Académique Documents
Professionnel Documents
Culture Documents
biométrie dans le
cadre d’un projet
Mobilité
Sylvain Maret
CEO MARET Consulting, mars 2009
biais d’Internet comme la parole ou une signature
• La procédure d’authentification doit être manuscrite.
simple
• Idéalement, une seule authentification doit On parle d’authentification forte dès que
être demandée deux de ces méthodes sont utilisées
ensemble. Par exemple une carte à puce et
Si l’authentification forte s’est rapidement un PIN code.
imposée comme la solution à retenir, restait
encore à définir le système le plus Pourquoi cette méthode plutôt
plutôt qu’une autre?
approprié. A déterminer le dispositif à même
d’apporter sécurité et confort, tout en Le mot de passe. Il s’agit là du système le
intégrant les technologies utilisées pour ce plus couramment retenu pour reconnaître
projet. A savoir une technologie de un utilisateur. Il s’avère toutefois que celui-ci
chiffrement complet du disque dur du laptop, n’offre pas un niveau de sécurité optimal.
une technologie de type VPN (Virtual Private Qu’il ne permet pas d’assurer une protection
Network) pour accéder à la banque par efficace de biens informatiques sensibles.
Internet, une authentification de type Single
Sign On pour accéder au compte Microsoft et Sa principale faiblesse réside dans la facilité
une technologie de type Web Single Sign On avec laquelle il peut être identifié. Au
(authentification unique) pour accéder aux nombre des techniques d’attaques destinées
applications. à briser un mot de passe, on peut citer
l’écoute du clavier par le biais d’un logiciel
Nous voilà au cœur du challenge malveillant (keylogger) ou plus simplement
technologique. Trouver un mécanisme encore, un keylogger matériel placé entre le
d’authentification forte, simple à utiliser et clavier et l'unité centrale.
capable d’être associé aux technologies de
sécurité (Chiffrement, VPN, Authentification Quelle technologie choisir?
Microsoft et Web Single Sign On).
Un grand nombre de technologies
Mais avant de définir plus avant ce d’authentification forte sont disponibles sur
mécanisme, expliquons ce qu’est le marché. Celles de type «One Time
l’authentification forte et pourquoi l’utiliser. Password» (par exemple SecurID), les cartes
à puces et «token» USB cryptographiques ou
Qu’est-
Qu’est-ce que l’authentification forte? encore la biométrie. C’est cette dernière qui
Les méthodes classiques pour identifier une a été retenue dans le cas qui nous intéresse.
personne physique sont au nombre de Avant tout pour répondre à une exigence
quatre : fondamentale posée par le client : garantir la
facilité d’utilisation.
1. Quelque chose que l’on connaît: un mot de Quel système de biométrie pour la mobilité ?
passe ou un PIN code;
2. Quelque chose que l’on possède: un Lecture de l’iris, de la rétine, reconnaissance
«token», une carte à puce, etc.; faciale ou vocale, empreinte digitale. Quand
3. Quelque chose que l’on est: un attribut on parle de biométrie, différentes options
biométrique, tel qu’une empreinte digitale; sont envisageables. Le choix final a été guidé
4. Quelque chose que l’on fait: une action par le souci de trouver un compromis entre
Sylvain Maret
CEO MARET Consulting, mars 2009
le niveau de sécurité (fiabilité) de la solution, fonctionne que si elle est combinée aux
son prix et sa facilité d’utilisation. secondes. L’ensemble offre ainsi une preuve
irréfutable de l’identité de la personne.
C’est surtout là que résidait une des
principales clés du succès. L’adhésion des Pourquoi une carte à puce?
utilisateurs était en effet indispensable. Et
celle ci passait par la simplicité de La carte à puce présente l’avantage d’être
fonctionnement, par la convivialité du une solution dynamique, évolutive. Elle
dispositif. Le lecteur d’empreinte digitale permet en effet de stocker des identités
s’est alors imposé assez naturellement, et numériques (via un certificat). Ce qui ouvre la
entre autre parce que la plupart des porte à un grand nombre d’applications
ordinateurs portables récents sont comme la signature électronique de
désormais équipés d'un tel lecteur. documents, l’intégrité de transactions, le
chiffrement de données et bien évidemment
Qu’en est-
est-il de la sécurité? l’authentification forte des utilisateurs. Les
certificats numériques constituent dès lors
La biométrie peut-elle être considérée une base très solide pour construire la
comme un moyen d’authentification forte? sécurité d’une solution de mobilité.
Sylvain Maret
CEO MARET Consulting, mars 2009
Pour surmonter cet obstacle à l’acceptation Module) embarquée sur le laptop.
d’une telle solution par les utilisateurs, la
formule choisie consiste à stocker les Dans le cadre de ce projet une contrainte n’a
informations directement sur la carte à puce. toutefois pas pu être respectée. A savoir,
Le détenteur de la carte est ainsi le seul utiliser la biométrie de type match-on-card
propriétaire de ses données biométriques. pour le chiffrement complet du laptop. En
raison de son côté avant-gardiste, cette
L'approche de type match-
match-on-
on-card technologie n’est en effet pas compatible
avec les principales solutions de chiffrement
Baptisée match-on-card ("validation à même des disques (FDE, Full Disk Encryption). Ce
la carte"), cette approche répond sera le défi à relever pour la phase 2 de ce
parfaitement à la problématique posée. Non projet (fin 2009). Il devrait alors être possible
seulement, elle permet le stockage d’intégrer la technologie match-on-card à
d’informations biométriques sur la carte à une solution de chiffrement complète du
puce, mais elle assure aussi la vérification disque.
de l’empreinte digitale, directement sur cette
dernière. Elle donne ainsi aux utilisateurs un Retour d’expérience
contrôle total sur les données les
concernant. Cette approche a le mérite de La technologie mise en place – biométrie de
susciter la confiance des personnes type match-on-card et utilisation des
amenées à avoir recours au système. certificats numériques – à répondu aux
objectifs et aux contraintes de ce projet
La réponse au challenge technologique Mobilité. Mais la technologie ne fait pas tout :
la structure organisationnelle à mettre en
Les technologies biométriques, à place pour soutenir la technique, et
commencer par le match-on-card, ont notamment assurer la gestion des identités,
clairement un aspect avant-gardiste, s’est ainsi révélée être un des défis majeurs
notamment sur les laptop. Le posé par le projet.
développement mené dans cette banque
privée genevoise a cependant démontré qu’il Cela a abouti à la création d'une entité dont
est technologiquement possible de mettre en la mission est de gérer l’ensemble des
œuvre un système d’authentification forte processus qui gravitent autour du système
basé sur la biométrie et sur l’utilisation biométrique : enregistrement des
conjointe de certificats numériques afin utilisateurs, gestion de l’oubli ou de la perte
d'assurer aussi bien une protection optimale de la carte à puce, formation des utilisateurs,
qu’un grand confort pour les utilisateurs. etc.
Cette solution a, de fait, parfaitement
répondu aux contraintes technologiques Cette entité constitue un des piliers de la
imposées par le projet. réussite du projet.
Sylvain Maret
CEO MARET Consulting, mars 2009