Les mécanismes d’authentification login/password/signature phonique à double facteur/double réseau existent depuis déjà fort longtemps. Généralement, le « second facteur » se présente sous la forme d’une carte qui, plaquée sur le micro d’un combiné téléphonique, expédie un code à usage unique (one time password) qui sera ensuite vérifié par le serveur distant. Une version « audio » des suites de chiffres que délivrent les célèbres « token ». Nexim, pour sa part, reprend peu ou prou le même principe à une différence près : pas de carte spéciale pour le client distant. Lorsqu’un utilisateur se connecte au serveur, le mécanisme de contrôle d’accès lance deux tâches : l’une appelle le téléphone portable de l’usager, l’autre envoie une séquence sonore sur les haut-parleurs du poste-client. En récupérant l’écho de sa propre émission (après installation d’un Javascript), le serveur sait que le téléphone utilisé se trouve bien en possession de la personne qui a entré le mot de passe. C’est donc une procédure de sécurité proche des fonctions « callback » datant de la haute époque des BBS et autres serveurs RAS. Si un intrus cherche à pénétrer à l’intérieur d’un réseau ainsi protégé, il devra non seulement embobiner sa victime en déployant des prodiges d’ingénierie sociale afin de connaître son mot de passe et son login, mais en outre il lui faudra dérober –ou dupliquer- sa carte Sim. Rien d’impossible, mais cela devient tout de même un peu plus compliqué.
Histoire d’alourdir les frais généraux et la facture téléphonique de Nexim, une page de test a été créée afin de mieux comprendre le principe de fonctionnement général. Le gestionnaire d’appel et la plateforme d’authentification est commercialisée soit sous forme de service, soit sous forme d’Appliance rackable.