SOLUTIONS BANCAIRES

BIOMTRIE ET MOBILIT

Comment concilier facilit dutilisation et scurit?

Mobilit et scurit. Pour les banques, il ne sagit pas l de vains mots, mais bien des fondements de leur mode de fonctionnement dans un monde de plus en plus comptitif. Reste que la scurit et la mobilit ne doivent pas se construire au dtriment de lutilisateur, de son confort. Une solution informatique qui garantirait les premires sans se soucier du second aurait, en effet, de fortes chances dtre rejete par ce dernier. Le projet Mobilit, men par un tablissement sur la place financire genevoise, apporte la preuve que mobilit, scurit et confort dutilisation ne sont pas incompatibles.
Sylvain MARET CEO MARET Consulting laptop, un VPN pour accder la banque par Internet, une authentification unique pour accder au compte Microsoft et aux applications bancaires (application web). Nous voil au cur du challenge technologique. Trouver un mcanisme dauthentification forte, simple utiliser et capable dtre associ aux technologies de scurit. Avant de dfinir plus avant ce mcanisme, expliquons ce quest lauthentification forte et pourquoi lutiliser.

omment amliorer le confort des utilisateurs sans compromettre la scurit? Bien souvent les mcanismes de scurit informatique sont mis en place au dtriment du confort de lutilisateur. Celui-ci se retrouve alors avec un outil de travail qui prsente de fortes contraintes. Le systme est compliqu et lent. Il ncessite plusieurs mots de passe, lutilisation dun Token de type SecurID. Bref, la solution nest pas vraiment utilisable. Mais elle est secure

La solution didentification forte adopte comprend une lecture biomtrique des empreintes digitales, couple une carte puce. aux applications informatiques et les contraintes de scurit. Dans le cadre de cet article, nous allons nous focaliser sur certaines dentre elles: les donnes sur le laptop doivent rester confidentielles; laccs la banque doit se faire par le biais dInternet; la procdure dauthentification doit tre simple; une seule authentification doit tre demande. Si lauthentification forte sest rapidement impose comme la solution retenir, restait encore dfinir le systme le plus appropri. A dterminer le dispositif mme dapporter scurit et confort, tout en intgrant les technologies utilises pour ce projet. A savoir, une technologie de chiffrement du

Quest-ce que lauthentification forte?

Les mthodes classiques pour identifier une personne physique sont au nombre de trois: 1. quelque chose que lon connat: un PIN Code, etc. 2. quelque chose que lon possde: une carte puce, etc. 3. quelque chose que lon est: une empreinte digitale, etc. On parle dauthentification forte ds que deux de ces mthodes sont utilises ensemble. Par exemple, une carte puce et un PIN code.

Objectif du projet
Dans le cadre du projet prsent ici, lobjectif tait de repenser la mobilit, de sorte offrir un outil de travail simple. Pour cela, nous avons remis les compteurs zro, nous sommes partis dune feuille blanche. Avec lide de proposer aux collaborateurs de la banque un nouveau laptop quils puissent utiliser lors de leurs voyages via Inter net. Comment faire? Comment concilier simplicit dutilisation et fortes contraintes de scurit? Est-ce la quadrature du cercle? Avant de rpondre cette question, numrons de faon plus prcise les contraintes auxquelles il fallait faire face. Elles sont de deux natures: les contraintes pour laccs

Pourquoi cette mthode plutt quune autre?

Le mot de passe. Il sagit l du systme le plus couramment retenu pour reconnatre un utilisateur. Il savre, toutefois, quil ne permet pas dassurer une protection efficace de biens informatiques sensibles. Sa principale faiblesse rside dans la facilit avec laquelle il peut tre identifi.

62

B&F

MAI - JUIN 2009

BIOMTRIE ET MOBILIT
Un grand nombre de technologies dauthentification forte sont disponibles sur le march. Celles de type One Time Password (Style SecurID), les cartes puces ou encore la biomtrie. Cest cette dernire qui a t retenue dans le cas qui nous intresse. Avant tout pour rpondre une exigence fondamentale pose par le client. A savoir, garantir la facilit dutilisation.
SERGIY SERDYUK - FOTOLIA.COM

Quelle technologie choisir?

Quel systme de biomtrie pour la mobilit?

Lecture de liris, reconnaissance faciale, empreinte digitale. Quand on parle de biomtrie, diffrentes options sont envisageables. Le choix final a t guid par le souci de trouver un compromis entre le niveau de scurit de la solution, son prix et sa facilit dutilisation. De plus, la plupart des nouveaux laptops possdent maintenant un lecteur biomtrique. Cest surtout l que rsidait une des principales cls du succs. Ladhsion des utilisateurs tait, en effet, indispensable. Et celle-ci passait par la simplicit de fonctionnement, par la convivialit du dispositif.

Une solution de mobilit alliant scurit et confort dutilisation. ment et, bien videmment, lauthentification forte des utilisateurs. tificats numrique pour assurer aussi bien une protection optimale quun grand confort pour les utilisateurs. Cette solution a rpondu aux contraintes technologiques imposes par le projet. Lauthentification unique est ralise par le biais de la biomtrie, la scurisation du VPN est ralise grce un certificat numrique de type machine, stock dans une puce cryptographique (TPM) embarque sur le laptop. Dans le cadre de ce projet, une contrainte na toutefois pas pu tre respecte. A savoir, utiliser la biomtrie de type Match on Card pour le chiffrement du laptop. En raison de son ct avant-gardiste, cette technologie nest, en effet, pas compatible avec les principales solutions de chiffrement des disques. Cest le prochain challenge relever pour la phase 2 de ce projet. Dici fin 2009, il devrait ainsi tre possible dintgrer cette technologie une solution de chiffrement.

Biomtrie: o stocker les donnes?

La biomtrie pose la question du stockage des informations relatives aux utilisateurs. Il sagit l dune question extrmement sensible. Nombreux sont, en effet, ceux qui, juste titre, sinterrogent sur lusage qui est fait des donnes les concernant. O celles-ci vont-elles tre conserves? Les rticences face ce procd sont relles. Pour surmonter cet obstacle non ngligeable lacceptation dune telle solution par les utilisateurs, la formule choisie consiste stocker les informations directement sur la carte puce. A recourir une technologie qui rend le dtenteur de la carte seul propritaire de ses donnes biomtriques.

Quen est-il de la scurit?

La biomtrie peut-elle tre considre comme un moyen dauthentification forte? La rponse est clairement non. Le recours cette technique comme seul facteur dauthentification constitue certes une solution confortable pour les utilisateurs. Il nen demeure pas moins quelle noffre pas des garanties de scurit suffisamment solides. Diverses tudes ont, en effet, montr quil est possible de falsifier assez aisment les systmes biomtriques actuels. Ds lors, il est judicieux de la coupler un second dispositif dauthentification forte. Dans le cadre de ce projet, un support de type carte puce a t retenu. Concrtement, lutilisateur est identifi aussi bien par sa carte que par ses empreintes digitales. La premire ne fonctionne que si elle est combine aux secondes. Lensemble offre ainsi une preuve irrfutable de lidentit de la personne.

Technologie Match On Card

Cette technologie rpond parfaitement la problmatique pose. Non seulement, elle permet le stockage dinformations biomtriques sur la carte puce, mais elle assure aussi la vrification de lempreinte digitale, directement sur cette dernire.

Retour dexprience
La technologie mise en place biomtrie Match On Card et utilisation des certificats numriques a rpondu aux objectifs et aux contraintes de ce projet mobilit. Reste que la technologie ne fait pas tout. La structure organisationnelle mettre en place pour soutenir la technologie, pour assurer la gestion des identits, sest, ainsi, rvl tre un des dfis majeurs poss par le projet. Le rsultat, cest une entit, dont la mission est de grer lensemble des processus qui gravitent autour du systme biomtrique: enregistrement des utilisateurs, gestion de loubli ou de la perte de la carte puce, etc. Cette entit constitue un des piliers de la russite du projet. n S.M.

La rponse au challenge technologique

Les technologies biomtriques, commencer par Match On Card, ont clairement un aspect avant-gardiste, notamment sur les laptops. Le dveloppement men dans cette banque a, cependant, dmontr quil est technologiquement possible de mettre en uvre un systme dauthentification forte, bas sur la biomtrie et lutilisation des cer-

Pourquoi une carte puce?

La carte puce prsente lavantage dtre une solution dynamique, volutive. Elle permet, en effet, de stocker des identits numriques (certificat digital). Ce qui ouvre la porte un grand nombre dapplications comme la signature lectronique, le chiffre-

MAI - JUIN 2009

B&F

63