Article Banque et Finance Novembre 2007

1. SOLUTIONS BANCAIRES
AUTHENTIFICATION FORTE
Usurper une identité?
Impossible avec la biométrie!
Confidentialité et sécurité. Pour les banques privées, il ne s’agit pas là de vains mots. Mais
bien des fondements de leur réputation, de la confiance que leur accordent leurs clients et,
partant, de leur croissance. Reste que la sécurité et la confidentialité ne doivent pas empêcher
l’efficacité, la compétitivité. Bien au contraire. Plongée au cœur du système mis sur pied par un
établissement bien connu sur la place financière genevoise.
Qu’est-ce que l’authentification
Sylvain MARET
forte?
CTO e-Xpert Solutions
Les méthodes classiques pour identifier une
Sylvain.maret@e-xpertsolutions.com
personne physique sont au nombre de
www.e-xpertsolutions.com
quatre:
1. Quelque chose que l’on connaît: un mot
de passe ou un PIN code;
2. Quelque chose que l’on possède: un
«token», une carte à puce, etc.;
C
omment concilier qualité 3. Quelque chose que l’on est: un attribut
des prestations et intégrité biométrique, tel qu’une empreinte digi-
d’informations généralement tale;
très sensibles? Comment 4. Quelque chose que l’on fait: une action
améliorer la rapidité de cer- comme la parole ou une signature
taines tâches grâce à l’informatique, sans manuscrite.
risquer de voir des données, relatives aussi On parle d’authentification forte dès que
bien à la clientèle qu’aux différentes activi- deux de ces méthodes sont utilisées
tés de la société, tomber entre de «mau- ensemble. Par exemple une carte à puce
vaises» mains? avec un PIN code.
Objectif du projet Pourquoi cette méthode plutôt La technologie Match On Card permet le stoc-
Pour offrir des services toujours plus perfor- qu’une autre? kage d’informations biométriques sur la carte
mants à une clientèle exigeante et, partant, Le mot de passe? Il s’agit là du système le à puce.
renforcer sa position face à la concurrence, plus couramment retenu pour reconnaître
une banque privée s’est intéressée à la un utilisateur. Il s’avère toutefois que celui- marché. Celles de type «One Time Password»
manière qu’elle avait de garantir un accès ci n’offre pas un niveau de sécurité optimal. (Style SecurID), les cartes à puces et «token»
hautement sécurisé à ses données sensibles. Qu’il ne permet pas d’assurer une protec- USB cryptographiques ou encore la biomé-
De s’assurer que seules les personnes autori- tion efficace de biens informatiques sen- trie. C’est cette dernière qui a été retenue
sées puissent les consulter. Si l’authentifica- sibles. Sa principale faiblesse réside dans la dans le cas qui nous intéresse. Avant tout
tion forte s’est rapidement imposée comme facilité avec laquelle il peut être identifié. Au pour répondre à une exigence fondamentale
la solution à retenir, restait encore à définir le nombre des techniques d’attaques desti- posée par le client. A savoir, garantir, de
système le plus approprié. A déterminer le nées à briser un mot de passe, on peut citer manière irréfutable, l’identité de l’utilisateur
dispositif à même d’apporter la preuve irré- l’écoute du clavier par le biais d’un logiciel et rendre le système impossible à manipuler
futable que l’utilisateur est bien le «bon», malveillant (Key Logger) ou plus simple- par une tierce personne.
qu’il est celui habilité à connaître et manier ment encore, un Key Logger Hardware.
les informations concernées. En d’autres Quel système de biométrie pour
termes, qu’il n’utilise pas le moyen d’authen- Quelle technologie choisir? le monde IT?
tification d’un autre ou qu’il ne prête pas le Un grand nombre de technologies d’authen- Lecture de l’iris, de la rétine, reconnaissance
sien à un collègue. tification forte sont disponibles sur le faciale ou vocale, empreinte digitale. Quand
NOVEMBRE - DÉCEMBRE 2007 B&F 59

2. SOLUTIONS BANCAIRES SÉCURITÉ
on parle de biométrie, différentes options ment de données, la sécurisation de la mes- ment sur la carte à puce. A recourir à une
sont envisageables. Le choix final a été guidé sagerie et bien évidemment, l’authentifica- technologie qui rend le détenteur de la
par le souci de trouver un compromis entre tion forte des utilisateurs. Le recours aux carte seul propriétaire de ses données bio-
le niveau de sécurité (fiabilité) de la solution, certificats digitaux constitue dès lors une métriques.
son prix et sa facilité d’utilisation. Cette der- base très solide pour construire la sécurité
nière contrainte était d’ailleurs une des prin- d’un système d’information. Par ailleurs, la Technologie Match On Card
cipales clés du succès. L’adhésion des utili- carte à puce pave la voie vers d’autres utili- La technologie Match On Card répond par-
sateurs était, en effet, indispensable. Et celle- sations potentielles, telles que le contrôle faitement à la problématique posée. Non
ci passait par la simplicité de fonctionne- d’accès aux bâtiments (badge de proximité seulement, elle permet le stockage d’infor-
ment, par la convivialité du dispositif. Le – RFID), le porte-monnaie électronique, etc. mations biométriques sur la carte à puce
lecteur d’empreinte digitale s’est alors mais elle assure aussi la vérification de
imposé assez naturellement. Biométrie: où stocker l’empreinte digitale, directement sur cette
les données? dernière. Donnant ainsi aux utilisateurs un
Qu’en est-il de la sécurité? La biométrie pose la question du stockage contrôle total sur les données les concer-
La biométrie peut-elle être considérée des informations relatives aux utilisateurs. nant. Cette approche a le mérite de susciter
comme un moyen d’authentification forte? Il s’agit là d’une question extrêmement sen- la confiance des personnes amenées à avoir
La réponse est clairement non. Le recours à sible. Nombreux sont en effet ceux qui, à recours au système. Elle répond, de plus,
cette technique comme seul facteur d’au- juste titre, s’interrogent sur l’usage qui est aux recommandations de Loi fédérale sur la
thentification constitue certes une protection des données (LPD
solution «confortable» pour les uti- 235.1) et de la CNIL (Commission
lisateurs. Il n’en demeure pas nationale de l’informatique et
moins qu’elle n’offre pas des garan- des libertés) en France.
ties de sécurité suffisamment
solides. Diverses études ont en Retour d’expérience
effet montré qu’il est possible de Les technologies biométriques, à
falsifier assez aisément les sys- commencer par Match On Card,
tèmes biométriques actuels. Leur ont clairement un aspect avant-
utilisation croissante par les entre- gardiste. Le développement,
prises et les gouvernements, mené dans cette banque privée
notamment aux Etats-Unis, ne fait genevoise, a toutefois démontré
en outre que renforcer la détermi- qu’il est technologiquement pos-
nation des hackers à en identifier sible de mettre en œuvre un
les failles. C’est un des paradoxes système d’authentification forte
de la biométrie. basé sur la biométrie pour
Dès lors, il est judicieux de la assurer une protection optimale
coupler à un second dispositif de l’accès à des données extrê-
d’authentification forte. Dans le mement sensibles.
cadre de ce projet, un support de Reste que la technologie ne fait
type carte à puce a été retenu. pas tout. La structure organisa-
Concrètement, l’utilisateur est tionnelle à mettre en place pour
identifié aussi bien par sa carte soutenir la technologie, pour
que par ses caractéristiques phy- assurer la gestion des identités,
siques (empreinte digitale, en l’oc- s’est ainsi révélée être un des
currence). La première ne fonc- défis majeurs posés par le projet.
tionne que si elle est combinée aux Le résultat, c’est une entité spéci-
secondes. L’ensemble offre ainsi fique, dont la mission est de gérer
Le couplage carte à puce biométrie assure une sécurité optimale.
une preuve irréfutable de l’identité l’ensemble des processus qui gra-
de la personne. vitent autour du système biomé-
fait des données les concernant. Où celles-ci trique: enregistrement des utilisateurs, ges-
Pourquoi une carte à puce? vont-elles être conservées? Qui y aura tion de l’oubli ou de la perte de la carte à
La carte à puce présente l’avantage d’être accès? L’information numérique permet-elle puce, formation des utilisateurs, etc. Cette
une solution dynamique, évolutive. Elle de reconstituer une empreinte digitale? Les entité constitue un des piliers de la réussite
permet en effet de stocker des identités réticences face à ce procédé sont réelles. du projet. L’authentification forte n’aurait, en
numériques (certificat digital). Ce qui ouvre Pour surmonter cet obstacle non négli- effet, pas pu déployer tous ses effets sans la
la porte à un grand nombre d’applications geable à l’acceptation d’une telle solution mise en place, en interne, de cette nouvelle
comme la signature électronique de docu- par les utilisateurs, la formule choisie structure. ■
ments, l’intégrité de transactions, le chiffre- consiste à stocker les informations directe- S.M.
60 B&F NOVEMBRE - DÉCEMBRE 2007