« Je participe aux standards ouverts pour permettre à tous de bénéficier de l’authentification forte »

Faîtes connaissance avec Johan Rydell, responsable de la technologie chez Nexus Group, et contributeur des normes d’authentification TOTP et OCRA. « Ces normes sont utilisées pour ainsi dire par tout le monde aujourd’hui, et comme elles ne sont liées à aucun brevet, elles ont entraîné une baisse spectaculaire du coût des jetons matériels, » explique Johan Rydell.

 Comment vos collègues vous perçoivent-ils ?

Johan Rydell : « La plupart ne me connaissent pas vraiment. Ils savent seulement que s’ils rencontrent un problème, je le résoudrai. Par exemple, si un commercial a vendu à un client une fonctionnalité que nous ne possédons pas, je peux généralement arranger cela en écrivant du code d’adaptation. Et si un client en Amérique du Nord ou Centrale a un besoin urgent d’assistance, je peux me déplacer pour l’aider, ou vérifier que le problème ne provient pas d’un défaut de nos produits.

« Je suis actuellement le seul employé de Nexus aux États-Unis. Je suis venu de Suède il y a 10 ans, et aujourd’hui je travaille depuis mon bureau à domicile, près de San Francisco. »

Pourquoi avoir signé chez Nexus ?

Johan Rydell : « J’étais l’un des fondateurs de PortWise, une société acquise par Nexus en 2010. Notre principal produit était une passerelle logicielle de sécurité, permettant un accès sécurisé à des services numériques – quelle que soit la localisation de ces services ou des utilisateurs. Cette solution est à présent l’un des produits phares de Nexus, et s’appelle aujourd’hui Nexus Hybrid Access Gateway.

« Après notre acquisition, notre bureau aux États-Unis a fermé, mais je suis resté ici. Une des raisons est que je travaille beaucoup avec les standards, et si vous voulez avoir quelque influence dans ce domaine vous devez être présent ici, dans la région de la baie de San Francisco. J’ai été l’un des principaux contributeurs de la norme TOTP (Time-based One-Time Password), qui est la pierre angulaire de l’Initiative for Open Authentication (OATH), et que l’on retrouve dans plusieurs systèmes d’authentification à deux facteurs. J’ai également été le principal contributeur de la norme d’authentification OCRA (OATH Challenge-Response Algorithm).

« Mais mon rôle principal est de m’assurer que nos clients et partenaires américains sont satisfaits. Mon travail exige des compétences solides et élargies dans les domaines de la sécurité et de la technologie, et cela me convient parfaitement. »

Sur quoi travaillez-vous actuellement ?

Johan Rydell : « Je communique sur la sécurité auprès de banques et d’administrations locales en Amérique du Nord et Amérique Centrale, et leur propose nos solutions pour l’authentification forte et la signature numérique. Je les aide également au niveau de l’implémentation, et m’assure de leur conformité vis-à-vis des réglementations. Et s’ils ont besoin d’aide par la suite, ils peuvent compter sur moi.

« Je procède également à la certification de sociétés utilisant la norme TOTP. Par exemple, si vous achetez un jeton matériel auprès d’un fournisseur respectant la norme, vous devez pouvoir l’utiliser tel quel avec n’importe quel serveur respectant également la norme. Actuellement, environ 200 sociétés, dont Nexus, ont certifié leurs solutions. »

Quel impact ont eu les normes auxquelles vous avez participé ?

Johan Rydell : « Avant TOTP et OCRA, la seule façon de permettre l’authentification à deux facteurs pour l’accès d’un utilisateur à des ressources en ligne était d’utiliser un système nommé SecurID. Ce système appartient à RSA Security, une entreprise américaine spécialisée dans la sécurité IT, et leurs brevets bloquaient toute concurrence. Ils profitaient de cette situation en vendant très cher leurs jetons matériels et logiciels.

« Je n’aime pas les brevets ; ils nuisent à l’innovation, et je veux que les normes de sécurité soient respectés. C’est pourquoi j’ai développé OCRA ; personne ne peut déposer de brevets sur les composants d’une norme, j’ai donc élargi OCRA afin que personne ne puisse réclamer de droits dans ce domaine.

« Aujourd’hui, pratiquement tous les jetons matériels utilisent TOTP et OCRA, dans la mesure où ces normes couvrent tous les cas d’usage. Cela a entraîné une baisse spectaculaire du prix de ces jetons. Un autre effet positif d’OCRA est que les transactions ne peuvent être invalidées. Par exemple, si vous effectuez un transfert authentifié pour un montant de 200 dollars, personne ne pourra prétendre ensuite que vous avez transféré une somme différente. »

Décrivez une journée ordinaire de Johan !

Johan Rydell : « Je commence ma journée de travail à 9h en allumant mes ordinateurs, et en m’assurant qu’ils sont bien tous à jour. J’en ai environ 25, ce qui me permet de tester de nouvelles versions de logiciels ainsi que divers programmes dans des environnements et pour des cas d’usage différents. Puis je lis mes e-mails et parcours les news IT. Mes journées commencent toujours ainsi.

« Ce que je fais ensuite est différent d’un jour à l’autre, mais je vais vous décrire une journée typique. Je travaille souvent sur des choses en relation avec nos clients du secteur bancaire, par exemple un projet de mise à niveau ou une analyse des besoins. Je suis le plus souvent dans mon bureau à domicile, mais je visite également les clients et clients potentiels. Quand je suis chez moi, je m’occupe à tester du code, à surveiller les journaux d’événements ou à valider de nouveaux protocoles réseau pour m’assurer que les communications sont bien chiffrées – bref, essentiellement des choses très techniques.

« Mais je peux à tout moment recevoir un appel d’offre par e-mail, à savoir une demande de devis de la part d’un client potentiel. Les appels d’offre sont hautement prioritaires, et le plus souvent je commence à y répondre tout de suite.

« Vers 15-16h, je fais une pause pour consacrer du temps à ma famille. Puis je retourne travailler entre 22h et minuit, quand les enfants dorment et que je peux, compte tenu du décalage horaire, échanger avec mes collègues suédois. »

Published 4/5 2017

News and Blog