“Dumb” et fiers de l’être !

Alors que nous sommes toujours prêts à fournir un service sur mesure à nos clients, lorsque ces derniers nous demandent de mettre en œuvre une authentification locale sur nos terminaux, c’est toujours un non catégorique. Voici pourquoi.
Imaginez quelqu’un qui dirait : « Nous n’utilisons pas d’outil d’authentification sur nos appareils informatiques ! ». La première chose qui nous viendrait à l’esprit, c’est : « Quel inconscient… ! » Inconscient, en effet, si l’entreprise met à disposition de ses employés un bureau d’ordinateur traditionnel, avec toutes les applications et données stockées directement sur la machine.
Cependant, si l’entreprise a adopté la virtualisation des postes de travail avec en sus des terminaux clients légers, il est tout à fait logique, et même très sain, de ne pas avoir de système d’authentification local. Explications.

Les clients légers sont des terminaux « stupides » ou « muets » (dumb terminals), pour des raisons bien précises.
Ci-dessous 3 raisons pour lesquelles il faut éviter l’authentification locale dessus.

1. Ajouter de l’information en local sur un client léger est un contresens

Leur rôle est de permettre aux utilisateurs de se connecter à leur espace de travail virtuel. La raison d’être de la virtualisation est de cloisonner les données dans le cloud et de donc de limiter l’authentification au serveur distant. L’ajout d’une authentification locale sur le client léger entraînera la présence du profil de l’utilisateur localement sur l’appareil. Pour maintenir la session d’authentification locale, les données de l’utilisateur devront également être stockées sur l’appareil : un contresens total au principe de virtualisation des données.

Authentification locale sur un client léger

2.  Un surplus de travail pour l’équipe IT

Ensuite, l’utilisateur doit s’authentifier deux fois : une fois localement sur le terminal et une deuxième fois sur l’espace de travail virtuel. Par conséquent, l’utilisateur doit se souvenir de deux informations d’identification pour accéder à son espace de travail. Et, dans la majorité des cas, les utilisateurs ont tendance à utiliser le même mot de passe. Cela peut également conduire à la compromission de leur compte. L’équipe informatique doit appliquer des politiques de mot de passe à la fois différents et également robustes pour chacune des authentifications, ce qui ajoute à sa charge de travail. L’un des moyens de résoudre ce problème serait d’avoir une authentification unique entre le client léger et l’infrastructure VDI. Cependant, cela signifie également que le système d’exploitation client léger doit avoir des applications SSO, ce qui alourdit le système d’exploitation et ajoute un composant supplémentaire à maintenir par l’équipe informatique.

Pfff…encore un problème de mot de passe…

3. Une sécurité fortement compromise

Enfin, les informations d’identification locales fournies par l’utilisateur devraient être validées par rapport à un service d’authentification tel qu’un backend connecté à une base de données utilisateur : Active Directory, LDAP, etc. Ce processus laissera des traces d’authentification localement sur l’appareil. Dans le cas où le poste de travail est compromis, cela peut avoir de graves répercussions sur la sécurité des données de l’entreprise. Parallèlement à cela, si l’utilisateur ne peut pas accéder à l’espace de travail, l’équipe de support doit intervenir à deux endroits différents, pour identifier le problème : localement et sur l’infrastructure VDI. Cela augmente la quantité de travail et le temps nécessaire pour remettre l’infrastructure en marche suite à une tentative d’intrusion.

Un système d’authentification en local…MOUHAHAHA trop facile de s’introduire dans leur système…!

Vouloir ajouter un mécanisme d’authentification locale peut partir d’une bonne intention : ajouter une couche de sécurité supplémentaire. Mais le faire sur un client léger va à l’encontre de l’objectif de la virtualisation et du client léger lui-même, cet objectif étant une expérience utilisateur de meilleure qualité, sécurisée et unifiée.

  • Pour résumer, avoir un système d’authentification local sur un client léger est une mauvaise idée car :
  • Les données personnelles de l’utilisateur seront stockées localement sur l’appareil : une faille de sécurité majeure;
  • L’utilisateur doit se souvenir de plusieurs informations d’identification, et s’il utilise les mêmes informations d’identification, cela compromet fortement la sécurité d’accès aux données ;
  • Le terminal gardera des traces du système d’authentification en local, que des personnes malveillantes peuvent facilement exploiter ;
  • Pour toutes raisons précitées, cela augmentera la charge de travail de l’équipe de support, pour de mauvaises raisons.

Pour toutes ces raisons, ZeeTim a créé ZeeTerm, un poste de travail nouvelle génération entièrement sécurisé et léger, spécialement conçu pour les espaces de travail virtuels. Avec ZeeTim, le poste de travail est sécurisé dès la conception, avec un système d’exploitation en lecture seule et des packages d’applications minimaux et complètement séparés les uns des autres, pour une sécurité inégalée.

Contactez-nous pour savoir comment mettre en place une architecture poste de travail plus sécurisée pour vos utilisateurs, ou bien testez vous-même notre système d’exploitation sur le PC de votre choix en téléchargeant ZeeTransformer ici (sans formulaire fastidieux à remplir !).