Comment concilier facilité d’utilisation et sécurité?

1. SOLUTIONS BANCAIRES
BIOMÉTRIE ET MOBILITÉ
Comment concilier facilité
d’utilisation et sécurité?
Mobilité et sécurité. Pour les banques, il ne s’agit pas là de vains mots, mais bien des
fondements de leur mode de fonctionnement dans un monde de plus en plus compétitif.
Reste que la sécurité et la mobilité ne doivent pas se construire au détriment de l’utilisateur,
de son confort. Une solution informatique qui garantirait les premières sans se soucier
du second aurait, en effet, de fortes chances d’être rejetée par ce dernier. Le projet Mobilité,
mené par un établissement sur la place financière genevoise, apporte la preuve que mobilité,
sécurité et confort d’utilisation ne sont pas incompatibles.
laptop, un VPN pour accéder à la banque
Sylvain MARET par Internet, une authentification unique
CEO MARET Consulting pour accéder au compte Microsoft et aux
applications bancaires (application web).
Nous voilà au cœur du challenge technolo-
gique. Trouver un mécanisme d’authentifi-
cation forte, simple à utiliser et capable
C
omment améliorer le confort
des utilisateurs sans com- d’être associé aux technologies de sécurité.
promettre la sécurité? Bien Avant de définir plus avant ce mécanisme,
souvent les mécanismes de expliquons ce qu’est l’authentification forte
sécurité informatique sont et pourquoi l’utiliser.
mis en place au détriment du confort de
l’utilisateur. Celui-ci se retrouve alors avec Qu’est-ce que l’authentification
un outil de travail qui présente de fortes La solution d’identification forte adoptée com- forte?
contraintes. Le système est compliqué et prend une lecture biométrique des emprein- Les méthodes classiques pour identifier une
lent. Il nécessite plusieurs mots de passe, tes digitales, couplée à une carte à puce. personne physique sont au nombre de trois:
l’utilisation d’un «Token» de type SecurID. 1. quelque chose que l’on connaît: un PIN
Bref, la solution n’est pas vraiment utili- aux applications informatiques et les Code, etc.
sable. Mais elle est «secure»… contraintes de sécurité. Dans le cadre de cet 2. quelque chose que l’on possède: une
article, nous allons nous focaliser sur cer- carte à puce, etc.
Objectif du projet taines d’entre elles: 3. quelque chose que l’on est: une empreinte
Dans le cadre du projet présenté ici, l’objec- • les données sur le laptop doivent rester digitale, etc.
tif était de repenser la mobilité, de sorte à confidentielles; On parle d’authentification forte dès que
offrir un outil de travail simple. Pour cela, • l’accès à la banque doit se faire par le deux de ces méthodes sont utilisées
nous avons remis les compteurs à zéro, biais d’Internet; ensemble. Par exemple, une carte à puce et
nous sommes partis d’une feuille blanche. • la procédure d’authentification doit être un PIN code.
Avec l’idée de proposer aux collaborateurs simple;
de la banque un nouveau laptop qu’ils puis- • une seule authentification doit être Pourquoi cette méthode plutôt
sent utiliser lors de leurs voyages via Inter - demandée. qu’une autre?
net. Comment faire? Comment concilier sim- Si l’authentification forte s’est rapidement Le mot de passe. Il s’agit là du système le
plicité d’utilisation et fortes contraintes de imposée comme la solution à retenir, restait plus couramment retenu pour reconnaître
sécurité? Est-ce la quadrature du cercle? encore à définir le système le plus appro- un utilisateur. Il s’avère, toutefois, qu’il ne
Avant de répondre à cette question, énumé- prié. A déterminer le dispositif à même d’ap- permet pas d’assurer une protection effi-
rons de façon plus précise les contraintes porter sécurité et confort, tout en intégrant cace de biens informatiques sensibles. Sa
auxquelles il fallait faire face. Elles sont de les technologies utilisées pour ce projet. A principale faiblesse réside dans la facilité
deux natures: les contraintes pour l’accès savoir, une technologie de chiffrement du avec laquelle il peut être identifié.
62 B&F MAI - JUIN 2009

2. BIOMÉTRIE ET MOBILITÉ
Quelle technologie choisir?
© SERGIY SERDYUK - FOTOLIA.COM
Un grand nombre de technologies d’authen-
tification forte sont disponibles sur le
marché. Celles de type «One Time Pass-
word» (Style SecurID), les cartes à puces ou
encore la biométrie. C’est cette dernière qui
a été retenue dans le cas qui nous intéresse.
Avant tout pour répondre à une exigence
fondamentale posée par le client. A savoir,
garantir la facilité d’utilisation.
Quel système de biométrie pour
la mobilité?
Lecture de l’iris, reconnaissance faciale,
empreinte digitale. Quand on parle de bio-
métrie, différentes options sont envisa-
geables. Le choix final a été guidé par le Une solution de mobilité alliant sécurité et confort d’utilisation.
souci de trouver un compromis entre le
niveau de sécurité de la solution, son prix et ment et, bien évidemment, l’authentifica- tificats numérique pour assurer aussi bien
sa facilité d’utilisation. De plus, la plupart tion forte des utilisateurs. une protection optimale qu’un grand
des nouveaux laptops possèdent mainte- confort pour les utilisateurs. Cette solution
nant un lecteur biométrique. C’est surtout Biométrie: où stocker a répondu aux contraintes technologiques
là que résidait une des principales clés du les données? imposées par le projet. L’authentification
succès. L’adhésion des utilisateurs était, en La biométrie pose la question du stockage unique est réalisée par le biais de la biomé-
effet, indispensable. Et celle-ci passait par la des informations relatives aux utilisateurs. trie, la sécurisation du VPN est réalisée
simplicité de fonctionnement, par la convi- Il s’agit là d’une question extrêmement sen- grâce à un certificat numérique de type
vialité du dispositif. sible. Nombreux sont, en effet, ceux qui, à machine, stocké dans une puce cryptogra-
juste titre, s’interrogent sur l’usage qui est phique (TPM) embarquée sur le laptop.
Qu’en est-il de la sécurité? fait des données les concernant. Où celles-ci Dans le cadre de ce projet, une contrainte
La biométrie peut-elle être considérée vont-elles être conservées? Les réticences n’a toutefois pas pu être respectée. A savoir,
comme un moyen d’authentification forte? face à ce procédé sont réelles. Pour sur- utiliser la biométrie de type Match on Card
La réponse est clairement non. Le recours à monter cet obstacle non négligeable à pour le chiffrement du laptop. En raison de
cette technique comme seul facteur d’au- l’acceptation d’une telle solution par les son côté avant-gardiste, cette technologie
thentification constitue certes une solution utilisateurs, la formule choisie consiste à n’est, en effet, pas compatible avec les prin-
«confortable» pour les utilisateurs. Il n’en stocker les informations directement sur la cipales solutions de chiffrement des dis-
demeure pas moins qu’elle n’offre pas des carte à puce. A recourir à une technologie ques. C’est le prochain challenge à relever
garanties de sécurité suffisamment solides. qui rend le détenteur de la carte seul pro- pour la phase 2 de ce projet. D’ici fin 2009, il
Diverses études ont, en effet, montré qu’il priétaire de ses données biométriques. devrait ainsi être possible d’intégrer cette
est possible de falsifier assez aisément les technologie à une solution de chiffrement.
systèmes biométriques actuels. Dès lors, il Technologie Match On Card
est judicieux de la coupler à un second Cette technologie répond parfaitement à la Retour d’expérience
dispositif d’authentification forte. Dans le problématique posée. Non seulement, elle La technologie mise en place – biométrie
cadre de ce projet, un support de type carte permet le stockage d’informations biomé- Match On Card et utilisation des certificats
à puce a été retenu. Concrètement, l’utilisa- triques sur la carte à puce, mais elle assure numériques – a répondu aux objectifs et aux
teur est identifié aussi bien par sa carte que aussi la vérification de l’empreinte digitale, contraintes de ce projet mobilité. Reste que
par ses empreintes digitales. La première ne directement sur cette dernière. la technologie ne fait pas tout. La structure
fonctionne que si elle est combinée aux organisationnelle à mettre en place pour
secondes. L’ensemble offre ainsi une preuve La réponse au challenge soutenir la technologie, pour assurer la
irréfutable de l’identité de la personne. technologique gestion des identités, s’est, ainsi, révélé être
Les technologies biométriques, à commen- un des défis majeurs posés par le projet.
Pourquoi une carte à puce? cer par Match On Card, ont clairement un Le résultat, c’est une entité, dont la mission
La carte à puce présente l’avantage d’être aspect avant-gardiste, notamment sur les est de gérer l’ensemble des processus qui
une solution dynamique, évolutive. Elle laptops. Le développement mené dans cette gravitent autour du système biométrique:
permet, en effet, de stocker des identités banque a, cependant, démontré qu’il est enregistrement des utilisateurs, gestion de
numériques (certificat digital). Ce qui ouvre technologiquement possible de mettre en l’oubli ou de la perte de la carte à puce, etc.
la porte à un grand nombre d’applications œuvre un système d’authentification forte, Cette entité constitue un des piliers de la
comme la signature électronique, le chiffre- basé sur la biométrie et l’utilisation des cer- réussite du projet. n S.M.
MAI - JUIN 2009 B&F 63