Se connecter en toute sécurité avec nextAuth

Il est bien entendu possible de se connecter avec ses données Facebook, mais est-ce vraiment cela que l’on veut? La spin-off louvaniste nextAuth a en tout cas développé un système d’authentification qui est non seulement sûr, mais qui empêche aussi Mark Zuckerberg d’avoir la main mise sur vos données.

On est constamment en train de se connecter, toujours et partout: pour effectuer des achats en ligne, des opérations bancaires, etc., mais à chaque fois, il faut prouver qui vous êtes. Enfin, que vous êtes celui qui connaît le mot de passe, car il suffit qu’il y ait quelque part une intrusion dans un serveur (‘server breach’) pour que toutes vos données secrètes se retrouvent à la rue. N’y a-t-il dès lors pas une manière plus sûre de se connecter? Si fait! Quelques chercheurs de la KU Leuven ont mis au point un système d’authentification et ont dans la foulée créé la spin-off nextAuth.

‘Utiliser un mot de passe pour s’enregistrer quelque part, ce n’est jamais sûr’, déclare Jens Hermans, CEO de nextAuth. ‘Et ce n’est pas l’authentification à deux facteurs qui s’avère la panacée. Voilà pourquoi nous avons cherché plus loin et avons développé une technologie mobile permettant de se connecter rapidement et sûrement à une appli ou à un site web. Vous cliquez sur le bouton et vous obtenez un prompt (invite) auquel vous pouvez répondre au moyen d’un code pin, d’une empreinte digitale, voire d’une reconnaissance faciale. Nous combinons ainsi facilité d’emploi et sécurité.’

Car nextAuth résiste aux ‘craquages’. Hermans: ‘Nous utilisons une cryptographie à clé publique, ce qui nous met à l’abri d’une intrusion dans un serveur. On n’a de cette manière jamais toute l’information, dont on a besoin, car l’appli chez l’utilisateur même dispose d’une partie de la clé. C’est nettement plus sûr que l’approche OTP classique.’ Pour la technologie, nextAuth recourt du reste aussi à celle qui a été mise au point par COSIC, le groupe de chercheurs de l’IMEC à la KU Leuven.

KU Leuven Authenticator

Aujourd’hui, de très nombreux membres du personnel utilisent déjà le ‘KU Leuven Authenticator’, comme la technologie de nextAuth s’appelle. Car Hermans et ses associés souhaitent surtout la commercialiser. ‘L’objectif est que les clients intègrent notre technologie à leur propre appli et acquièrent chez nous une licence basée sur un paiement par utilisateur et par an’, explique-t-il. ‘Même si nous mettrons aussi à disposition des applis ‘white label’, qui seront alors adaptées aux besoins du client au moyen d’une skin.’

Une autre entreprise louvaniste fait déjà usage de nextAuth. Il s’agit d’une startup qui est activement occupée à développer divers preuves de concept. Hermans: ‘Tout cela a pour but de démontrer que notre technologie offre des opportunités au secteur financier ou pour les salaires (‘payroll’) et les ressources humaines par exemple. Nous voulons atteindre dans les plus brefs délais quelques centaines de milliers d’utilisateurs finaux. Notre ambition est d’abord de poursuivre notre croissance locale, mais nous avons déjà aussi noué des contacts au niveau international. Dans un premier temps, nous misons sur les ventes directes, mais nous entendons aussi conclure des partenariats avec des revendeurs et des intégrateurs, qui reprendront notre technologie dans leur gamme.’

Après un démarrage financier modeste, la KU Leuven et InvestLink ont injecté dans la spin-off un montant non spécifié, ‘un solide ‘seed-round”, comme le déclare Hermans. Voilà qui devrait permettre à la jeune entreprise de progresser et de financer la mise sur le marché de son produit.