Biométrie et Mobilité

438 views

Published on

Comment concilier facilité d’utilisation et sécurité?

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
438
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Biométrie et Mobilité

  1. 1. SOLUTIONS BANCAIRES BIOMÉTRIE ET MOBILITÉ Comment concilier facilité d’utilisation et sécurité? Mobilité et sécurité. Pour les banques, il ne s’agit pas là de vains mots, mais bien des fondements de leur mode de fonctionnement dans un monde de plus en plus compétitif. Reste que la sécurité et la mobilité ne doivent pas se construire au détriment de l’utilisateur, de son confort. Une solution informatique qui garantirait les premières sans se soucier du second aurait, en effet, de fortes chances d’être rejetée par ce dernier. Le projet Mobilité, mené par un établissement sur la place financière genevoise, apporte la preuve que mobilité, sécurité et confort d’utilisation ne sont pas incompatibles. laptop, un VPN pour accéder à la banque Sylvain MARET par Internet, une authentification unique CEO MARET Consulting pour accéder au compte Microsoft et aux applications bancaires (application web). Nous voilà au cœur du challenge technolo- gique. Trouver un mécanisme d’authentifi- cation forte, simple à utiliser et capable C omment améliorer le confort des utilisateurs sans com- d’être associé aux technologies de sécurité. promettre la sécurité? Bien Avant de définir plus avant ce mécanisme, souvent les mécanismes de expliquons ce qu’est l’authentification forte sécurité informatique sont et pourquoi l’utiliser. mis en place au détriment du confort de l’utilisateur. Celui-ci se retrouve alors avec Qu’est-ce que l’authentification un outil de travail qui présente de fortes La solution d’identification forte adoptée com- forte? contraintes. Le système est compliqué et prend une lecture biométrique des emprein- Les méthodes classiques pour identifier une lent. Il nécessite plusieurs mots de passe, tes digitales, couplée à une carte à puce. personne physique sont au nombre de trois: l’utilisation d’un «Token» de type SecurID. 1. quelque chose que l’on connaît: un PIN Bref, la solution n’est pas vraiment utili- aux applications informatiques et les Code, etc. sable. Mais elle est «secure»… contraintes de sécurité. Dans le cadre de cet 2. quelque chose que l’on possède: une article, nous allons nous focaliser sur cer- carte à puce, etc. Objectif du projet taines d’entre elles: 3. quelque chose que l’on est: une empreinte Dans le cadre du projet présenté ici, l’objec- • les données sur le laptop doivent rester digitale, etc. tif était de repenser la mobilité, de sorte à confidentielles; On parle d’authentification forte dès que offrir un outil de travail simple. Pour cela, • l’accès à la banque doit se faire par le deux de ces méthodes sont utilisées nous avons remis les compteurs à zéro, biais d’Internet; ensemble. Par exemple, une carte à puce et nous sommes partis d’une feuille blanche. • la procédure d’authentification doit être un PIN code. Avec l’idée de proposer aux collaborateurs simple; de la banque un nouveau laptop qu’ils puis- • une seule authentification doit être Pourquoi cette méthode plutôt sent utiliser lors de leurs voyages via Inter - demandée. qu’une autre? net. Comment faire? Comment concilier sim- Si l’authentification forte s’est rapidement Le mot de passe. Il s’agit là du système le plicité d’utilisation et fortes contraintes de imposée comme la solution à retenir, restait plus couramment retenu pour reconnaître sécurité? Est-ce la quadrature du cercle? encore à définir le système le plus appro- un utilisateur. Il s’avère, toutefois, qu’il ne Avant de répondre à cette question, énumé- prié. A déterminer le dispositif à même d’ap- permet pas d’assurer une protection effi- rons de façon plus précise les contraintes porter sécurité et confort, tout en intégrant cace de biens informatiques sensibles. Sa auxquelles il fallait faire face. Elles sont de les technologies utilisées pour ce projet. A principale faiblesse réside dans la facilité deux natures: les contraintes pour l’accès savoir, une technologie de chiffrement du avec laquelle il peut être identifié. 62 B&F MAI - JUIN 2009
  2. 2. BIOMÉTRIE ET MOBILITÉ Quelle technologie choisir? © SERGIY SERDYUK - FOTOLIA.COM Un grand nombre de technologies d’authen- tification forte sont disponibles sur le marché. Celles de type «One Time Pass- word» (Style SecurID), les cartes à puces ou encore la biométrie. C’est cette dernière qui a été retenue dans le cas qui nous intéresse. Avant tout pour répondre à une exigence fondamentale posée par le client. A savoir, garantir la facilité d’utilisation. Quel système de biométrie pour la mobilité? Lecture de l’iris, reconnaissance faciale, empreinte digitale. Quand on parle de bio- métrie, différentes options sont envisa- geables. Le choix final a été guidé par le Une solution de mobilité alliant sécurité et confort d’utilisation. souci de trouver un compromis entre le niveau de sécurité de la solution, son prix et ment et, bien évidemment, l’authentifica- tificats numérique pour assurer aussi bien sa facilité d’utilisation. De plus, la plupart tion forte des utilisateurs. une protection optimale qu’un grand des nouveaux laptops possèdent mainte- confort pour les utilisateurs. Cette solution nant un lecteur biométrique. C’est surtout Biométrie: où stocker a répondu aux contraintes technologiques là que résidait une des principales clés du les données? imposées par le projet. L’authentification succès. L’adhésion des utilisateurs était, en La biométrie pose la question du stockage unique est réalisée par le biais de la biomé- effet, indispensable. Et celle-ci passait par la des informations relatives aux utilisateurs. trie, la sécurisation du VPN est réalisée simplicité de fonctionnement, par la convi- Il s’agit là d’une question extrêmement sen- grâce à un certificat numérique de type vialité du dispositif. sible. Nombreux sont, en effet, ceux qui, à machine, stocké dans une puce cryptogra- juste titre, s’interrogent sur l’usage qui est phique (TPM) embarquée sur le laptop. Qu’en est-il de la sécurité? fait des données les concernant. Où celles-ci Dans le cadre de ce projet, une contrainte La biométrie peut-elle être considérée vont-elles être conservées? Les réticences n’a toutefois pas pu être respectée. A savoir, comme un moyen d’authentification forte? face à ce procédé sont réelles. Pour sur- utiliser la biométrie de type Match on Card La réponse est clairement non. Le recours à monter cet obstacle non négligeable à pour le chiffrement du laptop. En raison de cette technique comme seul facteur d’au- l’acceptation d’une telle solution par les son côté avant-gardiste, cette technologie thentification constitue certes une solution utilisateurs, la formule choisie consiste à n’est, en effet, pas compatible avec les prin- «confortable» pour les utilisateurs. Il n’en stocker les informations directement sur la cipales solutions de chiffrement des dis- demeure pas moins qu’elle n’offre pas des carte à puce. A recourir à une technologie ques. C’est le prochain challenge à relever garanties de sécurité suffisamment solides. qui rend le détenteur de la carte seul pro- pour la phase 2 de ce projet. D’ici fin 2009, il Diverses études ont, en effet, montré qu’il priétaire de ses données biométriques. devrait ainsi être possible d’intégrer cette est possible de falsifier assez aisément les technologie à une solution de chiffrement. systèmes biométriques actuels. Dès lors, il Technologie Match On Card est judicieux de la coupler à un second Cette technologie répond parfaitement à la Retour d’expérience dispositif d’authentification forte. Dans le problématique posée. Non seulement, elle La technologie mise en place – biométrie cadre de ce projet, un support de type carte permet le stockage d’informations biomé- Match On Card et utilisation des certificats à puce a été retenu. Concrètement, l’utilisa- triques sur la carte à puce, mais elle assure numériques – a répondu aux objectifs et aux teur est identifié aussi bien par sa carte que aussi la vérification de l’empreinte digitale, contraintes de ce projet mobilité. Reste que par ses empreintes digitales. La première ne directement sur cette dernière. la technologie ne fait pas tout. La structure fonctionne que si elle est combinée aux organisationnelle à mettre en place pour secondes. L’ensemble offre ainsi une preuve La réponse au challenge soutenir la technologie, pour assurer la irréfutable de l’identité de la personne. technologique gestion des identités, s’est, ainsi, révélé être Les technologies biométriques, à commen- un des défis majeurs posés par le projet. Pourquoi une carte à puce? cer par Match On Card, ont clairement un Le résultat, c’est une entité, dont la mission La carte à puce présente l’avantage d’être aspect avant-gardiste, notamment sur les est de gérer l’ensemble des processus qui une solution dynamique, évolutive. Elle laptops. Le développement mené dans cette gravitent autour du système biométrique: permet, en effet, de stocker des identités banque a, cependant, démontré qu’il est enregistrement des utilisateurs, gestion de numériques (certificat digital). Ce qui ouvre technologiquement possible de mettre en l’oubli ou de la perte de la carte à puce, etc. la porte à un grand nombre d’applications œuvre un système d’authentification forte, Cette entité constitue un des piliers de la comme la signature électronique, le chiffre- basé sur la biométrie et l’utilisation des cer- réussite du projet. n S.M. MAI - JUIN 2009 B&F 63

×