Protector OATH SDK for Android Version 5.4.0

Publié le 11 Janvier 2021 Mis à jour le 24 Décembre 2023
Introduction

Le produit évalué est « Protector OATH SDK for Android, Version 5.4.0 » développé par THALES DIS France S.A..
Ce produit fait partie d’une solution de génération de mots de passe, de stockage sécurisé et d’échange des messages out-of-band. Cette solution est composée de la librairie Protector OATH SDK for Android, également appelée ici Mobile Protector (objet de la présente évaluation), d’un serveur appelé EPS (Enrolment and Provisioning Server), d’un serveur appelé MSM (Mobile Secure Messenger) et d’un appelé AS (Authentication Server).
La librairie Mobile Protector fournit, aux développeurs d’applications mobiles, une couche d’abstraction pour l’implémentation de fonctions d’authentification et de signature à base d’OTP (One Time Password ou mot de passe à usage unique).
Mobile Protector fournit deux modes d’authentification :

  • authentification par PIN : ce mode est activé par défaut et ne peut pas être désactivé ;
  • authentification par biométrie (empreinte digitale ou identification faciale en fonction de l’équipement utilisé) : ce mode peut être activé ou désactivé par l’utilisateur.

L’utilisation du service se déroule en trois phases :

  • l’enrôlement : un Customer Server demande au serveur EPS de créer un nouvel utilisateur. Cela implique la génération du secret qui sera injecté dans l’équipement mobile de l’utilisateur final à l’étape suivante, du PIN initial et d’un code d’enregistrement (Registration Code – RC) qui identifie le secret de manière unique. Le serveur EPS enverra également le secret au serveur AS. Cette première phase est obligatoire pour l’enregistrement d’un nouvel utilisateur, Mobile Protector n’est pas impliqué dans ce processus ;
  • le provisioning : Mobile Protector récupérera le secret par le serveur EPS ;
  • l’utilisation : l’utilisateur souhaitant accéder au service distant, auprès duquel il est déjà enregistré, s’authentifie en utilisant son code PIN ou ses identifiants biométriques afin d’obtenir un OTP. Ce dernier peut être envoyé au Customer Server ou fourni à l’utilisateur pour utilisation dans un autre contexte.
Référence : 2020/38
Date de certification : 24/12/2020
Catégorie : Identification, authentification et contrôle d'accès
Référentiel : Certification de sécurité de premier niveau
Développeur(s) : THALES DIS France S.A.
Commanditaire(s) : THALES DIS France S.A.
Centre d'évaluation : THALES / CNES