Attendu le mois prochain, la solution de Nok Nok est basée sur un protocole d'authentification développé par un groupe connu sous le nom de Fast IDentity Online Alliance - ou FIDO Alliance - soutenu par PayPal, Lenovo, Infineon et Nok Nok Labs. Le groupe est à l'origine d'un protocole nommé Online Security Transaction Protocol (OSTP) qui va au-delà de la simple authentification par mot de passe et par identifiant. Celui-ci repose sur un mode de contrôle multi-facteur beaucoup plus fort qui permet de vérifier l'identité de l'utilisateur en ligne avant d'autoriser certains types d'accès web ou des transactions sécurisées.

« Le protocole OSTP tente de résoudre le problème des authentifications faibles », explique Phil Dunkelberger, CEO de Nok Nok Labs et ancien co-fondateur de PGP. Le coeur logiciel de Nok Nok est à la fois un plug-in pour navigateur et un kit de développement pour serveur supportant le protocole OSTP de la FIDO Alliance. La partie client de l'OSTP peut être intégrée dans un navigateur ou dans un processeur. « Le processus d'authentification est transparent pour l'utilisateur quand il fonctionne en conjonction avec le composant serveur OSTP», fait-il encore remarquer. Grosso modo, le principe consiste à rechercher sur la machine de l'utilisateur, ordinateur ou terminal mobile, un processeur avec module TPM (Trusted Platform Module), une webcam, un dispositif d'empreintes digitales ou biométriques, ou autres systèmes, et un logiciel d'authentification à deux facteurs ou autres, puis de rassembler et de chiffrer plusieurs types d'informations afin de créer un lien secret entre le serveur et le périphérique.

Une solution flexible

Selon Nok Nok Labs, « le processus va permettre à des entreprises d'e-commerce de passer automatiquement à une authentification multi-facteur de niveau supérieur pour vérifier l'identité des utilisateurs en ligne et sécuriser les transactions ». Comme l'explique Phil Dunkelberger, « les utilisateurs pourront aussi choisir à quel moment ils souhaitent bénéficier de ce niveau supérieur d'authentification multi-facteur, par exemple quand ils effectuent des transactions financières sur des sites de commerce en ligne ». Il précise encore qu'« à ce jour, il n'existe pas d'exemple de mise en oeuvre du logiciel Nok Nok, mais celui-ci est en cours de test dans plus de 15 entreprises ». Le prix du produit n'a pas été déterminé, mais il devrait reposer à la fois sur un système de tarification par abonnement, plus un pourcentage sur les transactions.

Nok Nok Labs est le premier fournisseur compatible FIDO. La FIDO Alliance, qui a le statut d'association à but non lucratif, devrait s'occuper de la spécification OSTP. Potentiellement, le framework OSTP est complexe et extensible puisqu'il est censé supporter les protocoles d'authentification établis, dont le SAML, l'OpenID, et l'OAuth. La propriété intellectuelle du protocole sera mise à la disposition de ceux qui seront affiliés à l'Alliance. « Ceux qui adhèreront pourront utiliser la spécification côté client », a déclaré le CEO de Nok Nok Labs, ajoutant que « chacun pourrait créer son propre serveur ».

Parmi les autres fondateurs de la startup basée à Palo Alto, Californie, on trouve Ramesh Kesanupalli, CO de l'Alliance, Michael Barrett, chef de la sécurité informatique de PayPal, et le Dr Taher Elgamal, consultant IT, expert dans le chiffrement. Michael Barrett a aussi une part active dans la FIDO Alliance. Fondée en 2011, la startup Nok Nok Labs financée à hauteur de15 millions de dollars par Onset Ventures et Doll Capital Management, emploie environ 30 personnes. Parmi les membres de son conseil d'administration, figurent notamment Richard Clarke, CEO de Good Harbor Consulting, et Michael Barrett.