEQtest (étape El 10). Autrement dit, dans l'exemple envisagé précédemment, il envoie à destination du serveur d'authentification 7 une première trame de données conforme au protocole UDP sur le port 2222, suivie d'une deuxième trame de données conforme au protocole TCP sur le port 3333, suivie d'une troisième trame de données conforme au protocole ICMP sur le port 4444.
Ces trames, portant l'adresse IP du dispositif de communication 2 comme adresse IP source, sont interceptées par le serveur proxy 8, via son module d'interception 8B.
Le module d'extraction 8C du serveur proxy 8 extrait des trames ainsi interceptées, dans l'ordre de leur réception (à supposer que celui-ci corresponde à l'ordre d'envoi des trames, sinon il les remet dans l'ordre), les paramètres correspondant aux paramètres reportés dans la séquence test qu'il a reçue pour le dispositif de communication 2 (étape E120). Autrement dit ici, il extrait de chaque trame reçue, le protocole de transport utilisé pour véhiculer la trame et le port de communication sur lequel elle a été reçue. Il construit à partir des paramètres ainsi extraits une séquence ordonnée SEQ de paramètres destinée à être comparée à la séquence test SEQtest.
Puis le module de comparaison 8D du serveur proxy 8 compare la séquence SEQ extraite des trames de données reçues du dispositif de communication 2 avec la séquence test SEQtest (étape test E130).
Si les séquences ne coïncident pas, le serveur proxy 8 en informe le serveur d'authentification 7 qui renvoie une page d'erreur au dispositif de communication 2.
Dans l'exemple envisagé ici, on suppose que les séquences coïncident.
Le serveur proxy 8, via son module d'envoi 8E, envoie alors au dispositif de sécurité 6 contrôlant l'accès à la page web d'authentification WP-AUTH, une commande de déverrouillage de l'accès à cette page web pour le dispositif de communication 2 (étape E140).
On note que dans le mode de réalisation décrit ici, le serveur proxy 8 est configuré de sorte que la séquence test ne puisse être utilisée qu'une unique fois pour débloquer l'accès à la page d'authentification contrôlant l'accès au service. Si la séquence test a été utilisée valablement une fois par le dispositif de communication 2, le serveur proxy 8 rejette toute autre connexion ultérieure tentant de réutiliser la même séquence.
Sur réception de la commande de déverrouillage du serveur proxy 8, le dispositif de sécurité 6 débloque l'accès par le dispositif de communication 2 à la page web d'authentification WP-AUTH, autrement dit il ouvre l'accès à l'adresse IP du dispositif de communication 2 sur un port dédié du serveur d'authentification 7 à savoir sur le port PORT-AUTH communiqué par le serveur d'authentification 7 au dispositif de communication 2 dans l'image stégénographiée IM-steg.
Dans le mode de réalisation décrit ici, outre la commande d'ouverture du port PORT-AUTH au dispositif de communication 2, la commande de déverrouillage comprend également une durée limitée pendant laquelle l'accès à la page web d'authentification WP-AUTH est déverrouillé pour le dispositif de communication 2. Au-delà de cette durée, l'accès au port PORT-AUTH est de nouveau fermé au dispositif de communication 2 par le dispositif de sécurité 6.
Conformément à la commande de rafraîchissement reçue dans l'image stégénographiée, suite à l'envoi des trames de données (cf. étape E110 précédemment décrite), le dispositif de communication 2 de l'utilisateur envoie une commande de rafraîchissement de sa page de connexion au service S au serveur d'authentification 7 sur le port PORT-AUTH (étape E150). L'accès à la page d'authentification étant débloqué pour le dispositif de communication 2, le serveur d'authentification 7 lui retourne en réponse à sa requête la page d'authentification WP-AUTH (étape E160). L'utilisateur U peut alors s'authentifier en fournissant sur cette page d'authentification son mot de passe PWD-U (étape E170). Si celui-ci est valide, l'accès au service S est permis à l'utilisateur U.
Si l'utilisateur U souhaite se connecter au service S via un terminal 2' distinct du dispositif de communication 2 avec lequel il s'est enregistré auprès du service S, il peut, via ce terminal 2', se connecter au système informatique 3 pour obtenir l'image IM-U (on suppose ici que l'extension PROG2 est déjà installée sur le terminal 2').
Plus spécifiquement, sur réception d'une requête d'obtention du contenu multimédia IM-U du terminal 2', le système informatique 3 envoie au terminal 2' (par exemple dans un message électronique adressé à une adresse électronique fourni par rutilisateur U lors de son enregistrement au service S) un lien (adresse ou URL) à usage unique vers un site web sur lequel l'utiiisateur U est invité à fournir un code de validation de la requête. Ce code lui aura été envoyé par exemple par sms, sur un numéro de téléphone fourni par l'utilisateur U lors de son enregistrement. Si le code de validation est dûment fourni par l'utilisateur U, le contenu multimédia IM-U est alors envoyé au terminal 2' pour que l'utilisateur U puisse se connecter depuis ce terminal au service S, en réitérant les étapes du procédé d'accès selon l'invention précédemment décrites.

Claims (19)

  1. REVENDICATIONS
    1. Procédé de gestion d'un accès par un dispositif d'un utilisateur (2) à une page web d'authentification (WP-AUTH) contrôlant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia (IM-U), ce procédé de gestion comprenant, suite à une identification valide (Ë30,E40) de l'utilisateur auprès d'un serveur d'authentification (7) gérant l'accès au service : — une étape de détermination (E50) d'une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; — une étape de dissimulation (E60) de la séquence test dans le contenu multimédia résultant en une version modifiée (IM-steg) du contenu multimédia ; — une étape d'envoi (E70) au dispositif de l'utilisateur (2) de la version modifiée du contenu multimédia ; et — une étape d'envoi (E80) à un serveur proxy (8) placé entre le dispositif de l'utilisateur et le serveur d'authentification, de la séquence test déterminée pour le dispositif de î'utilisateur.
  2. 2. Procédé de gestion selon la revendication 1 comprenant en outre : — une étape de réception en provenance d'un autre dispositif (2') de l'utilisateur d'une requête pour obtenir le contenu multimédia enregistré en association avec l'utilisateur ; — une étape d'envoi à cet autre dispositif d'une adresse à usage unique pour fournir un code de validation de la requête ; — si le code est fourni via ladite adresse, une étape d'envoi audit autre dispositif de l'utilisateur du contenu multimédia requis.
  3. 3. Procédé selon la revendication 1 ou 2 dans lequel un port d'accès à la page web d'authentification contrôlant l'accès au service est en outre dissimulé dans la version modifiée du contenu multimédia.
  4. 4. Procédé selon l'une quelconque des revendications 1 à 3 dans lequel une séquence test de paramètres différente est déterminée pour le dispositif de l'utilisateur à chaque nouvelle connexion du dispositif de l'utilisateur au serveur d'authentification.
  5. 5. Procédé de contrôle par un serveur proxy (8) d'un dispositif de sécurité (6) verrouillant un accès à une page web d'authentification contrôlant un accès à un service auprès duquel est enregistré un utilisateur en association avec des données d'authentification et un contenu multimédia, le serveur de proxy étant placé entre un dispositif de l'utilisateur (2) et un serveur d'authentification (7) gérant l'accès au service, le procédé de contrôle comprenant ; — une étape de réception (E80) en provenance du serveur d'authentification d'une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; — une étape d'interception (El 10) d'une succession de trames de données émises par le dispositif de l'utilisateur à destination du serveur d'authentification ; — une étape d'extraction (E120) d'une séquence de paramètres ordonnés de la succession de trames de données interceptées ; •— une étape de comparaison (E130) de la séquence test avec la séquence extraite ; — s'il existe une concordance, une étape d'envoi (E140) au dispositif de sécurité d'une commande de déverrouillage de l'accès à la page web d'authentification contrôlant l'accès au service pour le dispositif de l'utilisateur.
  6. 6. Procédé de contrôle selon la revendication 5 dans lequel la commande de déverrouillage comprend une commande d'ouverture d'un port d'accès à la page web d'authentification pour ledit dispositif utilisateur.
  7. 7. Procédé de contrôle selon la revendication 5 ou 6 dans lequel la commande de déverrouillage comprend une durée limitée pendant laquelle l'accès à la page web d'authentification est déverrouillé pour le dispositif de l'utilisateur.
  8. 8. Procédé de contrôle selon l'une quelconque des revendications 5 à 7 dans lequel la séquence test ne peut être utilisée qu'une unique fois pour débloquer l'accès à la page d'authentification contrôlant l'accès au service.
  9. 9. Procédé d'accès, par un dispositif d'un utilisateur (2), à une page web d'authentification (WP-AUTH) contrôlant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia, ledit contenu multimédia étant stocké dans une mémoire du dispositif de l'utilisateur, ce procédé d'accès comprenant, suite à une identification valide (E30) de l'utilisateur auprès d'un serveur d'authentification gérant l'accès au service : — une étape de réception (E70) en provenance du serveur d'authentification d'une version modifiée (IM-steg) du contenu multimédia (IM-U) dans laquelle est dissimulée une séquence test (SEQtest) de paramètres ordonnés destinés à être appliqués à une succession de trames de données ; — une étape d'extraction (E100) de la version modifiée du contenu multimédia, en utilisant le contenu multimédia stocké dans la mémoire du dispositif utilisateur, de la séquence test ; — une étape d'envoi (El 10) à destination du serveur d'authentification d'une succession de trames de données comprenant les paramètres de la séquence test dans l'ordre indiqué par la séquence test ; et — une étape de réception (E16O) de la page web d'authentification contrôlant l'accès au service.
  10. 10. Procédé selon l'une quelconque des revendications 1 à 9 dans lequel le contenu multimédia (IM-U) est une image.
  11. 11. Procédé selon l'une quelconque des revendications 1 à 10 dans lequel, pour au moins une trame de données, la séquence test contient au moins une information parmi un numéro de port de destination de ladite trame de données, un protocole de transport utilisé par la trame de données, et un protocole applicatif utilisé par la trame de données.
  12. 12. Programme d'ordinateur (PROG) comportant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 11 lorsque ledit programme est exécuté par un ordinateur.
  13. 13. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur selon la revendication 12.
  14. 14. Serveur d'authentification (7) gérant un accès à un service auprès duquel est enregistré un utilisateur en association avec des données d'authentification et un contenu multimédia, ce serveur d'authentification comprenant : — un module d'identification (7A), configuré pour identifier l'utilisateur ; — un module de détermination (7B), activé si l'identification de l'utilisateur est valide, et configuré pour déterminer une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par un dispositif de l'utilisateur à une succession de trames de données ; — un module de dissimulation (7C), configuré pour générer une version modifiée du contenu multimédia dans laquelle est dissimulée la séquence test ; — un module d'envoi (7D), configuré pour envoyer : o au dispositif de l'utilisateur (2), la version modifiée du contenu multimédia ; et o à un serveur proxy (8) placé entre le dispositif de l'utilisateur et le serveur d'authentification, la séquence test déterminée pour le dispositif de l'utilisateur.
  15. 15. Serveur proxy (8) placé entre un dispositif d'un utilisateur et un serveur d'authentification gérant un accès à un service auprès duquel est enregistré l'utilisateur en association avec des données d'authentification et un contenu multimédia, le serveur proxy comprenant : — un module de réception (8A), apte à recevoir en provenance du serveur d'authentification, une séquence, dite séquence test, de paramètres ordonnés destinés à être appliqués par le dispositif de l'utilisateur à une succession de trames de données ; — un module d'interception (SB), configuré pour intercepter une succession de trames de données émises par le dispositif de l'utilisateur à destination du serveur d'authentification ; — un module d'extraction (8C), configuré pour extraire une séquence de paramètres ordonnés de la succession de trames de données interceptées ; — un module de comparaison (8D), configuré pour comparer la séquence test avec la séquence extraite ; — un module d'envoi (8E), activé si le module de comparaison détecte une concordance entre les séquences comparées, et configuré pour envoyer à un dispositif de sécurité verrouillant un accès à une page web d'authentification contrôlant l'accès au service, d'une commande de déverrouillage de cet accès pour le dispositif de l'utilisateur.
  16. 16. Dispositif d'un utilisateur (2) enregistré auprès d'un service en association avec des données d'authentification et un contenu multimédia, ledit contenu multimédia étant stocké dans une mémoire du dispositif, ce dispositif comprenant : — un module d'identification (2A), configuré pour réaliser une identification de l'utilisateur auprès d'un serveur d'authentification gérant un accès au service : — un module de réception (2B), apte à recevoir en provenance du serveur d'authentification, une version modifiée du contenu multimédia dans laquelle est dissimulée une séquence, dite séquence test, de paramètres: ordonnés destinés à être appliqués à une succession de trames de données ; — un module d'extraction (2C), configuré pour extraire de la version modifiée du contenu multimédia, en utilisant le contenu multimédia stocké dans la mémoire du dispositif, la séquence test ; — un module d'envoi (2D), configuré pour envoyer à destination du serveur d'authentification une succession de trames de données comprenant les paramètres de la séquence test dans l'ordre indiqué par la séquence test ; et — un module de réception (2E), apte à recevoir une page web d'authentification contrôlant l'accès au service.
  17. 17. Système de protection (5) d'un accès à une page web d'authentification contrôlant un accès à un service, le système de protection comprenant : — un dispositif de sécurité (6) verrouillant par défaut l'accès à la page web d'authentification ; — un serveur d'authentification (7) gérant l'accès au service conforme à la revendication 14 ; et — un serveur proxy (8) conforme à la revendication 15, apte à déverrouiller sous conditions le dispositif de sécurité pour un dispositif d'un utilisateur enregistré auprès du service.
  18. 18. Système de protection (5) selon la revendication 17 dans lequel le dispositif de sécurité (6) est un pare-feu.
  19. 19. Système de communication (1) comprenant : — un dispositif (2) d'un utilisateur conforme à la revendication 16, ledit utilisateur étant enregistré auprès d'un service en association avec des données d'authentification et un contenu multimédia ; et — un système (5) selon la revendication 17 ou 18 de protection d'un accès à une page web d'authentification contrôlant l'accès au service.
FR1850235A 2018-01-11 2018-01-11 Procede de gestion d'un acces a une page web d'authentification Ceased FR3076638A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1850235A FR3076638A1 (fr) 2018-01-11 2018-01-11 Procede de gestion d'un acces a une page web d'authentification

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1850235 2018-01-11
FR1850235A FR3076638A1 (fr) 2018-01-11 2018-01-11 Procede de gestion d'un acces a une page web d'authentification

Publications (1)

Publication Number Publication Date
FR3076638A1 true FR3076638A1 (fr) 2019-07-12

Family

ID=62455610

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1850235A Ceased FR3076638A1 (fr) 2018-01-11 2018-01-11 Procede de gestion d'un acces a une page web d'authentification

Country Status (1)

Country Link
FR (1) FR3076638A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100293376A1 (en) * 2009-04-16 2010-11-18 Miyowa Method for authenticating a clent mobile terminal with a remote server

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100293376A1 (en) * 2009-04-16 2010-11-18 Miyowa Method for authenticating a clent mobile terminal with a remote server

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
EUGENE Y VASSERMAN ET AL: "SilentKnock: Practical, Provably Undetectable Authentication", 24 September 2007, COMPUTER SECURITY - ESORICS 2007; [LECTURE NOTES IN COMPUTER SCIENCE], SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 122 - 138, ISBN: 978-3-540-74834-2, XP019099849 *
KHAN SULEMAN ET AL: "Towards port-knocking authentication methods for mobile cloud computing", JOURNAL OF NETWORK AND COMPUTER APPLICATIONS, vol. 97, 1 September 2017 (2017-09-01), pages 66 - 78, XP085205825, ISSN: 1084-8045, DOI: 10.1016/J.JNCA.2017.08.018 *
MOHAMED KAMALELDIN ET AL: "An Authentication Mechanism for Accessing Mobile Web Services", 28 July 2017, MEDICAL IMAGE COMPUTING AND COMPUTER-ASSISTED INTERVENTION - MICCAI 2015 : 18TH INTERNATIONAL CONFERENCE, MUNICH, GERMANY, OCTOBER 5-9, 2015; PROCEEDINGS; [LECTURE NOTES IN COMPUTER SCIENCE; LECT.NOTES COMPUTER], SPRINGER INTERNATIONAL PUBLISHING, CH, ISBN: 978-3-642-16065-3, ISSN: 0302-9743, XP047422195 *

Similar Documents

Publication Publication Date Title
EP3008872B1 (fr) Procédé d'authentification d'un terminal par une passerelle d'un réseau interne protégé par une entité de sécurisation des accès
EP2819052B1 (fr) Procédé et serveur de traitement d'une requête d'accès d'un terminal à une ressource informatique
EP2692089B1 (fr) Mécanisme de redirection entrante sur un proxy inverse
EP2795878B1 (fr) Procédé de partage d'un contenu multimédia entre utilisateurs
EP2567502A2 (fr) Procede d'authentification d'un utilisateur requerant une transaction avec un fournisseur de service
EP2795870B1 (fr) Procede d'acces par un terminal de telecommunication a une base de donnees hebergee par une plateforme de services accessible via un reseau de telecommunications
FR2964812A1 (fr) Procede d'authentification pour l'acces a un site web
FR2964814A1 (fr) Enregistrement securise a un service fourni par un serveur web
EP3549047B1 (fr) Procede d'authentification d'un equipement terminal, dispositif, equipement serveur et programme d'ordinateur associes
FR3013475A1 (fr) Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees
EP3588418A1 (fr) Procédé de réalisation d'une transaction, terminal, serveur et programme d ordinateur correspondant
FR3076638A1 (fr) Procede de gestion d'un acces a une page web d'authentification
EP3820112A1 (fr) Procédé de configuration d accès à un service internet
WO2019239029A1 (fr) Procédé de traitement de messages par un dispositif d'un réseau de voix sur ip
FR3104865A1 (fr) Procédé de traitement de requêtes de résolution de nom de domaine.
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
FR2943482A1 (fr) Procede et systeme de securisation de demandes applicatives
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
WO2021176156A1 (fr) Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès
WO2020148492A1 (fr) Autorisation du chargement d'une application dans un élément de sécurité
FR3145814A1 (fr) Procede de securisation d’un acces a une ressource
FR2888437A1 (fr) Procede et systeme de controle d'acces a un service d'un fournisseur d'acces implemente sur un serveur multimedia, module, serveur, terminal et programmes pour ce systeme
FR3081246A1 (fr) Procede de realisation d'une transaction, terminal, serveur et programme d'ordinateur correspondant
FR3067143A1 (fr) Securisation d'une base de donnees d'authentification par un reseau
EP2525525A1 (fr) Procédé, programme d'ordinateur et dispositif de cooptation permettant à un abonné d'un service de partager ce service avec un autre utilisateur

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20190712

RX Complete rejection

Effective date: 20200529