• Like

L’authentification multimoyen

  • 597 views
Uploaded on

Dans le domaine des processus et de la dématérialisation des flux, les organisations font aujourd’hui face à trois besoins principaux. -          Tout d’abord, il leur faut chercher constamment …

Dans le domaine des processus et de la dématérialisation des flux, les organisations font aujourd’hui face à trois besoins principaux. -          Tout d’abord, il leur faut chercher constamment une meilleure efficience, au travers de la mise en place « d’applications sans papier » et du développement de nouveaux services.
-          Il leur faut aussi gérer le risque associé à ces systèmes, et, en conséquence, durcir progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnes technologies sont inutiles si on ne prend pas en compte les limites naturelles de la dimension humaine…
-          Et bien sûr, il faut aussi que l’entreprise respecte le cadre réglementaire, en particulier au niveau de la protection des donnes personnelles et de la traçabilité.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
597
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
22
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. L’authentification multimoyen2012 Livre Blanc DICTAO 152 avenue de Malakoff - 75116 PARIS Tel. : 01 73 00 26 00 www.dictao.com – info@dictao.com
  • 2. Livre Blanc : l’authentification multimoyenSOMMAIRE1 INTRODUCTION ................................................................................................................................... 22 RAPPEL DE QUELQUES PRINCIPES ....................................................................................................... 32.1 Rappel de la définition d’authentification forte ....................................................................................................... 32.2 De multiples moyens d’authentification… .................................................................................................................. 42.3 ...Répondant à des objectifs de sécurité différents .................................................................................................. 43 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVE.................................................. 53.1 Répondre aux besoins de populations variées ......................................................................................................... 53.2 Proposer des services multiples, plus ou moins sensibles, mettant en oeuvre des canaux différents ............. 53.3 Faire face à une fraude évolutive ............................................................................................................................... 53.4 Accepter des moyens d’authentification multiples .................................................................................................... 53.5 Prendre en compte la dimension ergonomie et les aléas de la vie quotidienne ............................................... 64 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATION ............................................................................... 64.1 le mot de passe et les approches questions/réponses ............................................................................................ 64.2 le certificat ........................................................................................................................................................................ 7 Le certificat logiciel ......................................................................................................................................................... 7 Le certificat sur support matériel.................................................................................................................................. 74.3 L’OTP.................................................................................................................................................................................. 8 L’OTP SMS ........................................................................................................................................................................ 8 L’EMV / CAP..................................................................................................................................................................... 8 L’OATH .............................................................................................................................................................................. 85 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAO .................................................... 95.1 Notre solution d’authentification ................................................................................................................................... 95.2 Les points forts de notre solution d’authentification et les fonctionnalités associées ........................................ 105.3 L’adaptation des processus d’authentification à la situation ................................................................................ 125.4 Un service d’entreprise global et unique, répondant à l’ensemble des besoins d’authentification .............. 135.5 Un service conforme aux plus hauts standards de sécurité................................................................................... 146 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNE................................................................... 15 1
  • 3. Livre Blanc : l’authentification multimoyen1 INTRODUCTIONDans le domaine des processus et de la dématérialisation des flux, les organisationsfont aujourd’hui face à trois besoins principaux. Tout d’abord, il leur faut chercherconstamment une meilleure efficience, au travers de la mise en place « d’applicationssans papier » et du développement de nouveaux services.Il leur faut aussi gérer le risque associé à ces systèmes et, en conséquence, durcirprogressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnestechnologies sont inutiles si on ne prend pas en compte les limites naturelles de ladimension humaine…Et bien sûr, il faut aussi que l’entreprise respecte le cadre réglementaire, en particulier,au niveau de la protection de données personnelles et de la traçabilité.Efficacement répondre à ces objectifs suppose que les différents acteurs interagissant avec un systèmed’information soient précisément authentifiés, cest-à-dire que l’on soit sûr de leur identité. Pour s’authentifier,un utilisateur présentera au système un moyen d’authentification qui pourra être un simple mot de passe, uncertificat, un mot de passe à usage unique, une empreinte digitale…Une personne correctement identifiée/authentifiée pourra accéder à des informations (fonction deconsultation), les mettre à jour, réaliser une transaction…Dans le cadre de la mise en place de sa stratégie d’authentification, l’entreprise fait face à des situationsmultiples et souvent complexes. Les utilisateurs à authentifier ont toujours des profils très divers (clientParticulier, client Entreprise, collaborateur, partenaire, etc.) ; ces utilisateurs souhaitent réaliser destransactions demandant un niveau de sécurité plus ou moins élevé (de la simple consultation d’information à lasouscription d’un contrat d’Assurance Vie ou à l’établissement d’un contrat de quelques millions d’euros).Heureusement, l’entreprise peut s’appuyer sur une large palette de moyens d’authentification, pour répondreau mieux à chaque cas d’usage qui sera caractérisé par la sensibilité de la transaction, le type de populationconcernée, le niveau d’ergonomie attendue. De plus, il faut accepter de faire évoluer ces moyens, pourintégrer les progrès technologiques et faire face à une fraude toujours plus sophistiquée.L’entreprise doit être capable de répondre simplement à cette réalité multidimensionnelle et changeante. Elledoit adopter une approche globale et cohérente de l’authentification. Notre proposition est de permettre àl’entreprise de pouvoir faire cohabiter plusieurs moyens d’authentification et de les faire évoluer pourrépondre à de nouveaux besoins, en s’appuyant sur une plate-forme d’authentification unique et évolutive.Cette plate-forme doit ainsi permettre de garantir à l’utilisateur un processus d’authentification simple etadapté aux circonstances et à l’entreprise d’optimiser ses coûts et son niveau de risque.Nous vous présentons dans ce livre blanc les problématiques auxquelles une organisation doit répondre dansla mise en place de sa stratégie d’authentification et les réponses proposées par Dictao.Nous restons, bien sûr, à votre disposition pour approfondir avec vous ces analyses ou vous détailler nospropositions. Jacques Pantin, PDG et fondateur de Dictao 2
  • 4. Livre Blanc : l’authentification multimoyen2 RAPPEL DE QUELQUES PRINCIPESPour définir schématiquement ce qu’est un service d’authentification (SA), plaçons-nous dans le contexte où unutilisateur souhaite accéder à un service d’information (SI).Cet utilisateur, que celui-ci soit une personne physique, un composant technique, une application…, seraporteur d’un moyen d’authentification (mot de passe, certificat, empreinte biométrique…) qu’il présentera àun Service d’Authentification avant de recevoir l’autorisation et les droits d’accès à un SI. Le SA aura lacharge de valider la qualité, la validité et la recevabilité du moyen d’authentification proposé parl’utilisateur. Puis, une fois le porteur authentifié, le SA transmettra un ‘vecteur d’identification’ à un service decontrôle d’accès qui dérivera, de ce ‘vecteur d’identification’ (VI), en s’appuyant sur un référentiel d’identités,un ‘vecteur d’autorisation’ (VA) qui sera présenté aux services d’information auxquels souhaite accéder notreutilisateur. 2.1 RAPPEL DE LA DÉFINITION D’AUTHENTIF ICATION FORTEL’authentification permet de vérifier l’identité déclarée d’une personne.L’authentification peut se faire de multiples manières, et notamment par la vérification de :  « Ce que je suis », une caractéristique physique comme une empreinte digitale  « Ce que je sais », un mot de passe par exemple  « Ce que je possède », ce qui pourrait être une carte à puce ou un tokenLa combinaison d’au moins 2 de ces facteurs ou moyens d’authentification permet de renforcer la qualité del’authentification ; on parle alors d’authentification forte. 3
  • 5. Livre Blanc : l’authentification multimoyen 2.2 DE MULTIPLES MOYENS D’AUTHENTIFICATION…Traditionnellement, chaque fournisseur propose les outils permettant de valider l’identité d’utilisateurs porteursdes moyens d’authentification qu’il commercialise.Cette approche quoique qu’aujourd’hui la plus commune, nous semble atteindre ces limites avec lamultiplication des moyens d’authentification : il est devenu indispensable de clairement séparer les moyensd’authentification que présenteront les utilisateurs du service d’authentification lui-même. Ainsi, celui-ci doitêtre en mesure de supporter non seulement des moyens d’authentification différents, mais également unecombinaison d’entre eux.Par ailleurs, l’utilisation par l’entreprise de nouveaux moyens d’authentification ou l’abandon de l’usaged’outils devenus obsolètes ne doit plus se traduire par de nouveaux efforts d’intégration des applications etservices.La mutualisation du service d’authentification permet d’éviter d’avoir des approches « en silo », de multiplierles plates-formes d’authentification et les contraintes induites par l’intégration du service d’authentification auxréférentiels d’identité. 2.3 ...RÉPONDANT À DES OBJECTIFS DE SÉCURITÉ DIFFÉRENTSL’authentification par traditionnel « login/mot de passe » reste, aujourd’hui, le moyen le plus largement utilisé;ce moyen d’authentification est, cependant, devenue trop faible pour garantir la sécurité d’opérations dontles risques associés deviennent significatifs.Il faut mettre en place des moyens d’authentification plus solides comme les solutions à mot de passe unique,donc non rejouable (OTP, One Time Password) ou des solutions à base de certificats, cartes à puce ou tokens,plus solides encore, mais nécessairement plus coûteuses à mettre en œuvre.Si nous considérons qu’à terme, le certificat (logiciel ou sur support matériel) est ‘la solution’, nous comprenonsque la recherche de solutions simples à mettre en œuvre privilégie des approches à base d’OTP.Nous reviendrons par la suite sur les différents moyens d’authentification disponibles. 4
  • 6. Livre Blanc : l’authentification multimoyen3 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVEDans la conception et la mise en place de sa stratégie d’authentification, l’entreprise doit prendre en comptede nombreux facteurs. 3.1 RÉPONDRE AUX BESOINS DE POPULATIONS VARIÉESLes personnes à authentifier ont, naturellement, des profils très différents et des attitudes à l’égard des outilstechnologiques diverses. Ainsi, il faudra servir des clients « Entreprises », des clients « Particuliers », plus oumoins actifs sur Internet, des partenaires, des collaborateurs… 3.2 PROPOSER DES SERVICES MULTIPLES, PLUS OU MOINS SENSIBLES, METTANT EN ŒUVRE DES CANAUX DIFFÉRENTSCes utilisateurs aux profils très différents souhaitent accéder à des services (ou réaliser des opérations) plusou moins sensibles et qui nécessitent, par conséquent, des niveaux de sécurité spécifiques. Par exemple, lasouscription d’un contrat d’assurance vie demande un niveau d’authentification plus important qu’une simpleconsultation d’informations.De plus, ces services dématérialisés sont proposés au travers de canaux multiples (service en ligne, achat enligne, dématérialisation en agence, centre d’appels). Il faudra chercher à mutualiser les moyens techniques etêtre en mesure de proposer une solution multicanal cohérente. 3.3 FAIRE FACE A UNE FRAUDE ÉVOLUTIVELa fraude se transforme, avec l’évolution des technologies et l’essor des enjeux économiques. Les attaquesportant sur le vol d’identité deviennent, chaque jour, plus nombreuses et de plus en plus sophistiquées. Il estindispensable pour l’entreprise de mettre en œuvre des moyens d’authentification chaque fois plus solides. 3.4 ACCEPTER DES MOYENS D’AUTHENTIFICATION MULTIPLESPour répondre à cette diversité multiple et évolutive (type de population, type de transaction, type defraude, etc.), l’organisation peut tirer parti d’une très grande variété de moyens d’authentification. Uneapproche multiple permettra de résoudre au mieux l’équation sécurité/ergonomie/coût pour chaque typenature de besoin.Ainsi, de très nombreux moyens d’authentification existent et de nouvelles solutions, plus ou moins originales,apparaissent chaque jour : simple mot de passe, mot de passe à usage unique (OTP ou One Time Password),certificat logiciel ou sur carte à puce, empreinte biométrique… L’entreprise choisira le moyend’authentification le plus approprié, en fonction de la population ciblée, de la sensibilité et du niveau derisque de la transaction, des évolutions technologiques, de l’ergonomie recherché... Il n’est pas possible d’avoirun moyen d’authentification unique pour l’ensemble de la population et des transactions, sauf à retenir lemoyen le plus solide et, par conséquent le plus couteux et nécessairement le moins ergonomique...L’organisation doit donc pouvoir gérer simplement et efficacement la multiplicité et l’évolutivité des moyensd’authentification. Et, pour répondre à cet objectif, nous vous proposons une plate-forme d’authentificationmutualisable, capable de supporter la quasi-totalité des moyens d’authentification. 5
  • 7. Livre Blanc : l’authentification multimoyen 3.5 PRENDRE EN COMPTE LA DIMENSION ERGONOMIE ET LES ALÉAS DE LA VIE QUOTIDIENNEL’authentification est un geste quotidien. Celui-ci doit être le plus simple et le plus naturel possible pourl’utilisateur qui, sinon, risque de le rejeter, au mépris de la sécurité. Par ailleurs, cette action d’authentificationest soumise aux aléas de la vie quotidienne. Il est courant que l’utilisateur oublie, perde ou casse son moyend’authentification. Il est absolument nécessaire que ces aléas n’altère pas le niveau de sécurité du système etn’entravent pas la démarche de l’utilisateur en lui permettant, par exemple, de s’authentifier par un autremoyen.4 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATIONDans ce chapitre, nous passerons en revue successivement les moyens d’authentification suivants:  Le mot de passe et les stratégies de renforcement de celui-ci par des approches de questions/réponses ou de clavier virtuel.  Le certificat, que celui-ci soit logiciel ou stocké sur un support matériel.  L’OTP, One Time Password ou Mot de Passe à Usage unique.Nous n’aborderons pas dans ce document les outils biométriques. 4.1 LE MOT DE PASSE ET LES APPROCHES QUESTIONS/RÉPONSESLe mot de passe est le moyen d’authentification le plus largement utilisé ; il a su faire ses preuves pendant desannées, même si, aujourd’hui, il est devenu trop faible pour correctement protéger des transactions à risque.Plusieurs moyens peuvent être mis en œuvre pour durcir la qualité d’une authentification par mot de passe.D’un côté, il faut tout d’abord demander au porteur de ne pas se limiter, par facilité, à utiliser le nom de sonanimal ou sa date de naissance comme mot de passe. De l’autre, l’introduction d’une politique afférente(complexité, fréquence de changement, non-réutilisation, vérification sur dictionnaire, …) permet de s’assurerd’un minimum de protection sans pouvoir garantir un risque nul et, en particulier, permettre de se protégercontre les attaques de ‘l’homme au milieu’.L’apparition progressive de ce type de politique sur les différentes applications et services en ligne et lamultiplicité des services utilisés incitent de nombreux utilisateurs à se servir des mêmes mots de passe dans leurvie professionnelle ou personnelle. De ce fait, les fuites d’information dont font l’objet régulièrement denombreux services en ligne sont directement liées à un niveau de sécurité insuffisant, y compris en cas d’usagede mots de passe considérés comme « forts ».Certains services d’information complètent donc l’authentification par une question à laquelle l’utilisateur doitapporter une réponse qui aura été préenregistrée. Ce mode de « questions / réponses » est plus lourd et estutilisé, en général, en solution de repli, lorsque le porteur a oublié son mot de passe pour lui permettre de leréinitialiser.Pour contrer les attaques d’interception / rejeu (attaque du type man-in-the-middle), on utilise (en particulierdans le secteur bancaire) la technique dite du clavier virtuel dans laquelle les cases (chiffres ou lettres)s’affichent à l’écran de façon aléatoire entraînant une saisie de l’utilisateur par la souris qui n’est passimplement rejouable.Ces techniques ne résistent naturellement pas à un agresseur déterminé mais permettent de durcir simplementle niveau de sécurité du mot de passe, moyen d’authentification qui, comme on l’a dit, reste largement le plussimple à utiliser. 6
  • 8. Livre Blanc : l’authentification multimoyen 4.2 LE CERTIFICATLes techniques dites de cryptographie asymétrique sont connues depuis quelques dizaines d’années et sontprobablement les plus appropriées pour durcir un niveau d’authentification.Au début des années 2000, nous avions tous mis beaucoup d’espoir dans « le certificat », par exemple dansle cas de la déclaration d’impôts (Télé IR).Néanmoins, tous ces premiers projets de déploiement massif de certificats ont échoué, mis à mal par lacomplexité et le manque d’ergonomie de la solution technique sous-jacente.Cependant, sur les 10 dernières années, la technologie a profondément évolué, et si un projet d’infrastructurede gestion de clés (IGC/PKI) pouvait se chiffrer, en 2000, en millions d’euros, il est aujourd’hui possible demettre en œuvre une IGC en quelques semaines avec un budget limité à quelques dizaines de milliers d’euros.Nous considérons qu’à terme, le certificat devrait être l’outil d’authentification (et de signature) le plus utilisé.Le certificat permet, en s’appuyant sur la même infrastructure, d’identifier indifféremment une personnephysique (que celle-ci utilise un PC, un mobile, une tablette), un composant technique ou une application.Le certificat logicielLe certificat logiciel est aujourd’hui très facile à déployer (nous en générons, au niveau de Dictao, plusieursmillions par an dans le cadre de nos projets d’authentification et de signature).Nous le répétons, les techniques ont profondément évoluées au cours de ces dernières années et l’époque oùle certificat coûtait quelques euros et supposait la mise en œuvre d’une infrastructure sophistiquée estrévolue…Le certificat logiciel est aujourd’hui stocké dans un container logiciel respectant le standard PKCS #12 ; maisen cas de récupération, compte tenu d’une protection par mot de passe, celui-ci ne résiste pas aux attaquesen « force brute ».Alors que l’on considérait que le certificat logiciel était solide mais difficile à mettre en œuvre, la situations’est aujourd’hui renversée et un « P12 » est aujourd’hui simple à mettre en œuvre mais relativement fragile…Cette fragilité du « P12 » nous a amenés à développer un container logiciel durci dont l’ouverture estcontrôlée par des techniques de clés partagées ; ce qui permet d’utiliser, sans risque, les certificats logiciels.La sécurisation du « nuage » dans lequel les ressources sont distribuées passe, en particulier, par la mise enœuvre de ces « containers logiciels durcis ».Le certificat sur support matérielLe certificat sur support matériel est aujourd’hui sûrement la solution la plus solide. Il peut être hébergé :  soit sur une carte à puce  soit sur un token USBLe token cryptographique embarque sa propre puce sur une interface USB ; il est plus coûteux qu’une simplecarte à puce mais ne nécessite pas de lecteur ni, en général, de middleware de pilotage du lecteur.De son côté, une carte à puce permet d’intégrer en plus de la puce, des interfaces sans contact destinées àdes usages ne justifiant pas un niveau de sécurité élevé (fonctions d’accès, paiement cantine, …). Dans le casoù l’on souhaite disposer d’un même support pour les fonctions de contrôle d’accès physique (CAP) et decontrôle d’accès logique (CAL), la carte est, en général, préférée car elle permet de simplement présenter laphoto du porteur.Les problématiques de spécificités du middleware de pilotage de la carte disparaissent progressivementavec la généralisation des puces IAS/ECC (standard de la carte d’identité et de la carte agent del’administration française) et des lecteurs transparents (au standard PC / SC). 7
  • 9. Livre Blanc : l’authentification multimoyenDans une recherche d’un très haut niveau de sécurité, on peut utiliser des fonctions biométriques pour activerla carte (dans des fonctions dites de « match on card »). L’utilisateur présentera son pouce (ou un autre doigt)sur un lecteur biométrique qui analysera l’empreinte et ou le réseau veineux ; ce qui permettra d’activer sacarte (et les secrets dont elle est porteuse). Cette solution, très satisfaisante sur un plan ergonomique, estacceptée par la CNIL mais suppose de mettre en œuvre un lecteur relativement coûteux (50€ et plus) si l’onveut éviter des faux négatifs trop fréquents. 4.3 L’OTPLe principe de l’OTP est l’utilisation d’un ensemble de glyphes (nombres, caractères,…) à usage unique quipeut être généré et communiqué par différents moyens : SMS, application embarquée dans le téléphoneportable, calculette, token dédié,… De son côté, le service d’authentification partage un élément secret qui luipermet de connaître à un instant donné la valeur du secret et sa validité (fonctionnement par numéro de série,heure, secret pré-partagé…).Dans le cas d’une application, ce secret est protégé dans le dispositif de l’utilisateur par le stockage dans unepuce (SIM dans un téléphone, puce d’une carte bancaire,…).L’OTP SMSDans ce mode de fonctionnement, c’est directement le service d’authentification qui transmet le secret partagépar SMS à l’utilisateur. Dans ce cas, le service d’authentification est relié à un service d’émission de SMS quipermet à l’utilisateur de recevoir son OTP lorsqu’il en fait la demande, apportant un niveau de sécuritécomplémentaire en s’assurant qu’il dispose bien d’un accès à son téléphone.L’EMV / CAPL’EMV/CAP (EMV pour Europay/Mastercard/Visa, standard de nos cartes bancaires) est un OTP calculédirectement par la puce d’une carte bancaire. La validation de ce type de jeton permet d’authentifierfortement les clients dans le cadre de transactions sans face à face, notamment dans toute transaction ducommerce électronique, les services bancaires en ligne et téléphonique, la vente par correspondance, lemobile-commerce…En renforçant la sécurité, la validation de jetons EMV/CAP permet d’augmenter les gains et l’efficacité desentreprises, sous l’effet du renforcement de la confiance des clients et, en conséquence, de l’augmentation destransactions, la réduction des coûts liés aux litiges et à la fraude.Le détenteur de la carte bancaire (porteuse du masque EMV/CAP) insère sa carte dans son lecteur de poche(Personal Card Reader) connecté ou non à un ordinateur (la personne peut, aussi, être en communication avecun opérateur téléphonique, lui-même muni d’un ordinateur).L’OATHOATH (Open AuTHentication) est une initiative des grands acteurs du secteur IT afin de proposer unearchitecture de référence, ouverte, disponible pour tous pour une authentification forte quel que soitlutilisateur, les moyens techniques et le réseau utilisé.Lobjectif principal de cette initiative est de réduire le risque et limpact du vol didentité par un déploiementrenforcé de lutilisation dauthentification forte en offrant à travers un standard et d’un jeu d’API, unecompatibilité sur différents modèles de tokens matériels et logiciels. 8
  • 10. Livre Blanc : l’authentification multimoyen5 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAOPour répondre à cette réalité multidimensionnelle, Dictao s’est attachée à adopter une approche globale dela sécurité et de l’authentification, pour répondre aux besoins d’authentification de toute l’entreprise, pourtous ses services et canaux (services en ligne, banque en ligne, dématérialisation en agence, centre d’appels)et de toutes les populations (clients Entreprises, clients Particuliers, partenaires, collaborateurs…).Notre solution supporte l’ensemble des standards d’authentification et est évolutive, pour tirer parti de tous lesmoyens d’authentification existants et à venir.Enfin, notre solution apporte une réponse adaptée aux situations de la vie quotidienne de l’utilisateur. Ellepermet, en particulier, de proposer à celui-ci, une méthode de secours, en cas d’oubli, de perte ou de cassede son moyen d’authentification. 5.1 NOTRE SOLUTION D’AUTHENTIFICATIONNotre solution d’authentification s’articule autour de deux produits de Dictao :Dictao Access Control Server (DACS) qui assure les fonctions suivantes :  Un service multicanal qui assure l’authentification de tous types d’utilisateurs (clients, collaborateurs, partenaires) pour tous types d’applications, car, autour d’une architecture partagée, il dispose de connecteurs adaptés pour chaque type d’applications  Un service qui détermine le moyen d’authentification adapté selon le profil de l’utilisateur et le type d’application et gère les ‘stratégies de repli’  Un service qui appelle notre serveur multi-moyen d’authentification DVS pour la validation du moyen d’authentification utiliséDictao Validation Server (DVS) qui assure les fonctions suivantes :  Le support de tous les grands standards du marché dans le domaine de l’authentification : certificat, OATH, EMV CAP et GIE CB, OTP SMS, mot de passe, date de naissance,…  Les services de validation  La constitution des preuvesLa solution d’authentification de Dictao est proposée en mode licence ou en mode Service (Software as aService). 9
  • 11. Livre Blanc : l’authentification multimoyenL’agencement fonctionnel de notre offre de composants de confiance peut être schématisé de la façonsuivante :Une application métier peut :  Appeler directement les services de confiance de Dictao Validation Server pour l’authentification des utilisateurs suivant le moyen choisi  Faire appel au Dictao Access Control Server pour assurer, à côté des fonctions de stricte validation : o La prise en charge de la cinématique d’authentification complète (présentation des pages d’authentification, déroulement de la cinématique d’’authentification, détermination de la méthode d’authentification,…) o La gestion de méthodes d’authentification de secours ou de repli 5.2 LES POINTS FORTS DE NOTRE SOLUTION D’AUTHENTIFICATION ET LES FONCTIONNALITÉS ASSOCIÉESNotre solution d’authentification se distingue par les aspects suivants :Sa polyvalence, son évolutivité et son indépendance vis -à-vis des fournisseurs de moyensd’authentificationL’entreprise ne peut se limiter au choix d’un seul moyen d’authentification pour tous ses utilisateurs et toutes sesapplications. Elle doit mettre en œuvre différents moyens d’authentification selon les populations et le niveaude risque des transactions. De plus, les procédés d’authentification sont en mutation rapide, d’une part pourrépondre à l’évolution des attaques, d’autre part en raison des évolutions technologiques.Pour laisser l’entreprise libre de ses choix de moyens d’authentification, la solution d’authentification de Dictaoen supporte de très nombreux, qu’ils soient « libres » ou « propriétaires ».De cette manière, en s’appuyant sur DACS, l’entreprise reste indépendante de moyens d’authentification etdes fournisseurs associés.En fonction du niveau de risque associé à la transaction ou au client, l’organisation pourra choisir, avec DACS,plusieurs moyens d’authentification et simplement les faire cohabiter sans avoir à multiplier les serveursd’authentification. 10
  • 12. Livre Blanc : l’authentification multimoyenDe même, les moyens d’authentification peuvent évoluer dans le temps (en général, pour durcir le niveau desécurité) sans remettre en cause la plate-forme d’authentification sous-jacente.En s’appuyant sur la plate-forme Dictao, l’organisation fait un investissement pérenne : elle peut mettre enœuvre de nouveaux moyens d’authentification, pour répondre à l’évolution de ses besoins et des standards dumarché, sans avoir à remplacer sa plate-forme d’authentification.Les grandes fonctionnalités du produitDictao Access Control Server permet d’authentifier tous les clients, quels que soient les moyensd’authentification utilisés :  EMV CAP ou GIE CB  OTP SMS  OATH (Open AuTHentication)  OTP propriétaire  Certificat  Certificat logiciel  Certificat sur carte à puce ou token  Date de naissance/question réponse  Mot de passe  …Vous permettre de faire face à l’évolutivité des moyens d’authentification est le fondement de notreproposition de valeur. Ainsi, DACS peut supporter un nouveau moyen d’authentification par le simple ajoutd’un « plug-in » ; ce qui permettra, à moindre coût, de:  Remplacer un moyen devenu vulnérable (attaques…)  Prendre en compte un nouveau standard ou un nouveau moyen d’authentificationCet ajout de nouveaux moyens se fait de façon transparente pour les applications utilisatrices (services enligne ou autres).Cette approche par plug-in permet aussi la prise en charge de moyens d’authentification qui seraient déjàdéployés dans l’organisation. En effet, les plug-in DACS permettent de réaliser des appels vers des serveursd’authentification spécifiques (autre que notre serveur d’authentification multi-moyen DVS) ou d’intégrer deslibrairies gérant ces moyens d’authentification. 11
  • 13. Livre Blanc : l’authentification multimoyen Web SSO 3D Secure Web Service Banque en connector connector ligne Dictao Access Control Server DACS Autre Serveur Plugin Plugin Mot Nouveau … d’authentification : certificat de passe Plugin VASCO,… Serveur multi-moyens d’authentification … Certificat EMV CAP OTP SMS OATH Mot de passe 5.3 L’ADAPTATION DES PROCESSUS D’AUTHENTIFICATION À LA SITUATION (ADAPTATION AU PROFIL DE L’USAGER, AU RISQUE DE LA TRANSACTION, A LA VIE QUOTIDIENNE…)Dictao Access Control Server permet à l’organisation d’ajuster sa stratégie d’authentification à chaque casd’usage. De cette manière, l’organisation peut choisir selon le profil de l’utilisateur et la nature de latransaction réalisée, le moyen (ou la combinaison de moyens) d’authentification le mieux adapté à la situation,celui qui permet de résoudre simplement l’équation sécurité/ergonomie/coût.De plus, DACS place l’expérience utilisateur au cœur de la gestion de l’authentification. En cas de perte,d’oubli ou de casse de son moyen d’authentification, DACS propose à l’utilisateur de s’authentifier avec unautre moyen, de manière à ce qu’il ne soit pas bloqué dans sa démarche d’accès à un service.L’organisation peut configurer, dans DACS, différentes règles d’authentification (selon le profil de l’usager, leniveau de sécurité requis, le canal utilisé) et des mécanismes de repli (méthodes d’authentificationsalternatives). Ceux-ci permettent de pallier les éventuelles indisponibilités des moyens d’authentification desutilisateurs. Ensuite, DACS met en œuvre ces règles.A titre d’exemple, nous vous proposons, ci-dessous, un exemple de visuel dans le cas d’un repli, demandé parle client, de la méthode EMV CAP vers une solution OTP SMS. 12
  • 14. Livre Blanc : l’authentification multimoyen 5.4 UN SERVICE D’ENTREPRISE GLOBAL ET UNIQUE, RÉPONDANT A L’ENSEMBLE DES BESOINS D’AUTHENTIFI CATIONDACS a été conçu pour répondre aux besoins d’authentification de toute l’organisation, pour tous les canaux,qu’ils concernent les services en ligne, les applications métiers, la dématérialisation en agence, les applicationsde vente en ligne et toutes les populations (clientèle Entreprises, Particuliers, collaborateurs, partenaires, etc.).DACS est un serveur d’authentification multi-groupe : plusieurs groupes (ou entités), composés chacun deplusieurs établissements, peuvent s’appuyer sur la même plate-forme DACS. Chaque établissement peutappliquer sa propre politique d’authentification.Ainsi, avec DACS, la gestion de l’authentification est centralisée à l’échelle de l’organisation. Ce qui permetde ne plus avoir à gérer les problématiques d’authentification application par application, ce qui est sourcede coût, de complexité et de failles de sécurité.Les connecteurs développés actuellement permettent à DACS d’être appelé dans les contextes suivants :  Vente en ligne : 3DSecure  Service en ligne : Web SSO  Applications métier : Web Services.Il est possible de développer des connecteurs spécifiques pour supporter de nouveaux services (moyens depaiement spécifiques, contextes de fédération d’identité…).DACS propose, de manière native, un strict cloisonnement entres les données et les méthodes d’authentificationentre les différents groupes. Chaque groupe peut ainsi mettre en œuvre sa propre politiqued’authentification. 13
  • 15. Livre Blanc : l’authentification multimoyen 5.5 UN SERVICE CONFORME AUX PLUS HAUTS STANDARDS DE SECURITÉCertification au niveau EAL3+ des Critères CommunsDictao Access Control Server s’appuie sur le produit Dictao Validation Server, serveur de validation et deconstitution de preuve, certifié au niveau EAL3+ de la norme internationale des Critères Communs (ISO 15408) et qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La norme CritèresCommuns est internationalement reconnue en Europe, en Amérique du Nord et en Asie.Certification 3D-SecureLe module DACS 3D-Secure est certifié par Visa et MasterCard conformément aux spécifications 1.0.2 de lafonction ACS.Conformité PCI/DSSLe modèle de données DACS permet d’être conforme aux exigences PCI/DSS grâce aux propriétés suivantes:  Dans le cas d’un accès par DACS de référentiels distants : l’accès aux données sensibles (PAN et les données d’authentification) est réalisé à travers des moyens sécurisés (ligne spécialisée, authentification par certificat,…)  Dans le cas d’un accès local par DACS : les données sensibles ne sont jamais stockées en clair  Dans tous les cas, DACS instaure un cloisonnement strict entre les données des différents groupes, aussi bien au niveau de l’approvisionnement des données que de leur utilisation  L’utilisation des clés cryptographiques par DACS est conforme aux exigences définies dans PCI/DSS  DACS possède un connecteur standard (PKCS#11) permettant d’utiliser différents boitiers HSM (Hardware Security Module) du marché pour le stockage et l’utilisation des clés. 14
  • 16. Livre Blanc : l’authentification multimoyen6 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNEDepuis le 1er octobre 2008, dans le cadre du commerce en ligne, le principe de transfert de responsabilitéen cas de fraude est entré en vigueur. En cas d’utilisation frauduleuse d’une carte bancaire, la banqueémettrice de la carte sera tenue pour responsable et non plus le commerçant.Le protocole 3DSecure a été bâti pour durcir le niveau d’authentification du porteur et, ainsi, de réduire lerisque que doit supporter la banque. Le marchand qui n’utilise pas 3DSecure ne pourra transfèrer laresponsabilité à sa banque et devra gérer lui-même la fraude…Dictao Access Control Server (DACS) intègre le protocole 3DSecure et aide, ainsi, les banques à faire faceà leurs nouvelles responsabilités, à limiter les risques de fraudes financières, à conforter la confiance desclients à l’égard de leur banque, quant à la protection de leur carte bancaire.Dictao Access Control Server vérifie, pour la banque émettrice, l’authentification du porteur de cartebancaire, selon le mode choisi par la banque, qui peut être plus fort selon la nature de l’achat (mot de passe,jeton généré par une carte bancaire et un lecteur EMV CAP).Dictao Access Control Server est certifié par Visa (Verified by Visa) et Mastercard.Le système 3-D Secure permet une sécurisation renforcée des paiements sur Internet grâce à lauthentificationdu porteur de carte, au moment du paiement, comme lors d’un paiement en face à face, chez un commerçant.Le porteur est ainsi protégé contre l’utilisation frauduleuse de son numéro de carte bancaire, car il doitconfirmer son identité avant le paiement, par exemple en saisissant un code secret qui sera vérifié, en ligne,par la banque émettrice de la carte.Ce code secret peut être, selon le profil de porteur de carte et son contrat :  Un OTP de type EMV CAP  Une information complémentaire (date de naissance, nombre d’enfants, etc.)  Un code secret envoyé par SMS.Cette authentification du porteur revient à :  Obtenir la preuve de son engagement à payer  Sassurer de son identité  S’assurer de la légitimité de la transaction.La solution 3-D Secure représente un protocole commun de communication entre le marchand, la banqueacquéreur et la banque émettrice. 15
  • 17. Livre Blanc : l’authentification multimoyenElle met en jeu trois domaines (d’où le terme 3 D pour 3 Domains) :  Domaine du client ou domaine émetteur qui comprend le porteur de carte et la banque du porteur de carte, cest-à-dire la banque émettrice, qui est chargée de vérifier l’authentification du porteur de carte  Domaine Marchand, qui comprend le site marchand et sa banque : la banque du marchand  Domaine d’interopérabilité, qui assure l’interface entre le domaine émetteur et le domaine acquéreur (Visa ou Mastercard). 16
  • 18. Livre Blanc : l’authentification multimoyenLa cinématique 3DSecure peut être représentée de la façon suivante :1 La saisie des informations relatives à la carte bancaireAprès avoir ‘empli son panier’, le client saisit, sur le site marchand, son numéro de carte bancaire et la datede validité.2 La demande d’authentificationLe MPI du marchand (le « merchant plug-in » chargé de traiter lopération de paiement) émet une demandedauthentification vers la banque du client.3 La demande d’authentification (suite)La banque du client demande à celui-ci de sauthentifier en ligne (par exemple, par un code secret).4 L’authentificationLe client saisit son code secret, qui, selon son profil, peut être un mot de passe à usage unique généré par unlecteur EMV CAP et une carte bancaire, une date de naissance, un code envoyé par SMS, ou encore un autremoyen.5 Vérification de l’authentification auprès de Dictao Access Control ServerLe serveur de contrôle daccès (ACS) de la banque émettrice vérifie lauthentification et transmet laccord aucommerçant. 17
  • 19. Livre Blanc : l’authentification multimoyenÀ PROPOS DE DICTAODictao est léditeur logiciel de référence dans le domaine de lauthentification forte, de la signatureélectronique et de larchivage sécuriséNous concevons et commercialisons des produits permettant de mettre en œuvre les fonctions indispensables àla sécurité et à la confiance dans un monde dématérialisé : authentification des clients et des utilisateurs,engagement à travers la signature électronique, constitution de preuves de transactions, archivage à vocationprobante.Nous aidons nos clients à sécuriser leurs applications sensibles, à répondre à leurs contraintes réglementaireset à innover pour plus defficacité et de croissance.Les résultats concrets obtenus par nos clients sont les meilleurs garants de ladéquation de nos produits, nossolutions sectorielles et notre expertise aux besoins de sécurité et de confiance des organisations.Nous accompagnons le secteur bancaire dans la sécurisation des transactions en ligne réalisées par lesEntreprises et les Particuliers, la sphère publique dans la modernisation de lEtat au travers destéléprocédures, et le monde industriel dans la concrétisation de lentreprise étendue (dématérialisation descommandes, des factures…).Dictao est le seul éditeur dont la gamme de produits est éprouvée dans des contextes variés (authentification,ordres de virements, contractualisation en ligne, facturation électronique, traçabilité…) et certifiée au niveauEAL3+ de la norme internationale des Critères Communs par lAgence nationale de la sécurité des systèmesdinformation (ANSSI).Les solutions logicielles Dictao sont disponibles sous forme de produits logiciels (licences) ou sous forme deservices (Software as a Service SaaS).Nous sommes, naturellement très fiers de nos références :600 établissements financiers et de crédit dont la Banque de France, LCL, BNP Paribas, Société Générale...De grandes entreprises industrielles dont PSA Peugeot Citroën, Total… LAdministration dont le Ministère delEconomie, des Finances et de lIndustrie, le Ministère de la Défense, la Direction de lInformation Légale etAdministrative, lAgence Nationale des Titres Sécurisés… 18