SOLUTIONS BANCAIRES

BIOMETRIE ET MOBILITE

Comment concilier facilite d'utilisation et securite?
pas la de vains mots, mais bien des fondements de leur mode de fonctionnement dans un monde de plus en plus competitlf. Reste que la securite et la mobiltte ne doivent pas se construire au detriment de I'utilisateur, de son confort. Une solution informatique qui garantirait les premieres sans se soucier du second aurait, en effet, de fortes chances d'etre reietee par ce dernier. Le projet Mobilite, mene par un etabllssement sur la place financiere genevoise, apporte la preuve que rnobilite, securite et confort d'utilisation ne sont pas incompatibles.
Sylvain MARET CEOMARET Consulting

Mobitite et securite. Pour les banques, il ne s'agit

C

omment ameliorer Ie con fort des utilisateurs sans compromettre la securite? Bien souvent les mecanismes de securite informatique sont mis en place au detriment du confort de l'utilisateur. Celui-ci se retrouve alors avec un outil de travail qui presente de fortes contraintes. Le systerne est cornplique et lent. II necessite plusieurs mots de passe, l'utilisation d'un «Token» de type SecurID. Bref, la solution n'est pas vraiment utilisable. Mais elle est «secure» ...

laptop, un VPN pour acceder a la ban que par Internet, une authentification unique pour acceder au compte Microsoft et aux applications bancaires (application web). Nous voila au cceur du challenge technologique. Trouver un mecanisme d'authentification forte, simple a utiliser et capable d'etre associe aux technologies de securite. Avant de definir plus avant ce mecanisme, expliquons ce qu'est l'authentification forte et pourquoi I'utiliser.

La solution d'identification forte adoptee comprend une lecture biometriaue des empreintes digiteles, couotee a une carte a puce.

Qu'est-ce forte?

que I'authentification

Objectif du projet
Dans Ie cadre du projet presente ici, l'objectit etait de repenser la rnobilite, de sorte a offrir un outil de travail simple. Pour cela, nous avons remis les compteurs a zero, nous sommes partis d'une feuille blanche. Avec l'idee de proposer aux collaborateurs de la banque un nouveau laptop qu'ils puissent utiliser lors de leurs voyages via Internet. Comment faire? Comment concilier simplicite d'utilisation et fortes contraintes de securite? Est-ce la quadrature du cercle? Avant de repondre a cette question, enumerons de facon plus precise les contraintes auxquelles il fallait faire face. Elles sont de deux natures: les contraintes pour l'acces

a.u~ applications informatiques et les contraintes de securite. Dans Ie cadre de cet article, nous allons nous focaliser sur certaines d'entre elles: • les donnees sur Ie laptop doivent rester confidentieIles; • l'acces a la ban que doit se faire par Ie biais d'Internet; • la procedure d'authentification doit etre simple; • une seule authentification doit etre
demandee,

Les methodes classiques pour identifier une personne physique sont au nombre de trois: 1.quelque chose que l'on connait: un PIN Code, etc. 2. quelque chose que l'on possede: une carte a puce, etc. 3. quelque chose que l'on est: une empreinte digitale, etc. On parle d'authentification forte des que deux de ces methodes sont utilisees ensemble. Par exemple, une carte a puce et un PIN code.

Pourquoi cette methode plutot qu'une autre?
Le mot de passe. II s'agit la du systerne Ie plus couramment retenu pour reconnaitre un utilisateur. II s'avere, toutefois, qu'il ne permet pas d'assurer une protection efficace de biens informatiques sensibles. Sa principale faiblesse reside dans la Iacilite avec laquelle il peut etre identifie.
MAl -

Si l'authentification forte s'est rapidement imposee comme la solution a retenir, restait encore a definir Ie systeme Ie plus approprie. A determiner Ie dispositif a meme d'apporter securite et con fort, tout en integrant les technologies utilisees pour ce projet. A savoir, une technologie de chiffrement du

62 I B&F

J

IN

2009

BIOMETRIE ET MOBILITE
Quelle technologie choisir?
Un grand nombre de technologies d'authentification forte sont disponibles sur Ie marche. Celles de type "One Time Password» (Style SecurlD), les cartes a puces ou encore la biornetrie. C'est cette derniere qui a He retenue dans Ie cas qui nous interesse. Avant tout pour repondre a une exigence fondamentale posee par Ie client. A savoir, garantir la Iacilite d'utilisation.

Quel systerne de blornetrle pour la rnoblllte?
Lecture de l'iris, reconnaissance faciale, empreinte digitale. Quand on parle de biometrie, differentes options sont envisageables. Le choix final a ete guide par Ie souci de trouver un compromis entre Ie niveau de securite de la solution, son prix et sa facilite d'utilisation. De plus, la plupart des nouveaux laptops possedent maintenant un lecteur biometrique. C'est surtout la que residait une des principales cles du succes. L'adhesion des utilisateurs etait, en effet, indispensable. Et celle-ci passait par la simplicite de fonctionnement, par la convivialite du dispositif.

Une solution de

mooittte

alliant securite et contort d'utilisation.

ment et, bien evidemrnent, tion forte des utilisateurs.

I'authentifica-

Blometrle: ou stocker
les donnees?
La biornetrie pose la question du stockage des informations relatives aux utilisateurs. II s'agit la d'une question extrernernent sensible. Nombreux sont, en effet, ceux qui, a juste titre, s'interrogent sur I'usage qui est fait des donnees les concernant. au celles-ci vont-elles etre conservees? Les reticences face a ce precede sont reelles. Pour surmonter cet obstacle non negligeable a I'acceptation d'une telle solution par les utilisateurs, la formule choisie consiste a stocker les informations directement sur la carte a puce. A recourir a une technologie qui rend Ie detenteur de la carte seul proprietaire de ses donnees biornetriques.

Qu'en est-il de la securlte?
La biometrie peut-elle etre consideree comme un moyen d'authentification forte? La reponse est c1airement non. Le recours a cette technique comme seul facteur d'authentification constitue certes une solution «contortable» pour les utilisateurs. II n'en demeure pas moins qu'elle n'offre pas des garanties de securite suffisamment solides. Diverses etudes ont, en effet, montre qu'il est possible de falsifier assez aisernent les systernes biornetriques actuels. Des lors, iI est judicieux de la coupler a un second dispositif d'authentification forte. Dans Ie cadre de ce projet, un support de type carte a puce a ete retenu. Concreternent, I'utilisateur est identifie aussi bien par sa carte que par ses empreintes digitales. La premiere ne fonctionne que si elle est combinee aux secondes. L'ensemble offre ainsi une preuve irrefutable de l'identite de la personne.

tificats numerique pour assurer aussi bien une protection optimale qu'un grand confort pour les utilisateurs. Cette solution a repondu aux contraintes technologiques irnposees par Ie projet. L'authentification unique est realisee par Ie biais de la biometrie, la securisation du VPN est realisee grace a un certificat numerique de type machine, stocke dans une puce cryptographique (TPM) ernbarquee sur Ie laptop. Dans Ie cadre de ce projet, une contrainte n'a toutefois pas pu etre respectee. A savoir, utiliser la biometrie de type Match on Card pour Ie chiffrement du laptop. En raison de son cote avant-gardiste, cette technologie n'est, en effet, pas compatible avec les principales solutions de chiffrement des disques. C'est Ie prochain challenge a relever pour la phase 2 de ce projet. D'ici fin 2009, il devrait ainsi etre possible d'integrer cette technologie a une solution de chiffrement.

Technologie

Match On Card Retour d'experlence
La technologie mise en place - blometrie Match On Card et utilisation des certificats nurneriques - a repondu aux objectifs et aux contraintes de ce projet mobilite. Reste que la technologie ne fait pas tout. La structure organisationnelle a mettre en place pour soutenir la techno logie, pour assurer la gestion des identites, s'est, ainsi, revele etre un des defis majeurs poses par Ie projet. Le resultat, c'est une entite, dont la mission est de gerer I'ensemble des processus qui gravitent autour du systerne biornetrique: enregistrement des utilisateurs, gestion de I'oubli ou de la perte de la carte a puce, etc. Cette entite constitue un des piliers de la reusslte du projet. • SM.

Cette technologie repond parfaitement a la problernatique posee. Non seulement, elle permet Ie stockage d'informations biornetriques sur la carte a puce, mais elle assure aussi la verification de I'empreinte digitale, directement sur cette derniere.

La reponse au challenge technologique
Les technologies biometriques, a commencer par Match On Card, ont c1airement un aspect avant-gardiste, notamment sur les laptops. Le developpernent mene dans cette banque a, cependant, dernontre qu'il est technologiquement possible de mettre en oeuvre un systeme d'authentification forte, base sur la biometrie et I'utilisation des cer-

Pourquoi une carte

a puce?

La carte a puce presente I'avantage d'etre une solution dynamique, evolutive. Elle permet, en effet, de stocker des identites numeriques (certificat digital). Ce qui ouvre la porte a un grand nombre d'applications comme la signature electronique, Ie chiffreMAl -

J

IN

2009

B&F I 63