BF_97:BF_97.qxd 27.04.

09 15:06 Page62

SOLUTIONS BANCAIRES
BIOMÉTRIE ET MOBILITÉ
Comment concilier facilité
d’utilisation et sécurité?
Mobilité et sécurité. Pour les banques, il ne s’agit pas là de vains mots, mais bien des
fondements de leur mode de fonctionnement dans un monde de plus en plus compétitif.
Reste que la sécurité et la mobilité ne doivent pas se construire au détriment de l’utilisateur,
de son confort. Une solution informatique qui garantirait les premières sans se soucier
du second aurait, en effet, de fortes chances d’être rejetée par ce dernier. Le projet Mobilité,
mené par un établissement sur la place financière genevoise, apporte la preuve que mobilité,
sécurité et confort d’utilisation ne sont pas incompatibles.

laptop, un VPN pour accéder à la banque

Sylvain MARET par Internet, une authentification unique
CEO MARET Consulting pour accéder au compte Microsoft et aux
applications bancaires (application web).
Nous voilà au cœur du challenge technolo-
gique. Trouver un mécanisme d’authentifi-
cation forte, simple à utiliser et capable

C
omment améliorer le confort
des utilisateurs sans com-
promettre la sécurité? Bien
souvent les mécanismes de
sécurité informatique sont
mis en place au détriment du confort de
l’utilisateur. Celui-ci se retrouve alors avec
un outil de travail qui présente de fortes
contraintes. Le système est compliqué et
lent. Il nécessite plusieurs mots de passe,
l’utilisation d’un «Token» de type SecurID.
Bref, la solution n’est pas vraiment utili-
sable. Mais elle est «secure»…
Objectif du projet
Dans le cadre du projet présenté ici, l’objec-
tif était de repenser la mobilité, de sorte à
offrir un outil de travail simple. Pour cela,
nous avons remis les compteurs à zéro,
nous sommes partis d’une feuille blanche.
Avec l’idée de proposer aux collaborateurs
de la banque un nouveau laptop qu’ils puis-
sent utiliser lors de leurs voyages via Inter -
net. Comment faire? Comment concilier sim-
plicité d’utilisation et fortes contraintes de
sécurité? Est-ce la quadrature du cercle?
Avant de répondre à cette question, énumé-
rons de façon plus précise les contraintes
auxquelles il fallait faire face. Elles sont de
deux natures: les contraintes pour l’accès
La solution d’identification forte adoptée com-
prend une lecture biométrique des emprein-
tes digitales, couplée à une carte à puce.
aux applications informatiques et les
contraintes de sécurité. Dans le cadre de cet
article, nous allons nous focaliser sur cer-
taines d’entre elles:
• les données sur le laptop doivent rester
confidentielles;
• l’accès à la banque doit se faire par le
biais d’Internet;
• la procédure d’authentification doit être
simple;
• une seule authentification doit être
demandée.
Si l’authentification forte s’est rapidement
imposée comme la solution à retenir, restait
encore à définir le système le plus appro-
prié. A déterminer le dispositif à même d’ap-
porter sécurité et confort, tout en intégrant
les technologies utilisées pour ce projet. A
savoir, une technologie de chiffrement du
d’être associé aux technologies de sécurité.
Avant de définir plus avant ce mécanisme,
expliquons ce qu’est l’authentification forte
et pourquoi l’utiliser.
Qu’est-ce que l’authentification
forte?
Les méthodes classiques pour identifier une
personne physique sont au nombre de trois:
1. quelque chose que l’on connaît: un PIN
Code, etc.
2. quelque chose que l’on possède: une
carte à puce, etc.
3. quelque chose que l’on est: une empreinte
digitale, etc.
On parle d’authentification forte dès que
deux de ces méthodes sont utilisées
ensemble. Par exemple, une carte à puce et
un PIN code.
Pourquoi cette méthode plutôt
qu’une autre?
Le mot de passe. Il s’agit là du système le
plus couramment retenu pour reconnaître
un utilisateur. Il s’avère, toutefois, qu’il ne
permet pas d’assurer une protection effi-
cace de biens informatiques sensibles. Sa
principale faiblesse réside dans la facilité
avec laquelle il peut être identifié.

62 B&F MAI - JUIN 2009

BF_97:BF_97.qxd 27.04.09 15:06 Page63
Quelle technologie choisir?
Un grand nombre de technologies d’authen-
tification forte sont disponibles sur le
marché. Celles de type «One Time Pass-
word» (Style SecurID), les cartes à puces ou
encore la biométrie. C’est cette dernière qui
a été retenue dans le cas qui nous intéresse.
Avant tout pour répondre à une exigence
fondamentale posée par le client. A savoir,
garantir la facilité d’utilisation.
Quel système de biométrie pour
la mobilité?
Lecture de l’iris, reconnaissance faciale,
empreinte digitale. Quand on parle de bio-
métrie, différentes options sont envisa-
geables. Le choix final a été guidé par le
souci de trouver un compromis entre le
niveau de sécurité de la solution, son prix et
sa facilité d’utilisation. De plus, la plupart
des nouveaux laptops possèdent mainte-
nant un lecteur biométrique. C’est surtout
là que résidait une des principales clés du
succès. L’adhésion des utilisateurs était, en
effet, indispensable. Et celle-ci passait par la
simplicité de fonctionnement, par la convi-
vialité du dispositif.
Qu’en est-il de la sécurité?
La biométrie peut-elle être considérée
comme un moyen d’authentification forte?
La réponse est clairement non. Le recours à
cette technique comme seul facteur d’au-
thentification constitue certes une solution
«confortable» pour les utilisateurs. Il n’en
demeure pas moins qu’elle n’offre pas des
garanties de sécurité suffisamment solides.
Diverses études ont, en effet, montré qu’il
est possible de falsifier assez aisément les
systèmes biométriques actuels. Dès lors, il
est judicieux de la coupler à un second
dispositif d’authentification forte. Dans le
cadre de ce projet, un support de type carte
à puce a été retenu. Concrètement, l’utilisa-
teur est identifié aussi bien par sa carte que
par ses empreintes digitales. La première ne
fonctionne que si elle est combinée aux
secondes. L’ensemble offre ainsi une preuve
irréfutable de l’identité de la personne.
Pourquoi une carte à puce?
La carte à puce présente l’avantage d’être
une solution dynamique, évolutive. Elle
permet, en effet, de stocker des identités
numériques (certificat digital). Ce qui ouvre
la porte à un grand nombre d’applications
comme la signature électronique, le chiffre-
MAI - JUIN 2009
BIOMÉTRIE ET MOBILITÉ
Une solution de mobilité alliant sécurité et confort d’utilisation.
ment et, bien évidemment, l’authentifica-
tion forte des utilisateurs.
Biométrie: où stocker
les données?
La biométrie pose la question du stockage
des informations relatives aux utilisateurs.
Il s’agit là d’une question extrêmement sen-
sible. Nombreux sont, en effet, ceux qui, à
juste titre, s’interrogent sur l’usage qui est
fait des données les concernant. Où celles-ci
vont-elles être conservées? Les réticences
face à ce procédé sont réelles. Pour sur-
monter cet obstacle non négligeable à
l’acceptation d’une telle solution par les
utilisateurs, la formule choisie consiste à
stocker les informations directement sur la
carte à puce. A recourir à une technologie
qui rend le détenteur de la carte seul pro-
priétaire de ses données biométriques.
Technologie Match On Card
Cette technologie répond parfaitement à la
problématique posée. Non seulement, elle
permet le stockage d’informations biomé-
triques sur la carte à puce, mais elle assure
aussi la vérification de l’empreinte digitale,
directement sur cette dernière.
La réponse au challenge
technologique
Les technologies biométriques, à commen-
cer par Match On Card, ont clairement un
aspect avant-gardiste, notamment sur les
laptops. Le développement mené dans cette
banque a, cependant, démontré qu’il est
technologiquement possible de mettre en
œuvre un système d’authentification forte,
basé sur la biométrie et l’utilisation des cer-
© SERGIY SERDYUK - FOTOLIA.COM
tificats numérique pour assurer aussi bien
une protection optimale qu’un grand
confort pour les utilisateurs. Cette solution
a répondu aux contraintes technologiques
imposées par le projet. L’authentification
unique est réalisée par le biais de la biomé-
trie, la sécurisation du VPN est réalisée
grâce à un certificat numérique de type
machine, stocké dans une puce cryptogra-
phique (TPM) embarquée sur le laptop.
Dans le cadre de ce projet, une contrainte
n’a toutefois pas pu être respectée. A savoir,
utiliser la biométrie de type Match on Card
pour le chiffrement du laptop. En raison de
son côté avant-gardiste, cette technologie
n’est, en effet, pas compatible avec les prin-
cipales solutions de chiffrement des dis-
ques. C’est le prochain challenge à relever
pour la phase 2 de ce projet. D’ici fin 2009, il
devrait ainsi être possible d’intégrer cette
technologie à une solution de chiffrement.
Retour d’expérience
La technologie mise en place – biométrie
Match On Card et utilisation des certificats
numériques – a répondu aux objectifs et aux
contraintes de ce projet mobilité. Reste que
la technologie ne fait pas tout. La structure
organisationnelle à mettre en place pour
soutenir la technologie, pour assurer la
gestion des identités, s’est, ainsi, révélé être
un des défis majeurs posés par le projet.
Le résultat, c’est une entité, dont la mission
est de gérer l’ensemble des processus qui
gravitent autour du système biométrique:
enregistrement des utilisateurs, gestion de
l’oubli ou de la perte de la carte à puce, etc.
Cette entité constitue un des piliers de la
réussite du projet. n S.M.
B&F 63