La solution d'identification forte adoptée comprend une lecture biométrique des empreintes digitales, couplée à une carte a puce.

1. SOLUTIONS BANCAIRES
BIOMETRIE ET MOBILITE
Comment concilier facilite
d'utilisation et securite?
Mobitite et securite. Pour les banques, il ne s'agit pas la de vains mots, mais bien des
fondements de leur mode de fonctionnement dans un monde de plus en plus competitlf.
Reste que la securite et la mobiltte ne doivent pas se construire au detriment de I'utilisateur,
de son confort. Une solution informatique qui garantirait les premieres sans se soucier
du second aurait, en effet, de fortes chances d'etre reietee par ce dernier. Le projet Mobilite,
mene par un etabllssement sur la place financiere genevoise, apporte la preuve que rnobilite,
securite et confort d'utilisation ne sont pas incompatibles.
laptop, un VPN pour acceder a la ban que
Sylvain MARET par Internet, une authentification unique
CEOMARET Consulting pour acceder au compte Microsoft et aux
applications bancaires (application web).
Nous voila au cceur du challenge technolo-
gique. Trouver un mecanisme d'authentifi-
omment ameliorer Ie con fort cation forte, simple a utiliser et capable
C des utilisateurs sans com- d'etre associe aux technologies de securite.
promettre la securite? Bien Avant de definir plus avant ce mecanisme,
souvent les mecanismes de expliquons ce qu'est l'authentification forte
securite informatique sont et pourquoi I'utiliser.
mis en place au detriment du confort de
Qu'est-ce que I'authentification
l'utilisateur. Celui-ci se retrouve alors avec
forte?
un outil de travail qui presente de fortes La solution d'identification forte adoptee com-
prend une lecture biometriaue des emprein-
contraintes. Le systerne est cornplique et Les methodes classiques pour identifier une
tes digiteles, couotee a une carte a puce.
lent. II necessite plusieurs mots de passe, personne physique sont au nombre de trois:
l'utilisation d'un «Token» de type SecurID. 1.quelque chose que l'on connait: un PIN
Bref, la solution n'est pas vraiment utili- Code, etc.
a.u~ applications informatiques et les
sable. Mais elle est «secure» ... 2. quelque chose que l'on possede: une
contraintes de securite. Dans Ie cadre de cet
carte a puce, etc.
article, nous allons nous focaliser sur cer-
Objectif du projet 3. quelque chose que l'on est: une empreinte
taines d'entre elles:
Dans Ie cadre du projet presente ici, l'objec- digitale, etc.
• les donnees sur Ie laptop doivent rester
tit etait de repenser la rnobilite, de sorte a On parle d'authentification forte des que
confidentieIles;
offrir un outil de travail simple. Pour cela, deux de ces methodes sont utilisees
• l'acces a la ban que doit se faire par Ie
nous avons remis les compteurs a zero, ensemble. Par exemple, une carte a puce et
biais d'Internet;
nous sommes partis d'une feuille blanche. un PIN code.
• la procedure d'authentification doit etre
Avec l'idee de proposer aux collaborateurs simple;
Pourquoi cette methode plutot
de la banque un nouveau laptop qu'ils puis- • une seule authentification doit etre
qu'une autre?
sent utiliser lors de leurs voyages via Inter- demandee,
net. Comment faire? Comment concilier sim- Le mot de passe. II s'agit la du systerne Ie
Si l'authentification forte s'est rapidement
plus couramment retenu pour reconnaitre
plicite d'utilisation et fortes contraintes de imposee comme la solution a retenir, restait
un utilisateur. II s'avere, toutefois, qu'il ne
securite? Est-ce la quadrature du cercle? encore a definir Ie systeme Ie plus appro-
Avant de repondre a cette question, enume- permet pas d'assurer une protection effi-
prie. A determiner Ie dispositif a meme d'ap-
rons de facon plus precise les contraintes cace de biens informatiques sensibles. Sa
porter securite et con fort, tout en integrant
auxquelles il fallait faire face. Elles sont de les technologies utilisees pour ce projet. A principale faiblesse reside dans la Iacilite
deux natures: les contraintes pour l'acces avec laquelle il peut etre identifie.
savoir, une technologie de chiffrement du
J
62 I B&F 2009
MAl - IN

2. BIOMETRIE ET MOBILITE
Quelle technologie choisir?
Un grand nombre de technologies d'authen-
tification forte sont disponibles sur Ie
marche. Celles de type quot;One Time Pass-
word» (Style SecurlD), les cartes a puces ou
encore la biornetrie. C'est cette derniere qui
a He retenue dans Ie cas qui nous interesse.
Avant tout pour repondre a une exigence
fondamentale posee par Ie client. A savoir,
garantir la Iacilite d'utilisation.
Quel systerne de blornetrle pour
la rnoblllte?
Lecture de l'iris, reconnaissance faciale,
empreinte digitale. Quand on parle de bio-
metrie, differentes options sont envisa-
mooittte alliant securite et contort d'utilisation.
Une solution de
geables. Le choix final a ete guide par Ie
souci de trouver un compromis entre Ie
niveau de securite de la solution, son prix et tificats numerique pour assurer aussi bien
ment et, bien evidemrnent, I'authentifica-
sa facilite d'utilisation. De plus, la plupart une protection optimale qu'un grand
tion forte des utilisateurs.
des nouveaux laptops possedent mainte- confort pour les utilisateurs. Cette solution
Blometrle: ou stocker
nant un lecteur biometrique. C'est surtout a repondu aux contraintes technologiques
les donnees?
la que residait une des principales cles du irnposees par Ie projet. L'authentification
succes. L'adhesion des utilisateurs etait, en unique est realisee par Ie biais de la biome-
La biornetrie pose la question du stockage
effet, indispensable. Et celle-ci passait par la des informations relatives aux utilisateurs. trie, la securisation du VPN est realisee
simplicite de fonctionnement, par la convi- II s'agit la d'une question extrernernent sen- grace a un certificat numerique de type
vialite du dispositif. sible. Nombreux sont, en effet, ceux qui, a machine, stocke dans une puce cryptogra-
juste titre, s'interrogent sur I'usage qui est phique (TPM) ernbarquee sur Ie laptop.
fait des donnees les concernant. au celles-ci
Qu'en est-il de la securlte? Dans Ie cadre de ce projet, une contrainte
La biometrie peut-elle etre consideree vont-elles etre conservees? Les reticences n'a toutefois pas pu etre respectee. A savoir,
comme un moyen d'authentification forte? face a ce precede sont reelles. Pour sur- utiliser la biometrie de type Match on Card
La reponse est c1airement non. Le recours a monter cet obstacle non negligeable a pour Ie chiffrement du laptop. En raison de
cette technique comme seul facteur d'au- I'acceptation d'une telle solution par les son cote avant-gardiste, cette technologie
thentification constitue certes une solution n'est, en effet, pas compatible avec les prin-
utilisateurs, la formule choisie consiste a
«contortable» pour les utilisateurs. II n'en cipales solutions de chiffrement des dis-
stocker les informations directement sur la
demeure pas moins qu'elle n'offre pas des ques. C'est Ie prochain challenge a relever
carte a puce. A recourir a une technologie
pour la phase 2 de ce projet. D'ici fin 2009, il
garanties de securite suffisamment solides. qui rend Ie detenteur de la carte seul pro-
Diverses etudes ont, en effet, montre qu'il devrait ainsi etre possible d'integrer cette
prietaire de ses donnees biornetriques.
est possible de falsifier assez aisernent les technologie a une solution de chiffrement.
Technologie Match On Card
systernes biornetriques actuels. Des lors, iI
Retour d'experlence
est judicieux de la coupler a un second Cette technologie repond parfaitement a la
dispositif d'authentification forte. Dans Ie problernatique posee. Non seulement, elle La technologie mise en place - blometrie
cadre de ce projet, un support de type carte permet Ie stockage d'informations biorne- Match On Card et utilisation des certificats
a puce a ete retenu. Concreternent, I'utilisa- triques sur la carte a puce, mais elle assure nurneriques - a repondu aux objectifs et aux
teur est identifie aussi bien par sa carte que aussi la verification de I'empreinte digitale, contraintes de ce projet mobilite. Reste que
par ses empreintes digitales. La premiere ne directement sur cette derniere. la technologie ne fait pas tout. La structure
fonctionne que si elle est combinee aux organisationnelle a mettre en place pour
La reponse au challenge
secondes. L'ensemble offre ainsi une preuve soutenir la techno logie, pour assurer la
technologique
irrefutable de l'identite de la personne. gestion des identites, s'est, ainsi, revele etre
un des defis majeurs poses par Ie projet.
Les technologies biometriques, a commen-
a puce?
Pourquoi une carte cer par Match On Card, ont c1airement un Le resultat, c'est une entite, dont la mission
La carte a puce presente I'avantage d'etre est de gerer I'ensemble des processus qui
aspect avant-gardiste, notamment sur les
une solution dynamique, evolutive. Elle gravitent autour du systerne biornetrique:
laptops. Le developpernent mene dans cette
permet, en effet, de stocker des identites enregistrement des utilisateurs, gestion de
banque a, cependant, dernontre qu'il est
numeriques (certificat digital). Ce qui ouvre I'oubli ou de la perte de la carte a puce, etc.
technologiquement possible de mettre en
la porte a un grand nombre d'applications oeuvre un systeme d'authentification forte, Cette entite constitue un des piliers de la
comme la signature electronique, Ie chiffre- reusslte du projet. •
base sur la biometrie et I'utilisation des cer- SM.
J B&F I 63
2009
MAl - IN