Utilisation de la
biométrie dans le
cadre d’un projet
Mobilité


Le retour d'expérience d'une banque privée
pour lier sécu...
biais d’Internet                                   comme la parole ou une signature
• La procédure d’authentification doit...
le niveau de sécurité (fiabilité) de la solution,   fonctionne que si elle est combinée aux
son prix et sa facilité d’util...
Pour surmonter cet obstacle à l’acceptation      Module) embarquée sur le laptop.
d’une telle solution par les utilisateur...
Prochain SlideShare
Chargement dans…5
×

Utilisation de la biométrie dans le cadre d’un projet Mobilité

435 vues

Publié le

Le retour d'expérience d'une banque privée pour lier sécurité, mobilité et confort des utilisateurs.

Publié dans : Technologie, Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
435
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
5
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Utilisation de la biométrie dans le cadre d’un projet Mobilité

  1. 1. Utilisation de la biométrie dans le cadre d’un projet Mobilité Le retour d'expérience d'une banque privée pour lier sécurité, mobilité et confort des utilisateurs. Capteur Biométrique de type « Swipe » Mobilité et sécurité : pour les banques privées, il ne s’agit pas là de vains mots, mais des fondements même de leur mode Objectif du projet de fonctionnement dans un monde toujours Dans le cadre du projet présenté ici, l’objectif plus compétitif. Il reste que la sécurité et la était de repenser la mobilité de sorte à offrir mobilité ne doivent pas se faire au détriment un outil de travail réellement simple. Pour de l’utilisateur et de son confort. cela, nous avons remis les compteurs à zéro, nous sommes parti d’une feuille Une solution informatique qui garantirait les blanche. Avec l’idée de proposer aux premières sans se soucier du second aurait collaborateurs de la banque un nouveau en effet de fortes chances d’être rejetée par laptop qu’ils puissent utiliser lors de leurs les utilisateurs. voyages, depuis la maison, un hôtel ou ailleurs, via Internet. Trop souvent pourtant les mécanismes de sécurité informatique sont mis en place au Comment faire ? Comment concilier détriment du confort de l’utilisateur. Celui-ci simplicité d’utilisation et fortes contraintes se retrouve alors avec un outil de travail qui de sécurité ? Est-ce la quadrature du cercle présente de fortes contraintes. Le système ? Avant de répondre à cette question, est compliqué, le système est lent. Il énumérons de façon plus précise les nécessite plusieurs mots de passe, ou contraintes auxquelles il fallait faire face. l’utilisation d’un « Token » de type SecurID Elles sont de deux nature : les contraintes ou autre. Bref, la solution n’est pas simple à pour l’accès aux applications informatiques à utiliser. Mais elle est quot;secure securequot;… secure disposition des utilisateurs et les contraintes de sécurité. Dans le cadre de cet article, C'est pourtant un écueil qu'il est possible nous allons nous focaliser sur certaines d'éviter : le projet Mobilité mené par un d’entre elles. établissement bien connu sur la place financière genevoise apporte la preuve que • Les données sur le laptop doivent rester mobilité, sécurité et confort d’utilisation ne confidentielles sont pas incompatibles. • L’accès à la banque doit se faire par le Sylvain Maret CEO MARET Consulting, mars 2009
  2. 2. biais d’Internet comme la parole ou une signature • La procédure d’authentification doit être manuscrite. simple • Idéalement, une seule authentification doit On parle d’authentification forte dès que être demandée deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce et Si l’authentification forte s’est rapidement un PIN code. imposée comme la solution à retenir, restait encore à définir le système le plus Pourquoi cette méthode plutôt qu’une autre? plutôt approprié. A déterminer le dispositif à même d’apporter sécurité et confort, tout en Le mot de passe. Il s’agit là du système le intégrant les technologies utilisées pour ce plus couramment retenu pour reconnaître projet. A savoir une technologie de un utilisateur. Il s’avère toutefois que celui-ci chiffrement complet du disque dur du laptop, n’offre pas un niveau de sécurité optimal. une technologie de type VPN (Virtual Private Qu’il ne permet pas d’assurer une protection Network) pour accéder à la banque par efficace de biens informatiques sensibles. Internet, une authentification de type Single Sign On pour accéder au compte Microsoft et Sa principale faiblesse réside dans la facilité une technologie de type Web Single Sign On avec laquelle il peut être identifié. Au (authentification unique) pour accéder aux nombre des techniques d’attaques destinées applications. à briser un mot de passe, on peut citer l’écoute du clavier par le biais d’un logiciel Nous voilà au cœur du challenge malveillant (keylogger) ou plus simplement technologique. Trouver un mécanisme encore, un keylogger matériel placé entre le d’authentification forte, simple à utiliser et clavier et l'unité centrale. capable d’être associé aux technologies de sécurité (Chiffrement, VPN, Authentification Quelle technologie choisir? Microsoft et Web Single Sign On). Un grand nombre de technologies Mais avant de définir plus avant ce d’authentification forte sont disponibles sur mécanisme, expliquons ce qu’est le marché. Celles de type «One Time l’authentification forte et pourquoi l’utiliser. Password» (par exemple SecurID), les cartes à puces et «token» USB cryptographiques ou Qu’est- Qu’est-ce que l’authentification forte? encore la biométrie. C’est cette dernière qui Les méthodes classiques pour identifier une a été retenue dans le cas qui nous intéresse. personne physique sont au nombre de Avant tout pour répondre à une exigence quatre : fondamentale posée par le client : garantir la facilité d’utilisation. 1. Quelque chose que l’on connaît: un mot de Quel système de biométrie pour la mobilité ? passe ou un PIN code; 2. Quelque chose que l’on possède: un Lecture de l’iris, de la rétine, reconnaissance «token», une carte à puce, etc.; faciale ou vocale, empreinte digitale. Quand 3. Quelque chose que l’on est: un attribut on parle de biométrie, différentes options biométrique, tel qu’une empreinte digitale; sont envisageables. Le choix final a été guidé 4. Quelque chose que l’on fait: une action par le souci de trouver un compromis entre Sylvain Maret CEO MARET Consulting, mars 2009
  3. 3. le niveau de sécurité (fiabilité) de la solution, fonctionne que si elle est combinée aux son prix et sa facilité d’utilisation. secondes. L’ensemble offre ainsi une preuve irréfutable de l’identité de la personne. C’est surtout là que résidait une des principales clés du succès. L’adhésion des Pourquoi une carte à puce? utilisateurs était en effet indispensable. Et celle ci passait par la simplicité de La carte à puce présente l’avantage d’être fonctionnement, par la convivialité du une solution dynamique, évolutive. Elle dispositif. Le lecteur d’empreinte digitale permet en effet de stocker des identités s’est alors imposé assez naturellement, et numériques (via un certificat). Ce qui ouvre la entre autre parce que la plupart des porte à un grand nombre d’applications ordinateurs portables récents sont comme la signature électronique de désormais équipés d'un tel lecteur. documents, l’intégrité de transactions, le chiffrement de données et bien évidemment est- l’authentification forte des utilisateurs. Les Qu’en est-il de la sécurité? certificats numériques constituent dès lors La biométrie peut-elle être considérée une base très solide pour construire la comme un moyen d’authentification forte? sécurité d’une solution de mobilité. La réponse est clairement non. Le recours à cette technique comme seul facteur d’authentification constitue certes une solution «confortable» pour les utilisateurs. Mais il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment solides. Diverses études ont en effet montré qu’il est Carte à puce cryptographique possible de falsifier assez aisément les systèmes biométriques actuels. Leur utilisation croissante par les entreprises et Biométrie: où stocker les données? les gouvernements, notamment aux Etats- Unis, ne fait en outre que renforcer la La biométrie pose la question du stockage détermination des hackers à en identifier les des informations relatives aux utilisateurs. failles. C’est un des paradoxes de la biométrie. Il s’agit là d’une question extrêmement sensible. Nombreux sont en effet ceux qui, à Dès lors, il est judicieux de la coupler à un juste titre, s’interrogent sur l’usage qui est second dispositif d’authentification forte. fait des données les concernant. Dans le cadre de ce projet, un support de Où celles-ci vont-elles être conservées? Qui type carte à puce a été retenu. y aura accès? L’information numérique permet-elle de reconstituer une empreinte Concrètement, l’utilisateur est identifié aussi digitale? Les réticences face à ce procédé bien par sa carte que par ses sont réelles. caractéristiques physiques (empreinte digitale, en l’occurrence). La première ne Sylvain Maret CEO MARET Consulting, mars 2009
  4. 4. Pour surmonter cet obstacle à l’acceptation Module) embarquée sur le laptop. d’une telle solution par les utilisateurs, la formule choisie consiste à stocker les Dans le cadre de ce projet une contrainte n’a informations directement sur la carte à puce. toutefois pas pu être respectée. A savoir, Le détenteur de la carte est ainsi le seul utiliser la biométrie de type match-on-card propriétaire de ses données biométriques. pour le chiffrement complet du laptop. En raison de son côté avant-gardiste, cette L'approche de type match-on-card match-on- technologie n’est en effet pas compatible avec les principales solutions de chiffrement Baptisée match-on-card (quot;validation à même des disques (FDE, Full Disk Encryption). Ce la cartequot;), cette approche répond sera le défi à relever pour la phase 2 de ce parfaitement à la problématique posée. Non projet (fin 2009). Il devrait alors être possible seulement, elle permet le stockage d’intégrer la technologie match-on-card à d’informations biométriques sur la carte à une solution de chiffrement complète du puce, mais elle assure aussi la vérification disque. de l’empreinte digitale, directement sur cette dernière. Elle donne ainsi aux utilisateurs un Retour d’expérience contrôle total sur les données les concernant. Cette approche a le mérite de La technologie mise en place – biométrie de susciter la confiance des personnes type match-on-card et utilisation des amenées à avoir recours au système. certificats numériques – à répondu aux objectifs et aux contraintes de ce projet Mobilité. Mais la technologie ne fait pas tout : La réponse au challenge technologique la structure organisationnelle à mettre en Les technologies biométriques, à place pour soutenir la technique, et commencer par le match-on-card, ont notamment assurer la gestion des identités, clairement un aspect avant-gardiste, s’est ainsi révélée être un des défis majeurs notamment sur les laptop. Le posé par le projet. développement mené dans cette banque privée genevoise a cependant démontré qu’il Cela a abouti à la création d'une entité dont est technologiquement possible de mettre en la mission est de gérer l’ensemble des œuvre un système d’authentification forte processus qui gravitent autour du système basé sur la biométrie et sur l’utilisation biométrique : enregistrement des conjointe de certificats numériques afin utilisateurs, gestion de l’oubli ou de la perte d'assurer aussi bien une protection optimale de la carte à puce, formation des utilisateurs, qu’un grand confort pour les utilisateurs. etc. Cette solution a, de fait, parfaitement répondu aux contraintes technologiques Cette entité constitue un des piliers de la imposées par le projet. réussite du projet. L’authentification unique est ainsi réalisée par le biais de la biométrie, la sécurisation Sylvain Maret de l’ouverture du VPN à travers Internet est prise en charge par un certificat numérique de type machine, stocké dans une puce cryptographique (TPM, Trusted Platform Sylvain Maret CEO MARET Consulting, mars 2009

×