SOLUTIONS BANCAIRES

BIOMETRIE ET MOBILITE
Comment concilier facilite
d'utilisation et securite?
Mobitite et securite. Pour les banques, il ne s'agit pas la de vains mots, mais bien des
fondements de leur mode de fonctionnement dans un monde de plus en plus competitlf.
Reste que la securite et la mobiltte ne doivent pas se construire au detriment de I'utilisateur,
de son confort. Une solution informatique qui garantirait les premieres sans se soucier
du second aurait, en effet, de fortes chances d'etre reietee par ce dernier. Le projet Mobilite,
mene par un etabllssement sur la place financiere genevoise, apporte la preuve que rnobilite,
securite et confort d'utilisation ne sont pas incompatibles.

laptop, un VPN pour acceder a la ban que

Sylvain MARET par Internet, une authentification unique
CEOMARET Consulting pour acceder au compte Microsoft et aux
applications bancaires (application web).
Nous voila au cceur du challenge technolo-
gique. Trouver un mecanisme d'authentifi-
omment ameliorer Ie con fort cation forte, simple a utiliser et capable

C des utilisateurs sans com-

promettre la securite? Bien
souvent les mecanismes de
securite informatique sont
mis en place au detriment du confort de
l'utilisateur. Celui-ci se retrouve alors avec
d'etre associe aux technologies de securite.
Avant de definir plus avant ce mecanisme,
expliquons ce qu'est l'authentification forte
et pourquoi I'utiliser.

Qu'est-ce que I'authentification

un outil de travail qui presente de fortes
contraintes. Le systerne est cornplique et
lent. II necessite plusieurs mots de passe,
l'utilisation d'un «Token» de type SecurID.
Bref, la solution n'est pas vraiment utili-
sable. Mais elle est «secure» ...
Objectif du projet
Dans Ie cadre du projet presente ici, l'objec-
tit etait de repenser la rnobilite, de sorte a
offrir un outil de travail simple. Pour cela,
nous avons remis les compteurs a zero,
nous sommes partis d'une feuille blanche.
Avec l'idee de proposer aux collaborateurs
de la banque un nouveau laptop qu'ils puis-
sent utiliser lors de leurs voyages via Inter-
net. Comment faire? Comment concilier sim-
plicite d'utilisation et fortes contraintes de
securite? Est-ce la quadrature du cercle?
Avant de repondre a cette question, enume-
rons de facon plus precise les contraintes
auxquelles il fallait faire face. Elles sont de
deux natures: les contraintes pour l'acces
La solution d'identification forte adoptee com-
prend une lecture biometriaue des emprein-
tes digiteles, couotee a une carte a puce.
a.u~ applications informatiques et les
contraintes de securite. Dans Ie cadre de cet
article, nous allons nous focaliser sur cer-
taines d'entre elles:
• les donnees sur Ie laptop doivent rester
confidentieIles;
• l'acces a la ban que doit se faire par Ie
biais d'Internet;
• la procedure d'authentification doit etre
simple;
• une seule authentification doit etre
demandee,
Si l'authentification forte s'est rapidement
imposee comme la solution a retenir, restait
encore a definir Ie systeme Ie plus appro-
prie. A determiner Ie dispositif a meme d'ap-
porter securite et con fort, tout en integrant
les technologies utilisees pour ce projet. A
savoir, une technologie de chiffrement du
forte?
Les methodes classiques pour identifier une
personne physique sont au nombre de trois:
1.quelque chose que l'on connait: un PIN
Code, etc.
2. quelque chose que l'on possede: une
carte a puce, etc.
3. quelque chose que l'on est: une empreinte
digitale, etc.
On parle d'authentification forte des que
deux de ces methodes sont utilisees
ensemble. Par exemple, une carte a puce et
un PIN code.
Pourquoi cette methode plutot
qu'une autre?
Le mot de passe. II s'agit la du systerne Ie
plus couramment retenu pour reconnaitre
un utilisateur. II s'avere, toutefois, qu'il ne
permet pas d'assurer une protection effi-
cace de biens informatiques sensibles. Sa
principale faiblesse reside dans la Iacilite
avec laquelle il peut etre identifie.

62 I B&F MAl - J IN 2009


Quelle technologie choisir?
Un grand nombre de technologies d'authen-
tification forte sont disponibles sur Ie
marche. Celles de type "One Time Pass-
word» (Style SecurlD), les cartes a puces ou
encore la biornetrie. C'est cette derniere qui
a He retenue dans Ie cas qui nous interesse.
Avant tout pour repondre a une exigence
fondamentale posee par Ie client. A savoir,
garantir la Iacilite d'utilisation.
Quel systerne de blornetrle pour
la rnoblllte?
Lecture de l'iris, reconnaissance faciale,
empreinte digitale. Quand on parle de bio-
metrie, differentes options sont envisa-
geables. Le choix final a ete guide par Ie
souci de trouver un compromis entre Ie
niveau de securite de la solution, son prix et
sa facilite d'utilisation. De plus, la plupart
des nouveaux laptops possedent mainte-
nant un lecteur biometrique. C'est surtout
la que residait une des principales cles du
succes. L'adhesion des utilisateurs etait, en
effet, indispensable. Et celle-ci passait par la
simplicite de fonctionnement, par la convi-
vialite du dispositif.
Qu'en est-il de la securlte?
La biometrie peut-elle etre consideree
comme un moyen d'authentification forte?
La reponse est c1airement non. Le recours a
cette technique comme seul facteur d'au-
thentification constitue certes une solution
«contortable» pour les utilisateurs. II n'en
demeure pas moins qu'elle n'offre pas des
garanties de securite suffisamment solides.
Diverses etudes ont, en effet, montre qu'il
est possible de falsifier assez aisernent les
systernes biornetriques actuels. Des lors, iI
est judicieux de la coupler a un second
dispositif d'authentification forte. Dans Ie
cadre de ce projet, un support de type carte
a puce a ete retenu. Concreternent, I'utilisa-
teur est identifie aussi bien par sa carte que
par ses empreintes digitales. La premiere ne
fonctionne que si elle est combinee aux
secondes. L'ensemble offre ainsi une preuve
irrefutable de l'identite de la personne.
Pourquoi une carte a puce?
La carte a puce presente I'avantage d'etre
une solution dynamique, evolutive. Elle
permet, en effet, de stocker des identites
numeriques (certificat digital). Ce qui ouvre
la porte a un grand nombre d'applications
comme la signature electronique, Ie chiffre-
MAl - J IN 2009
BIOMETRIE ET MOBILITE
Une solution de mooittte alliant securite et contort d'utilisation.
ment et, bien evidemrnent, I'authentifica-
tion forte des utilisateurs.
Blometrle: ou stocker
les donnees?
La biornetrie pose la question du stockage
des informations relatives aux utilisateurs.
II s'agit la d'une question extrernernent sen-
sible. Nombreux sont, en effet, ceux qui, a
juste titre, s'interrogent sur I'usage qui est
fait des donnees les concernant. au celles-ci
vont-elles etre conservees? Les reticences
face a ce precede sont reelles. Pour sur-
monter cet obstacle non negligeable a
I'acceptation d'une telle solution par les
utilisateurs, la formule choisie consiste a
stocker les informations directement sur la
carte a puce. A recourir a une technologie
qui rend Ie detenteur de la carte seul pro-
prietaire de ses donnees biornetriques.
Technologie Match On Card
Cette technologie repond parfaitement a la
problernatique posee. Non seulement, elle
permet Ie stockage d'informations biorne-
triques sur la carte a puce, mais elle assure
aussi la verification de I'empreinte digitale,
directement sur cette derniere.
La reponse au challenge
technologique
Les technologies biometriques, a commen-
cer par Match On Card, ont c1airement un
aspect avant-gardiste, notamment sur les
laptops. Le developpernent mene dans cette
banque a, cependant, dernontre qu'il est
technologiquement possible de mettre en
oeuvre un systeme d'authentification forte,
base sur la biometrie et I'utilisation des cer-
tificats numerique pour assurer aussi bien
une protection optimale qu'un grand
confort pour les utilisateurs. Cette solution
a repondu aux contraintes technologiques
irnposees par Ie projet. L'authentification
unique est realisee par Ie biais de la biome-
trie, la securisation du VPN est realisee
grace a un certificat numerique de type
machine, stocke dans une puce cryptogra-
phique (TPM) ernbarquee sur Ie laptop.
Dans Ie cadre de ce projet, une contrainte
n'a toutefois pas pu etre respectee. A savoir,
utiliser la biometrie de type Match on Card
pour Ie chiffrement du laptop. En raison de
son cote avant-gardiste, cette technologie
n'est, en effet, pas compatible avec les prin-
cipales solutions de chiffrement des dis-
ques. C'est Ie prochain challenge a relever
pour la phase 2 de ce projet. D'ici fin 2009, il
devrait ainsi etre possible d'integrer cette
technologie a une solution de chiffrement.
Retour d'experlence
La technologie mise en place - blometrie
Match On Card et utilisation des certificats
nurneriques - a repondu aux objectifs et aux
contraintes de ce projet mobilite. Reste que
la technologie ne fait pas tout. La structure
organisationnelle a mettre en place pour
soutenir la techno logie, pour assurer la
gestion des identites, s'est, ainsi, revele etre
un des defis majeurs poses par Ie projet.
Le resultat, c'est une entite, dont la mission
est de gerer I'ensemble des processus qui
gravitent autour du systerne biornetrique:
enregistrement des utilisateurs, gestion de
I'oubli ou de la perte de la carte a puce, etc.
Cette entite constitue un des piliers de la
reusslte du projet. • SM.
B&F I 63