SlideShare une entreprise Scribd logo
1  sur  4
Utilisation de la biométrie dans le cadre d’un projet mobilité

   Ou comment concilier facilité d’utilisation et sécurité ?


Mobilité et sécurité. Pour les banques privées, il ne s’agit pas là de vains
mots. Mais bien des fondements de leur mode de fonctionnement dans
un monde de plus en plus compétitif. Reste que la sécurité et la mobilité
ne doivent nuire au confort de l’utilisateur sous peine d’être une solution
inadéquate, donc rejetée des utilisateurs. Plongée au cœur d’une
solution de mobilité mise sur pied par un établissement bien connu sur
la place financière genevoise.


Comment améliorer le confort des utilisateurs sans compromettre la sécurité ? Bien
souvent les mécanismes de sécurité sont au détriment du confort de l’utilisateur.
L’utilisateur alors bénéficie un outil de travail avec de fortes contraintes. Le système
est compliqué, le système est lent. L’utilisateur doit entrer plusieurs mot de passe,
utilisez un « Token » de type SecurID. Bref la solution n’est pas vraiment utilisable.
Mais elle est « secure »…

Objectif du projet
Dans le cadre de ce projet l’objectif était de repenser la mobilité pour offrir un outil de
travail simple. Pour cela nous avons remis les compteurs à zéro, nous sommes partit
d’une feuille blanche pour offrir aux collaborateurs de la banque un nouveau laptop
qu’il puisse utiliser lors de ces voyages, depuis la maison, depuis un hotel, etc… via
Internet.
Comment faire ? Comment concilier simplification d’utilisation et forte contraintes de
sécurité ? Est la quadrature du cercle ?
Avant de répondre à cette question énumérons de façon plus précise les contraintes.
Elles sont de deux formes : les contraintes pour l’accès aux applications
informatiques misent à disposition des utilisateurs et les contraintes de sécurité.
Dans le cadre de cet article nous allons nous focaliser sur certaines des contraintes
de sécurité et de confort.

       Les données sur le Laptop doivent rester confidentielles
       L’accès à la banque doit se faire en utilisant comme médium Internet
       La procédure d’authentification doit être simple
       Idéalement une seule authentification doit être demandée

Si l’authentification forte s’est rapidement imposée comme la pierre angulaire à
retenir pour répondre aux contraintes énoncée, restait encore à définir le système le
plus approprié. A déterminer le dispositif à même d’apporter la sécurité et le confort
et de répondre aux technologies utilisées pour ce projet.

A savoir une technologie de chiffrement complet du disque dur du laptop, une
technologie de type VPN (Virtual Private Network) pour accéder à la banque par
Internet, une authentification de type Single Sign On pour accéder au compte
Microsoft et une technologie de type Web Single Sign On (Authentification unique)
pour accéder aux applications.

Et nous voilà au cœur du challenge technologique. Trouver un mécanisme
d’authentification forte, simple à utiliser et capable de s’intégrer aux technologies de
sécurité (Chiffrement, VPN, Authentification Microsoft et Web Single Sign On).

Avant de répondre à cette question expliquons ce qu’est l’authentification forte et
pourquoi l’utiliser ?

Qu’est-ce que l’authentification forte?
Les méthodes classiques pour identifier une personne physique sont au nombre de
quatre:
1. Quelque chose que l’on connaît: un mot de passe ou un PIN code;
2. Quelque chose que l’on possède: un «token», une carte à puce, etc.;
3. Quelque chose que l’on est: un attribut biométrique, tel qu’une empreinte digitale;
4. Quelque chose que l’on fait: une action comme la parole ou une signature
manuscrite.

On parle d’authentification forte dès que deux de ces méthodes sont utilisées
ensemble. Par exemple une carte à puce avec un PIN code.

Pourquoi cette méthode plutôt qu’une autre?

Le mot de passe? Il s’agit là du système le plus couramment retenu pour reconnaître
un utilisateur. Il s’avère toutefois que celui-ci n’offre pas un niveau de sécurité
optimal. Qu’il ne permet pas d’assurer une protection efficace de biens informatiques
sensibles.
Sa principale faiblesse réside dans la facilité avec laquelle il peut être identifié. Au
nombre des techniques d’attaques destinées à briser un mot de passe, on peut citer
l’écoute du clavier par le biais d’un logiciel malveillant (Key Logger) ou plus
simplement encore, un Key Logger Hardware.

Quelle technologie choisir?
Un grand nombre de technologies d’authentification forte sont disponibles sur le
marché. Celles de type «One Time Password» (Style SecurID), les cartes à puces et
«token» USB cryptographiques ou encore la biométrie. C’est cette dernière qui a été
retenue dans le cas qui nous intéresse. Avant tout pour répondre à une exigence
fondamentale posée par le client. A savoir, garantir, la facilité d’utilisation.

Quel système de biométrie pour la mobilité ?
Lecture de l’iris, de la rétine, reconnaissance faciale ou vocale, empreinte digitale.
Quand on parle de biométrie, différentes options sont envisageables. Le choix final a
été guidé par le souci de trouver un compromis entre le niveau de sécurité (fiabilité)
de la solution, son prix et sa facilité d’utilisation. De plus la plupart des nouveaux
laptop possède maintenant un lecteur biométrique.
Cette dernière contrainte était d’ailleurs une des principales clés du succès.
L’adhésion des utilisateurs était, en effet, indispensable. Et celle ci passait par la
simplicité de fonctionnement, par la convivialité du dispositif. Le lecteur d’empreinte
digitale s’est alors imposé assez naturellement.

Qu’en est-il de la sécurité?
La biométrie peut-elle être considérée comme un moyen d’authentification forte?
La réponse est clairement non. Le recours à cette technique comme seul facteur
d’authentification constitue certes une solution «confortable» pour les utilisateurs.
Il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment
solides. Diverses études ont en effet montré qu’il est possible de falsifier assez
aisément les systèmes biométriques actuels. Leur utilisation croissante par les
entreprises et les gouvernements, notamment aux Etats-Unis, ne fait en outre que
renforcer la détermination des hackers à en identifier les failles. C’est un des
paradoxes de la biométrie.
Dès lors, il est judicieux de la coupler à un second dispositif d’authentification forte.
Dans le cadre de ce projet, un support de type carte à puce a été retenu.
Concrètement, l’utilisateur est identifié aussi bien par sa carte que par ses
caractéristiques physiques (empreinte digitale, en l’occurrence).
La première ne fonctionne que si elle est combinée aux secondes. L’ensemble offre
ainsi une preuve irréfutable de l’identité de la personne.

Pourquoi une carte à puce?
La carte à puce présente l’avantage d’être une solution dynamique, évolutive. Elle
permet en effet de stocker des identités numériques (certificat digital). Ce qui ouvre
la porte à un grand nombre d’applications comme la signature électronique de
documents, l’intégrité de transactions, le chiffrement de données, et bien
évidemment, l’authentification forte des utilisateurs. Le recours aux certificats
digitaux constitue dès lors une base très solide pour construire la sécurité d’une
solution de mobilité.

Biométrie: où stocker les données?
La biométrie pose la question du stockage des informations relatives aux utilisateurs.
Il s’agit là d’une question extrêmement sensible.
Nombreux sont en effet ceux qui, à juste titre, s’interrogent sur l’usage qui est fait
des données les concernant. Où celles-ci vont-elles être conservées? Qui y aura
accès? L’information numérique permet-elle de reconstituer une empreinte digitale?
Les réticences face à ce procédé sont réelles.
Pour surmonter cet obstacle non négligeable à l’acceptation d’une telle solution par
les utilisateurs, la formule choisie consiste à stocker les informations directement sur
la carte à puce. A recourir à une technologie qui rend le détenteur de la carte seul
propriétaire de ses données biométriques.

Technologie Match On Card
La technologie Match On Card répond parfaitement à la problématique posée. Non
seulement, elle permet le stockage d’informations biométriques sur la carte à puce
mais elle assure aussi la vérification de l’empreinte digitale, directement sur cette
dernière. Donnant ainsi aux utilisateurs un contrôle total sur les données les
concernant.
Cette approche a le mérite de susciter la confiance des personnes amenées à avoir
recours au système.
La réponse au challenge technologique
Les technologies biométriques, à commencer par Match On Card, ont clairement un
aspect avant gardiste, notamment sur les laptop.
Le développement, mené dans cette banque privée genevoise, a toutefois démontré
qu’il est technologiquement possible de mettre en œuvre un système
d’authentification forte basé sur la biométrie et l’utilisation des certificats numérique
pour assurer une protection optimale et un grand confort pour les utilisateurs. Cette
solution a répondu aux contraintes technologiques imposées par le projet.
L’authentification unique est réalisée avec la biométrie, la sécurisation de l’ouverture
du VPN à travers Internet est réalisée avec l’utilisation d’un certificat numérique de
type machine stocké dans une puce cryptographique (Trusted Platform Module)
embarqué sur le laptop. Toutefois pour ce projet une contrainte n’a pas pu être
respectée. A savoir utiliser la biométrie de type Match on Card pour le chiffrement
complet du laptop. En effet du au côté avant gardiste de cette solution les principaux
fournisseurs de solution de chiffrement des disques (Full Disk Encryption) ne
supporte actuellement pas cette technologie. Ceci est le prochain challenge pour la
phase 2 de ce projet. Je pense que d’ici fin 2009 il sera possible d’intégrer la
technologie Match on Card avec une solution de chiffrement.

Retour d’expérience
La technologie mise en place, biométrie Match On Card et utilisation des certificats
numériques à répondu à ce projet Mobilité.
Reste que la technologie ne fait pas tout. La structure organisationnelle à mettre en
place pour soutenir la technologie, pour assurer la gestion des identités, s’est ainsi
révélée être un des défis majeurs posés par le projet.
Le résultat, c’est une entité, dont la mission est de gérer l’ensemble des processus
qui gravitent autour du système biométrique: enregistrement des utilisateurs, gestion
de l’oubli ou de la perte de la carte à puce, formation des utilisateurs, etc. Cette
entité constitue un des piliers de la réussite du projet.

Contenu connexe

Tendances

Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéePatrice Pena
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
The Roads of Dematerialization (white paper, in french)
The Roads of Dematerialization (white paper, in french)The Roads of Dematerialization (white paper, in french)
The Roads of Dematerialization (white paper, in french)Karim Houni
 
« Vos logins s’il vous plaît » Les rapports ambigus des internautes aux servi...
« Vos logins s’il vous plaît »Les rapports ambigus des internautes aux servi...« Vos logins s’il vous plaît »Les rapports ambigus des internautes aux servi...
« Vos logins s’il vous plaît » Les rapports ambigus des internautes aux servi...Alexandre Coutant
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupRennes Atalante
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
 
Le BYOD comment y aller de manière pragmatique
Le BYOD comment y aller de manière pragmatiqueLe BYOD comment y aller de manière pragmatique
Le BYOD comment y aller de manière pragmatiqueMicrosoft Décideurs IT
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesMarc Guichard
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeFlorence Bonnet
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Sécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreSécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreAGILLY
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...EdPoliteia
 

Tendances (18)

Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privée
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
The Roads of Dematerialization (white paper, in french)
The Roads of Dematerialization (white paper, in french)The Roads of Dematerialization (white paper, in french)
The Roads of Dematerialization (white paper, in french)
 
« Vos logins s’il vous plaît » Les rapports ambigus des internautes aux servi...
« Vos logins s’il vous plaît »Les rapports ambigus des internautes aux servi...« Vos logins s’il vous plaît »Les rapports ambigus des internautes aux servi...
« Vos logins s’il vous plaît » Les rapports ambigus des internautes aux servi...
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Protection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange GroupProtection des données personnelles | Fabien Venries d'Orange Group
Protection des données personnelles | Fabien Venries d'Orange Group
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 
Le BYOD comment y aller de manière pragmatique
Le BYOD comment y aller de manière pragmatiqueLe BYOD comment y aller de manière pragmatique
Le BYOD comment y aller de manière pragmatique
 
La Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectivesLa Protection des données personnelles : enjeux et perspectives
La Protection des données personnelles : enjeux et perspectives
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
Sécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibreSécurité des données mobiles : Trouver le bon équilibre
Sécurité des données mobiles : Trouver le bon équilibre
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
 

En vedette

INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationSylvain Maret
 
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILE
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILEINTÉGRATION DES STRATÉGIES DE MARKETING MOBILE
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILERevolver 3
 
Réflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationRéflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationSylvain Maret
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéSylvain Maret
 
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...CIFOR-ICRAF
 
La Certification FSC en Afrique Centrale
La Certification FSC en Afrique CentraleLa Certification FSC en Afrique Centrale
La Certification FSC en Afrique CentraleCIFOR-ICRAF
 
Construire une campagne de communication
Construire une campagne de communicationConstruire une campagne de communication
Construire une campagne de communicationnextia
 
Atelier : comment mettre en place un plan de communication sur les réseaux so...
Atelier : comment mettre en place un plan de communication sur les réseaux so...Atelier : comment mettre en place un plan de communication sur les réseaux so...
Atelier : comment mettre en place un plan de communication sur les réseaux so...Editoile
 
Plan Stratégie Marketing digitale
Plan Stratégie Marketing digitalePlan Stratégie Marketing digitale
Plan Stratégie Marketing digitaleCharly Loukakou
 
Concevoir et déployer sa stratégie digitale
Concevoir et déployer sa stratégie digitaleConcevoir et déployer sa stratégie digitale
Concevoir et déployer sa stratégie digitaleQuinchy Riya
 
Modèle de plan de communication
Modèle de plan de communicationModèle de plan de communication
Modèle de plan de communicationKnitandb b
 
Plan de communication digitale
Plan de communication digitalePlan de communication digitale
Plan de communication digitaleTarik Zghinou
 

En vedette (13)

INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILE
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILEINTÉGRATION DES STRATÉGIES DE MARKETING MOBILE
INTÉGRATION DES STRATÉGIES DE MARKETING MOBILE
 
Réflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélationRéflexion sur la mise en oeuvre d’un projet de corrélation
Réflexion sur la mise en oeuvre d’un projet de corrélation
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet Mobilité
 
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...
Impacts sociaux de la certification du FSC: Une évaluation dans la bassin du ...
 
La Certification FSC en Afrique Centrale
La Certification FSC en Afrique CentraleLa Certification FSC en Afrique Centrale
La Certification FSC en Afrique Centrale
 
Construire une campagne de communication
Construire une campagne de communicationConstruire une campagne de communication
Construire une campagne de communication
 
Atelier : comment mettre en place un plan de communication sur les réseaux so...
Atelier : comment mettre en place un plan de communication sur les réseaux so...Atelier : comment mettre en place un plan de communication sur les réseaux so...
Atelier : comment mettre en place un plan de communication sur les réseaux so...
 
Plan Stratégie Marketing digitale
Plan Stratégie Marketing digitalePlan Stratégie Marketing digitale
Plan Stratégie Marketing digitale
 
Concevoir et déployer sa stratégie digitale
Concevoir et déployer sa stratégie digitaleConcevoir et déployer sa stratégie digitale
Concevoir et déployer sa stratégie digitale
 
Modèle de plan de communication
Modèle de plan de communicationModèle de plan de communication
Modèle de plan de communication
 
Plan de communication digitale
Plan de communication digitalePlan de communication digitale
Plan de communication digitale
 
Comment construire une stratégie digitale?
Comment construire une stratégie digitale?Comment construire une stratégie digitale?
Comment construire une stratégie digitale?
 

Similaire à Authentification Forte BioméTrique Dans Le Cadre D

Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Sylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverPECB
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
dt_medecine_personalis.pptx
dt_medecine_personalis.pptxdt_medecine_personalis.pptx
dt_medecine_personalis.pptxnour91922
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Presentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfPresentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfJules le Carre
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
La sécurité en informatique de santé
La sécurité  en informatique de santéLa sécurité  en informatique de santé
La sécurité en informatique de santéLudovic Tant
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoTJean-Luc Lemire
 

Similaire à Authentification Forte BioméTrique Dans Le Cadre D (20)

Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
dt_medecine_personalis.pptx
dt_medecine_personalis.pptxdt_medecine_personalis.pptx
dt_medecine_personalis.pptx
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
 
Presentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfPresentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdf
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
La sécurité en informatique de santé
La sécurité  en informatique de santéLa sécurité  en informatique de santé
La sécurité en informatique de santé
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
Econocom - Livre Blanc IoT
Econocom - Livre Blanc IoTEconocom - Livre Blanc IoT
Econocom - Livre Blanc IoT
 
Internet Of Things Security
Internet Of Things SecurityInternet Of Things Security
Internet Of Things Security
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlSylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationSylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOSylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPadSylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIISylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationSylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidenceSylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Authentification Forte BioméTrique Dans Le Cadre D

  • 1. Utilisation de la biométrie dans le cadre d’un projet mobilité Ou comment concilier facilité d’utilisation et sécurité ? Mobilité et sécurité. Pour les banques privées, il ne s’agit pas là de vains mots. Mais bien des fondements de leur mode de fonctionnement dans un monde de plus en plus compétitif. Reste que la sécurité et la mobilité ne doivent nuire au confort de l’utilisateur sous peine d’être une solution inadéquate, donc rejetée des utilisateurs. Plongée au cœur d’une solution de mobilité mise sur pied par un établissement bien connu sur la place financière genevoise. Comment améliorer le confort des utilisateurs sans compromettre la sécurité ? Bien souvent les mécanismes de sécurité sont au détriment du confort de l’utilisateur. L’utilisateur alors bénéficie un outil de travail avec de fortes contraintes. Le système est compliqué, le système est lent. L’utilisateur doit entrer plusieurs mot de passe, utilisez un « Token » de type SecurID. Bref la solution n’est pas vraiment utilisable. Mais elle est « secure »… Objectif du projet Dans le cadre de ce projet l’objectif était de repenser la mobilité pour offrir un outil de travail simple. Pour cela nous avons remis les compteurs à zéro, nous sommes partit d’une feuille blanche pour offrir aux collaborateurs de la banque un nouveau laptop qu’il puisse utiliser lors de ces voyages, depuis la maison, depuis un hotel, etc… via Internet. Comment faire ? Comment concilier simplification d’utilisation et forte contraintes de sécurité ? Est la quadrature du cercle ? Avant de répondre à cette question énumérons de façon plus précise les contraintes. Elles sont de deux formes : les contraintes pour l’accès aux applications informatiques misent à disposition des utilisateurs et les contraintes de sécurité. Dans le cadre de cet article nous allons nous focaliser sur certaines des contraintes de sécurité et de confort. Les données sur le Laptop doivent rester confidentielles L’accès à la banque doit se faire en utilisant comme médium Internet La procédure d’authentification doit être simple Idéalement une seule authentification doit être demandée Si l’authentification forte s’est rapidement imposée comme la pierre angulaire à retenir pour répondre aux contraintes énoncée, restait encore à définir le système le plus approprié. A déterminer le dispositif à même d’apporter la sécurité et le confort et de répondre aux technologies utilisées pour ce projet. A savoir une technologie de chiffrement complet du disque dur du laptop, une technologie de type VPN (Virtual Private Network) pour accéder à la banque par
  • 2. Internet, une authentification de type Single Sign On pour accéder au compte Microsoft et une technologie de type Web Single Sign On (Authentification unique) pour accéder aux applications. Et nous voilà au cœur du challenge technologique. Trouver un mécanisme d’authentification forte, simple à utiliser et capable de s’intégrer aux technologies de sécurité (Chiffrement, VPN, Authentification Microsoft et Web Single Sign On). Avant de répondre à cette question expliquons ce qu’est l’authentification forte et pourquoi l’utiliser ? Qu’est-ce que l’authentification forte? Les méthodes classiques pour identifier une personne physique sont au nombre de quatre: 1. Quelque chose que l’on connaît: un mot de passe ou un PIN code; 2. Quelque chose que l’on possède: un «token», une carte à puce, etc.; 3. Quelque chose que l’on est: un attribut biométrique, tel qu’une empreinte digitale; 4. Quelque chose que l’on fait: une action comme la parole ou une signature manuscrite. On parle d’authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce avec un PIN code. Pourquoi cette méthode plutôt qu’une autre? Le mot de passe? Il s’agit là du système le plus couramment retenu pour reconnaître un utilisateur. Il s’avère toutefois que celui-ci n’offre pas un niveau de sécurité optimal. Qu’il ne permet pas d’assurer une protection efficace de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être identifié. Au nombre des techniques d’attaques destinées à briser un mot de passe, on peut citer l’écoute du clavier par le biais d’un logiciel malveillant (Key Logger) ou plus simplement encore, un Key Logger Hardware. Quelle technologie choisir? Un grand nombre de technologies d’authentification forte sont disponibles sur le marché. Celles de type «One Time Password» (Style SecurID), les cartes à puces et «token» USB cryptographiques ou encore la biométrie. C’est cette dernière qui a été retenue dans le cas qui nous intéresse. Avant tout pour répondre à une exigence fondamentale posée par le client. A savoir, garantir, la facilité d’utilisation. Quel système de biométrie pour la mobilité ? Lecture de l’iris, de la rétine, reconnaissance faciale ou vocale, empreinte digitale. Quand on parle de biométrie, différentes options sont envisageables. Le choix final a été guidé par le souci de trouver un compromis entre le niveau de sécurité (fiabilité) de la solution, son prix et sa facilité d’utilisation. De plus la plupart des nouveaux laptop possède maintenant un lecteur biométrique. Cette dernière contrainte était d’ailleurs une des principales clés du succès. L’adhésion des utilisateurs était, en effet, indispensable. Et celle ci passait par la
  • 3. simplicité de fonctionnement, par la convivialité du dispositif. Le lecteur d’empreinte digitale s’est alors imposé assez naturellement. Qu’en est-il de la sécurité? La biométrie peut-elle être considérée comme un moyen d’authentification forte? La réponse est clairement non. Le recours à cette technique comme seul facteur d’authentification constitue certes une solution «confortable» pour les utilisateurs. Il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment solides. Diverses études ont en effet montré qu’il est possible de falsifier assez aisément les systèmes biométriques actuels. Leur utilisation croissante par les entreprises et les gouvernements, notamment aux Etats-Unis, ne fait en outre que renforcer la détermination des hackers à en identifier les failles. C’est un des paradoxes de la biométrie. Dès lors, il est judicieux de la coupler à un second dispositif d’authentification forte. Dans le cadre de ce projet, un support de type carte à puce a été retenu. Concrètement, l’utilisateur est identifié aussi bien par sa carte que par ses caractéristiques physiques (empreinte digitale, en l’occurrence). La première ne fonctionne que si elle est combinée aux secondes. L’ensemble offre ainsi une preuve irréfutable de l’identité de la personne. Pourquoi une carte à puce? La carte à puce présente l’avantage d’être une solution dynamique, évolutive. Elle permet en effet de stocker des identités numériques (certificat digital). Ce qui ouvre la porte à un grand nombre d’applications comme la signature électronique de documents, l’intégrité de transactions, le chiffrement de données, et bien évidemment, l’authentification forte des utilisateurs. Le recours aux certificats digitaux constitue dès lors une base très solide pour construire la sécurité d’une solution de mobilité. Biométrie: où stocker les données? La biométrie pose la question du stockage des informations relatives aux utilisateurs. Il s’agit là d’une question extrêmement sensible. Nombreux sont en effet ceux qui, à juste titre, s’interrogent sur l’usage qui est fait des données les concernant. Où celles-ci vont-elles être conservées? Qui y aura accès? L’information numérique permet-elle de reconstituer une empreinte digitale? Les réticences face à ce procédé sont réelles. Pour surmonter cet obstacle non négligeable à l’acceptation d’une telle solution par les utilisateurs, la formule choisie consiste à stocker les informations directement sur la carte à puce. A recourir à une technologie qui rend le détenteur de la carte seul propriétaire de ses données biométriques. Technologie Match On Card La technologie Match On Card répond parfaitement à la problématique posée. Non seulement, elle permet le stockage d’informations biométriques sur la carte à puce mais elle assure aussi la vérification de l’empreinte digitale, directement sur cette dernière. Donnant ainsi aux utilisateurs un contrôle total sur les données les concernant. Cette approche a le mérite de susciter la confiance des personnes amenées à avoir recours au système.
  • 4. La réponse au challenge technologique Les technologies biométriques, à commencer par Match On Card, ont clairement un aspect avant gardiste, notamment sur les laptop. Le développement, mené dans cette banque privée genevoise, a toutefois démontré qu’il est technologiquement possible de mettre en œuvre un système d’authentification forte basé sur la biométrie et l’utilisation des certificats numérique pour assurer une protection optimale et un grand confort pour les utilisateurs. Cette solution a répondu aux contraintes technologiques imposées par le projet. L’authentification unique est réalisée avec la biométrie, la sécurisation de l’ouverture du VPN à travers Internet est réalisée avec l’utilisation d’un certificat numérique de type machine stocké dans une puce cryptographique (Trusted Platform Module) embarqué sur le laptop. Toutefois pour ce projet une contrainte n’a pas pu être respectée. A savoir utiliser la biométrie de type Match on Card pour le chiffrement complet du laptop. En effet du au côté avant gardiste de cette solution les principaux fournisseurs de solution de chiffrement des disques (Full Disk Encryption) ne supporte actuellement pas cette technologie. Ceci est le prochain challenge pour la phase 2 de ce projet. Je pense que d’ici fin 2009 il sera possible d’intégrer la technologie Match on Card avec une solution de chiffrement. Retour d’expérience La technologie mise en place, biométrie Match On Card et utilisation des certificats numériques à répondu à ce projet Mobilité. Reste que la technologie ne fait pas tout. La structure organisationnelle à mettre en place pour soutenir la technologie, pour assurer la gestion des identités, s’est ainsi révélée être un des défis majeurs posés par le projet. Le résultat, c’est une entité, dont la mission est de gérer l’ensemble des processus qui gravitent autour du système biométrique: enregistrement des utilisateurs, gestion de l’oubli ou de la perte de la carte à puce, formation des utilisateurs, etc. Cette entité constitue un des piliers de la réussite du projet.