SlideShare ist ein Scribd-Unternehmen logo

Etude de cas Biométrie

Sylvain Maret
Sylvain Maret

Etude de cas d'un projet Biométrie sur les laptops

TechnologieBusiness
1 von 5
Downloaden Sie, um offline zu lesen
2009 Sylvain Maret MARET Consulting 8/31/2009 Biométrie: étude de cas
Sylvain Maret, 31.8.9 Etude de cas, utilisation de la biométrie dans le cadre d’un projet Mobilité pour une banque privée genevoise Mobilité et sécurité, pour les banques privées, il ne s’agit pas là de vains mots, mais des fondements même de leur mode de fonctionnement dans un monde toujours plus compétitif. Il reste néanmoins que la sécurité et la mobilité ne doivent pas se faire au détriment de l’utilisateur. Une solution qui garantit les premières sans se soucier du confort des seconds aurait en effet de fortes chances d’être rejetée par les principaux intéressés. Trop souvent pourtant les mécanismes de sécurité informatique sont mis en place au détriment de ce confort des utilisateurs. Ils se retrouvent alors avec un outil de travail présentant de fortes contraintes. Le système est alors trop compliqué, en plus du fait qu'il soit lent et improductif. Il nécessite plusieurs mots de passe, voir l’utilisation d’un « Token » de type SecurID (ou autres). Bref, la solution n’est pas simple à utiliser, mais elle remplit son rôle premier, à savoir garantir un niveau de sécurité acceptable. C'est pourtant un écueil qu'il est possible d'éviter, le projet Mobilité mené par un établissement bien connu sur la place financière genevoise apporte la preuve que mobilité, sécurité et confort d’utilisation ne sont pas incompatibles. Dans le cadre du projet présenté, l’objectif était de repenser la mobilité de sorte à offrir un outil de travail réellement simple. Pour cela, les compteurs ont été remis à zéro et le projet a débuté par une feuille blanche. L’idée directrice était de proposer aux collaborateurs de la banque un ordinateur portable qu’ils puissent utiliser lors de leurs voyages, depuis leur domicile, un hôtel ou n'importe ailleurs, pour accéder aux applications de la banque via Internet. Comment concilier la simplicité d’utilisation espérée et les fortes contraintes liées à la sécurité nécessaire ? Est-ce là la quadrature du cercle ? Avant de répondre à cette question, une énumération plus précise doit être initialement faite de ces contraintes auxquelles il faut faire face. Elles sont de deux natures : les contraintes pour l’accès aux applications informatiques à disposition des utilisateurs et les contraintes de sécurité. Certaines de ces contraintes feront ici plus particulièrement l'objet de l'analyse préliminaire. A savoir que les données sur l'ordinateur portable en question doivent rester confidentielles, mais aussi que l’accès à la banque doit se faire par le biais d’Internet, que la procédure d’authentification doit être simple et qu'une seule authentification doit être idéalement demandée Si l’authentification forte s’est rapidement imposée comme solution à retenir, il restait encore à définir le système le plus approprié et à déterminer le dispositif qui serait à même d’apporter sécurité et confort, tout en intégrant les technologies utilisées pour mener à bien projet. A savoir une technologie de chiffrement du disque dur, de l'ordinateur portable, dans son entièreté, mais aussi une technologie de type réseau privé virtuel ( VPN ) pour accéder de façon distante à la banque. De plus une authentification unique type SSO ( Single Sign On -) pour accéder au compte Microsoft et une technologie de type Web SSO pour accéder aux applications internes sont également requises.
Sylvain Maret, 31.8.9 On se retrouve donc directement ici au cœur du challenge technologique, à savoir trouver un mécanisme d’authentification forte, simple à utiliser et capable d’être associé aux technologies de sécurité précédemment citées. Mais avant de définir plus avant ce mécanisme, il est impératif d'expliquer ce qu’est l’authentification forte et les raisons pour lesquelles elle doit être utilisée. Tout d'abord, il faut savoir que quatre méthodes classiques d'identification d'une personne physique sont habituellement rencontrées : quelque chose que l’on connaît (un mot de passe ou un code PIN), quelque chose que l’on possède (un «token», une carte à puce, etc), quelque chose que l’on est (un attribut biométrique, tel qu’une empreinte digitale), quelque chose que l’on fait (une action comme la parole ou une signature manuscrite). On parle d’authentification forte dès lors que deux de ces méthodes sont utilisées conjointement, une carte à puce et un code PIN par exemple. Pourquoi privilégier cette méthode plutôt qu’une autre ? Le mot de passe est par exemple le système le plus couramment retenu pour reconnaître un utilisateur. Il s’avère toutefois que celui-ci n’offre pas un niveau de sécurité optimal. Il ne permet ainsi pas d’assurer une protection vraiment efficace des biens informatiques sensibles. Sa principale faiblesse réside dans la facilité ( http://www.secuobs.com/news/31122005- captive.shtml ) avec laquelle il peut être identifié. Au nombre des techniques d’attaques destinées à contourner une authentification par mot de passe, on peut citer l’écoute du clavier par le biais de codes malicieux comme des enregistreurs de frappe, type keylogger, ou plus « simplement » encore, une solution matérielle analogue qui sera placée entre le clavier et l'unité centrale, ou pas ( http://www.secuobs.com/news/03062009- keykeriki_sniffer_wireless_keyboard.shtml ). Quelle technologie doit alors être choisie ? Un grand nombre de technologies d’authentification forte sont disponibles sur le marché, les «One Time Password» ( OTP - http://en.wikipedia.org/wiki/One- time_password ) comme SecurID, les cartes à puces et «token» USB cryptographiques ou bien encore la biométrie. C’est cette dernière qui a finalement été retenue, avant tout afin de répondre à une exigence fondamentale posée par le client, garantir la facilité d’utilisation. Quel système de biométrie choisir pour satisfaire la mobilité ? Lecture de l’iris ou de la rétine, reconnaissance faciale ou vocale, empreinte digitale, quand on parle de biométrie, différentes options ( http://www.secuobs.com/videos/aaabiometri c0.shtml ) sont envisageables. Le choix final a été guidé par le souci de trouver un compromis entre le niveau de sécurité (fiabilité) de la solution, son prix et sa facilité d’utilisation.
Sylvain Maret, 31.8.9 C’est surtout là que résidait une des principales clés du succès, l’adhésion des utilisateurs était en effet indispensable et celle-ci passait par la simplicité de fonctionnement et la convivialité du dispositif. Le lecteur d’empreinte digitale s’est dès lors imposé assez naturellement, et entre autres parce que la plupart des ordinateurs portables récents sont désormais équipés de tels lecteurs. Qu’en est-il alors de la sécurité avec cette solution ? La biométrie peut-elle être considérée comme un moyen d’authentification forte ? La réponse est clairement non. Le recours à cette technique comme seul facteur d’authentification constitue certes une solution «confortable» pour les utilisateurs, mais il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment solides. Diverses études ( http://www.blackhat.com/presentations/bh- dc-09/Nguyen/BlackHat-DC-09-Nguyen-Face- not-your-password.pdf ) ont en effet démontré qu’il est possible de falsifier assez aisément les systèmes biométriques actuels. Leur utilisation croissante par les entreprises et les gouvernements, notamment aux Etats- Unis, ne fait en outre que renforcer la détermination des attaquants à identifier les failles de ces systèmes afin de les exploiter. C’est un des paradoxes de la biométrie. Il est donc plus judicieux de la coupler à un second dispositif d’authentification forte. C'est en ce sens qu'un support additionnel de type carte à puce a été retenu. Concrètement, l’utilisateur s'identifie aussi bien par sa carte que par ses caractéristiques physiques (empreinte digitale, en l’occurrence). L'une et l'autre n'étant pas fonctionnelles si elles ne sont pas combinées lors de la phase d'authentification. L’ensemble offre ainsi une preuve « irréfutable » de l’identité de la personne. Pourquoi ce choix d'une carte à puce ? Elle présente l’avantage d’une solution dynamique et évolutive. Elle permet en effet de stocker des identités numériques (via un certificat). Cela ouvre la porte à un grand nombre d’applications comme la signature électronique de documents, l'intégrité des transactions, le chiffrement des données et bien évidemment l’authentification forte des utilisateurs. Les certificats numériques constituent une base très solide pour construire la sécurité d’une solution de mobilité. Où stocker les données nécessaires aux facteurs biométriques ? L'utilisation de la biométrie pose en effet la question du stockage des informations relatives aux utilisateurs, il s’agit là d’une question extrêmement sensible. Nombreux sont ceux qui, à juste titre, s’interrogent sur l’usage qui est, ou sera, réellement fait des données biométriques les concernant. Où celles-ci vont-elles être conservées ? Dans quelles conditions et pendant combien de temps ? Qui y aura accès ? L’information numérique permet-elle de reconstituer une empreinte digitale ? Les réticences face à ces procédés sont réelles. Pour surmonter les obstacles liés à l’acceptation, la formule choisie consiste à stocker les informations directement sur la carte à puce. Le détenteur est ainsi le seul propriétaire de ses données biométriques.
Sylvain Maret, 31.8.9 Baptisée match-on-card (validation à même la carte - http://fr.wikipedia.org/wiki/Match_on_Card ), cette approche répond parfaitement à la problématique posée. Non seulement, elle permet le stockage d’informations biométriques sur la carte à puce, mais elle assure aussi la vérification de l’empreinte digitale, directement sur cette dernière. Elle donne ainsi aux utilisateurs un contrôle total sur les données les concernant. Cette approche a le mérite de susciter la confiance des utilisateurs. Les technologies biométriques, à commencer par le match-on-card, ont clairement un aspect avant-gardiste. Le développement ici mené a cependant démontré qu’il est technologiquement possible de mettre en œuvre un système d’authentification forte basé sur la biométrie et sur l’utilisation conjointe de certificats numériques afin d'assurer aussi bien une protection optimale qu’un grand confort pour les utilisateurs. Cette solution a, de fait, parfaitement répondu aux contraintes technologiques imposées par le projet. L’authentification unique est ainsi réalisée par le biais de la biométrie, la sécurisation de l’ouverture du VPN à travers Internet est prise en charge par un certificat numérique de type machine, stocké dans une puce cryptographique (TPM, Trusted Platform Module) embarquée sur le laptop. Une contrainte n’a toutefois pas pu être respectée. A savoir, utiliser la biométrie de type match- on-card pour le chiffrement complet du laptop. En raison de son côté avant-gardiste, cette technologie n’est en effet pas compatible avec les principales solutions de chiffrement des disques (FDE, Full Disk Encryption). Ce sera le défi à relever pour la phase 2 qui devrait intervenir à la fin de l'année 2009. Il devrait alors être possible d’intégrer la technologie match-on-card à une solution de chiffrement complète du disque. Retour d’expérience La technologie mise en place – biométrie de type match-on-card et utilisation des certificats numériques – à répondu aux objectifs et aux contraintes du projet Mobilité. Néanmoins la technologie ne fait pas tout, la structure organisationnelle à mettre en place pour soutenir la technique, et notamment assurer la gestion des identités, s’est ainsi révélée être un des défis majeurs posés. Cela a abouti à la création d'une entité dont la mission est de gérer l’ensemble des processus qui gravitent autour du système biométrique : enregistrement des utilisateurs, gestion de l’oubli ou de la perte de la carte à puce, formation des utilisateurs, etc. Cette entité constitue un des piliers de la réussite du projet.

Empfohlen

Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et MobilitéSylvain Maret
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéSylvain Maret
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Sylvain Maret
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Mise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteMise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteSylvain Maret
 

Empfohlen

Authentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DAuthentification Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et MobilitéSylvain Maret
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéSylvain Maret
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Sylvain Maret
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Mise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteMise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteSylvain Maret
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2Sylvain Maret
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéePatrice Pena
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...University of Geneva
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Freelance
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestionProf. Jacques Folon (Ph.D)
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel ArnaudMaster MOI
 

Weitere ähnliche Inhalte

Was ist angesagt?

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2Sylvain Maret
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...University of Geneva
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéePatrice Pena
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnellesBee_Ware
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeTactika inc.
 
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...University of Geneva
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLPMarc Rousselet
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Freelance
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsMicrosoft Ideas
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Radouane Mrabet
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014Abdeljalil AGNAOU
 

Was ist angesagt? (13)

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
 
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Confér...
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Contrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privéeContrôle utilisateur de la vie privée
Contrôle utilisateur de la vie privée
 
Les francais et la protection des données personnelles
Les francais et la protection des données personnellesLes francais et la protection des données personnelles
Les francais et la protection des données personnelles
 
Sécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journéeSécurité de l'IoT | Internet des objets - Formation d'une journée
Sécurité de l'IoT | Internet des objets - Formation d'une journée
 
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle d...
 
Protéger ses données avec de la DLP
Protéger ses données avec de la DLPProtéger ses données avec de la DLP
Protéger ses données avec de la DLP
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1.
 
Cergeco informatique de gestion
Cergeco informatique de gestionCergeco informatique de gestion
Cergeco informatique de gestion
 
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutionsStratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
Stratégie Bring You Own Device (BYOD) et nouvelles directions de solutions
 
Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?Internet des objets : quels défis pour la protection des données personnelles ?
Internet des objets : quels défis pour la protection des données personnelles ?
 
AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014AMAN - sécurité ic-ensak Juin 2014
AMAN - sécurité ic-ensak Juin 2014
 

Ähnlich wie Etude de cas Biométrie

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Morkfromork
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfFootballLovers9
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfAmineelbouabidi
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti servicesAurélie Sondag
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxBernardKabuatila
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésKévin Guérin
 
La sécurité en informatique de santé
La sécurité en informatique de santéLa sécurité en informatique de santé
La sécurité en informatique de santéLudovic Tant
 
Resultats de l'enquête GrIDsure
Resultats de l'enquête GrIDsureResultats de l'enquête GrIDsure
Resultats de l'enquête GrIDsureACTIPOLE21
 
Résultats enquête télétravail GrIDsure
Résultats enquête télétravail GrIDsureRésultats enquête télétravail GrIDsure
Résultats enquête télétravail GrIDsureNicole Turbé-Suetens
 
Presentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfPresentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfJules le Carre
 

Ähnlich wie Etude de cas Biométrie (20)

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdfresume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
resume-theorique-m206-v1-0-630dcd4c22d1d (1).pdf
 
resume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdfresume-theorique-m206-v1-0-62f6e972d0748.pdf
resume-theorique-m206-v1-0-62f6e972d0748.pdf
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel Arnaud
 
Capgemini and sogeti services
Capgemini and sogeti servicesCapgemini and sogeti services
Capgemini and sogeti services
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...
 
Wavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectésWavestone - IAM of Things / Identité des objets connectés
Wavestone - IAM of Things / Identité des objets connectés
 
La sécurité en informatique de santé
La sécurité en informatique de santéLa sécurité en informatique de santé
La sécurité en informatique de santé
 
Resultats de l'enquête GrIDsure
Resultats de l'enquête GrIDsureResultats de l'enquête GrIDsure
Resultats de l'enquête GrIDsure
 
Résultats enquête télétravail GrIDsure
Résultats enquête télétravail GrIDsureRésultats enquête télétravail GrIDsure
Résultats enquête télétravail GrIDsure
 
Presentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdfPresentation de la biometrie sysremde2.pdf
Presentation de la biometrie sysremde2.pdf
 

Mehr von Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionSylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlSylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationSylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationSylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOSylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPadSylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIISylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationSylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidenceSylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Mehr von Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Etude de cas Biométrie

  • 2. Sylvain Maret, 31.8.9 Etude de cas, utilisation de la biométrie dans le cadre d’un projet Mobilité pour une banque privée genevoise Mobilité et sécurité, pour les banques privées, il ne s’agit pas là de vains mots, mais des fondements même de leur mode de fonctionnement dans un monde toujours plus compétitif. Il reste néanmoins que la sécurité et la mobilité ne doivent pas se faire au détriment de l’utilisateur. Une solution qui garantit les premières sans se soucier du confort des seconds aurait en effet de fortes chances d’être rejetée par les principaux intéressés. Trop souvent pourtant les mécanismes de sécurité informatique sont mis en place au détriment de ce confort des utilisateurs. Ils se retrouvent alors avec un outil de travail présentant de fortes contraintes. Le système est alors trop compliqué, en plus du fait qu'il soit lent et improductif. Il nécessite plusieurs mots de passe, voir l’utilisation d’un « Token » de type SecurID (ou autres). Bref, la solution n’est pas simple à utiliser, mais elle remplit son rôle premier, à savoir garantir un niveau de sécurité acceptable. C'est pourtant un écueil qu'il est possible d'éviter, le projet Mobilité mené par un établissement bien connu sur la place financière genevoise apporte la preuve que mobilité, sécurité et confort d’utilisation ne sont pas incompatibles. Dans le cadre du projet présenté, l’objectif était de repenser la mobilité de sorte à offrir un outil de travail réellement simple. Pour cela, les compteurs ont été remis à zéro et le projet a débuté par une feuille blanche. L’idée directrice était de proposer aux collaborateurs de la banque un ordinateur portable qu’ils puissent utiliser lors de leurs voyages, depuis leur domicile, un hôtel ou n'importe ailleurs, pour accéder aux applications de la banque via Internet. Comment concilier la simplicité d’utilisation espérée et les fortes contraintes liées à la sécurité nécessaire ? Est-ce là la quadrature du cercle ? Avant de répondre à cette question, une énumération plus précise doit être initialement faite de ces contraintes auxquelles il faut faire face. Elles sont de deux natures : les contraintes pour l’accès aux applications informatiques à disposition des utilisateurs et les contraintes de sécurité. Certaines de ces contraintes feront ici plus particulièrement l'objet de l'analyse préliminaire. A savoir que les données sur l'ordinateur portable en question doivent rester confidentielles, mais aussi que l’accès à la banque doit se faire par le biais d’Internet, que la procédure d’authentification doit être simple et qu'une seule authentification doit être idéalement demandée Si l’authentification forte s’est rapidement imposée comme solution à retenir, il restait encore à définir le système le plus approprié et à déterminer le dispositif qui serait à même d’apporter sécurité et confort, tout en intégrant les technologies utilisées pour mener à bien projet. A savoir une technologie de chiffrement du disque dur, de l'ordinateur portable, dans son entièreté, mais aussi une technologie de type réseau privé virtuel ( VPN ) pour accéder de façon distante à la banque. De plus une authentification unique type SSO ( Single Sign On -) pour accéder au compte Microsoft et une technologie de type Web SSO pour accéder aux applications internes sont également requises.
  • 3. Sylvain Maret, 31.8.9 On se retrouve donc directement ici au cœur du challenge technologique, à savoir trouver un mécanisme d’authentification forte, simple à utiliser et capable d’être associé aux technologies de sécurité précédemment citées. Mais avant de définir plus avant ce mécanisme, il est impératif d'expliquer ce qu’est l’authentification forte et les raisons pour lesquelles elle doit être utilisée. Tout d'abord, il faut savoir que quatre méthodes classiques d'identification d'une personne physique sont habituellement rencontrées : quelque chose que l’on connaît (un mot de passe ou un code PIN), quelque chose que l’on possède (un «token», une carte à puce, etc), quelque chose que l’on est (un attribut biométrique, tel qu’une empreinte digitale), quelque chose que l’on fait (une action comme la parole ou une signature manuscrite). On parle d’authentification forte dès lors que deux de ces méthodes sont utilisées conjointement, une carte à puce et un code PIN par exemple. Pourquoi privilégier cette méthode plutôt qu’une autre ? Le mot de passe est par exemple le système le plus couramment retenu pour reconnaître un utilisateur. Il s’avère toutefois que celui-ci n’offre pas un niveau de sécurité optimal. Il ne permet ainsi pas d’assurer une protection vraiment efficace des biens informatiques sensibles. Sa principale faiblesse réside dans la facilité ( http://www.secuobs.com/news/31122005- captive.shtml ) avec laquelle il peut être identifié. Au nombre des techniques d’attaques destinées à contourner une authentification par mot de passe, on peut citer l’écoute du clavier par le biais de codes malicieux comme des enregistreurs de frappe, type keylogger, ou plus « simplement » encore, une solution matérielle analogue qui sera placée entre le clavier et l'unité centrale, ou pas ( http://www.secuobs.com/news/03062009- keykeriki_sniffer_wireless_keyboard.shtml ). Quelle technologie doit alors être choisie ? Un grand nombre de technologies d’authentification forte sont disponibles sur le marché, les «One Time Password» ( OTP - http://en.wikipedia.org/wiki/One- time_password ) comme SecurID, les cartes à puces et «token» USB cryptographiques ou bien encore la biométrie. C’est cette dernière qui a finalement été retenue, avant tout afin de répondre à une exigence fondamentale posée par le client, garantir la facilité d’utilisation. Quel système de biométrie choisir pour satisfaire la mobilité ? Lecture de l’iris ou de la rétine, reconnaissance faciale ou vocale, empreinte digitale, quand on parle de biométrie, différentes options ( http://www.secuobs.com/videos/aaabiometri c0.shtml ) sont envisageables. Le choix final a été guidé par le souci de trouver un compromis entre le niveau de sécurité (fiabilité) de la solution, son prix et sa facilité d’utilisation.
  • 4. Sylvain Maret, 31.8.9 C’est surtout là que résidait une des principales clés du succès, l’adhésion des utilisateurs était en effet indispensable et celle-ci passait par la simplicité de fonctionnement et la convivialité du dispositif. Le lecteur d’empreinte digitale s’est dès lors imposé assez naturellement, et entre autres parce que la plupart des ordinateurs portables récents sont désormais équipés de tels lecteurs. Qu’en est-il alors de la sécurité avec cette solution ? La biométrie peut-elle être considérée comme un moyen d’authentification forte ? La réponse est clairement non. Le recours à cette technique comme seul facteur d’authentification constitue certes une solution «confortable» pour les utilisateurs, mais il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment solides. Diverses études ( http://www.blackhat.com/presentations/bh- dc-09/Nguyen/BlackHat-DC-09-Nguyen-Face- not-your-password.pdf ) ont en effet démontré qu’il est possible de falsifier assez aisément les systèmes biométriques actuels. Leur utilisation croissante par les entreprises et les gouvernements, notamment aux Etats- Unis, ne fait en outre que renforcer la détermination des attaquants à identifier les failles de ces systèmes afin de les exploiter. C’est un des paradoxes de la biométrie. Il est donc plus judicieux de la coupler à un second dispositif d’authentification forte. C'est en ce sens qu'un support additionnel de type carte à puce a été retenu. Concrètement, l’utilisateur s'identifie aussi bien par sa carte que par ses caractéristiques physiques (empreinte digitale, en l’occurrence). L'une et l'autre n'étant pas fonctionnelles si elles ne sont pas combinées lors de la phase d'authentification. L’ensemble offre ainsi une preuve « irréfutable » de l’identité de la personne. Pourquoi ce choix d'une carte à puce ? Elle présente l’avantage d’une solution dynamique et évolutive. Elle permet en effet de stocker des identités numériques (via un certificat). Cela ouvre la porte à un grand nombre d’applications comme la signature électronique de documents, l'intégrité des transactions, le chiffrement des données et bien évidemment l’authentification forte des utilisateurs. Les certificats numériques constituent une base très solide pour construire la sécurité d’une solution de mobilité. Où stocker les données nécessaires aux facteurs biométriques ? L'utilisation de la biométrie pose en effet la question du stockage des informations relatives aux utilisateurs, il s’agit là d’une question extrêmement sensible. Nombreux sont ceux qui, à juste titre, s’interrogent sur l’usage qui est, ou sera, réellement fait des données biométriques les concernant. Où celles-ci vont-elles être conservées ? Dans quelles conditions et pendant combien de temps ? Qui y aura accès ? L’information numérique permet-elle de reconstituer une empreinte digitale ? Les réticences face à ces procédés sont réelles. Pour surmonter les obstacles liés à l’acceptation, la formule choisie consiste à stocker les informations directement sur la carte à puce. Le détenteur est ainsi le seul propriétaire de ses données biométriques.
  • 5. Sylvain Maret, 31.8.9 Baptisée match-on-card (validation à même la carte - http://fr.wikipedia.org/wiki/Match_on_Card ), cette approche répond parfaitement à la problématique posée. Non seulement, elle permet le stockage d’informations biométriques sur la carte à puce, mais elle assure aussi la vérification de l’empreinte digitale, directement sur cette dernière. Elle donne ainsi aux utilisateurs un contrôle total sur les données les concernant. Cette approche a le mérite de susciter la confiance des utilisateurs. Les technologies biométriques, à commencer par le match-on-card, ont clairement un aspect avant-gardiste. Le développement ici mené a cependant démontré qu’il est technologiquement possible de mettre en œuvre un système d’authentification forte basé sur la biométrie et sur l’utilisation conjointe de certificats numériques afin d'assurer aussi bien une protection optimale qu’un grand confort pour les utilisateurs. Cette solution a, de fait, parfaitement répondu aux contraintes technologiques imposées par le projet. L’authentification unique est ainsi réalisée par le biais de la biométrie, la sécurisation de l’ouverture du VPN à travers Internet est prise en charge par un certificat numérique de type machine, stocké dans une puce cryptographique (TPM, Trusted Platform Module) embarquée sur le laptop. Une contrainte n’a toutefois pas pu être respectée. A savoir, utiliser la biométrie de type match- on-card pour le chiffrement complet du laptop. En raison de son côté avant-gardiste, cette technologie n’est en effet pas compatible avec les principales solutions de chiffrement des disques (FDE, Full Disk Encryption). Ce sera le défi à relever pour la phase 2 qui devrait intervenir à la fin de l'année 2009. Il devrait alors être possible d’intégrer la technologie match-on-card à une solution de chiffrement complète du disque. Retour d’expérience La technologie mise en place – biométrie de type match-on-card et utilisation des certificats numériques – à répondu aux objectifs et aux contraintes du projet Mobilité. Néanmoins la technologie ne fait pas tout, la structure organisationnelle à mettre en place pour soutenir la technique, et notamment assurer la gestion des identités, s’est ainsi révélée être un des défis majeurs posés. Cela a abouti à la création d'une entité dont la mission est de gérer l’ensemble des processus qui gravitent autour du système biométrique : enregistrement des utilisateurs, gestion de l’oubli ou de la perte de la carte à puce, formation des utilisateurs, etc. Cette entité constitue un des piliers de la réussite du projet.