C
omment concilier qualitédes prestations et intégritéd’informations généralementtrès sensibles? Commentaméliorer la rapidité de cer-taines tâches grâce à l’informatique, sansrisquer de voir des données, relatives aussibien à la clientèle qu’aux différentes activi-tés de la société, tomber entre de «mau-vaises» mains?
Objectif du projet
Pour offrir des services toujours plus perfor-mants à une clientèle exigeante et, partant,renforcer sa position face à la concurrence,une banque privée s’est intéressée à lamanière qu’elle avait de garantir un accèshautement sécurisé à ses données sensibles.De s’assurer que seules les personnes autori-sées puissent les consulter. Si l’authentifica-tion forte s’est rapidement imposée commela solution à retenir, restait encore à définir lesystème le plus approprié. A déterminer ledispositif à même d’apporter la preuve irré-futable que l’utilisateur est bien le «bon»,qu’il est celui habilité à connaître et manierles informations concernées. En d’autrestermes, qu’il n’utilise pas le moyen d’authen-tification d’un autre ou qu’il ne prête pas lesien à un collègue.
Qu’est-ce que l’authentificationforte?
Les méthodes classiques pour identifier unepersonne physique sont au nombre dequatre:1.Quelque chose que l’on connaît: un motde passe ou un PIN code;2.Quelque chose que l’on possède: un«token», une carte à puce, etc.;3.Quelque chose que l’on est: un attributbiométrique, tel qu’une empreinte digi-tale;4.Quelque chose que l’on fait: une actioncomme la parole ou une signaturemanuscrite.On parle d’authentification forte dès quedeux de ces méthodes sont utiliséesensemble. Par exemple une carte à puceavec un PIN code.
Pourquoi cette méthode plutôtqu’une autre?
Le mot de passe? Il s’agit là du système leplus couramment retenu pour reconnaîtreun utilisateur. Il s’avère toutefois que celui-ci n’offre pas un niveau de sécurité optimal.Qu’il ne permet pas d’assurer une protec-tion efficace de biens informatiques sen-sibles. Sa principale faiblesse réside dans lafacilité avec laquelle il peut être identifié. Aunombre des techniques d’attaques desti-nées à briser un mot de passe, on peut citerl’écoute du clavier par le biais d’un logicielmalveillant (Key Logger) ou plus simple-ment encore, un Key Logger Hardware.
Quelle technologie choisir?
Un grand nombre de technologies d’authen-tification forte sont disponibles sur lemarché. Celles de type «One Time Password»(Style SecurID), les cartes à puces et «token»USB cryptographiques ou encore la biomé-trie. C’est cette dernière qui a été retenuedans le cas qui nous intéresse. Avant toutpour répondre à une exigence fondamentaleposée par le client. A savoir, garantir, demanière irréfutable, l’identité de l’utilisateuret rendre le système impossible à manipulerpar une tierce personne.
Quel système de biométrie pourle monde IT?
Lecture de l’iris, de la rétine, reconnaissancefaciale ou vocale, empreinte digitale. Quand
N
OVEMBRE
- D
ÉCEMBRE
2007
B&F59
AUTHENTIFICATION FORTE
Usurper une identité?Impossible avec la biométrie!
Confidentialité et sécurité. Pour les banques privées,il ne s’agit pas là de vains mots. Maisbien des fondements de leur réputation,de la confiance que leur accordent leurs clients et,partant,de leur croissance. Reste que la sécurité et la confidentialité ne doivent pas empêcherl’efficacité,la compétitivité. Bien au contraire. Plongée au cœur du système mis sur pied par unétablissement bien connu sur la place financière genevoise.
Sylvain MARET
CTO e-Xpert Solutions Sylvain.maret@e-xpertsolutions.comwww.e-xpertsolutions.com
SOLUTIONS BANCAIRES
La technologie Match On Card permet le stoc- kage d’informations biométriques sur la carte à puce.
Leave a Comment