Geneva Application Security Forum: Vers une authentification plus forte dans ...
Utilisation de la biométrie dans le cadre d’un projet Mobilité
1. Utilisation de la
biométrie dans le
cadre d’un projet
Mobilité
Le retour d'expérience d'une banque privée
pour lier sécurité, mobilité et confort des
utilisateurs.
Capteur Biométrique de type « Swipe »
Mobilité et sécurité : pour les banques
privées, il ne s’agit pas là de vains mots,
mais des fondements même de leur mode
Objectif du projet
de fonctionnement dans un monde toujours
Dans le cadre du projet présenté ici, l’objectif
plus compétitif. Il reste que la sécurité et la
était de repenser la mobilité de sorte à offrir
mobilité ne doivent pas se faire au détriment
un outil de travail réellement simple. Pour
de l’utilisateur et de son confort.
cela, nous avons remis les compteurs à
zéro, nous sommes parti d’une feuille
Une solution informatique qui garantirait les
blanche. Avec l’idée de proposer aux
premières sans se soucier du second aurait
collaborateurs de la banque un nouveau
en effet de fortes chances d’être rejetée par
laptop qu’ils puissent utiliser lors de leurs
les utilisateurs.
voyages, depuis la maison, un hôtel ou
ailleurs, via Internet.
Trop souvent pourtant les mécanismes de
sécurité informatique sont mis en place au
Comment faire ? Comment concilier
détriment du confort de l’utilisateur. Celui-ci
simplicité d’utilisation et fortes contraintes
se retrouve alors avec un outil de travail qui
de sécurité ? Est-ce la quadrature du cercle
présente de fortes contraintes. Le système
? Avant de répondre à cette question,
est compliqué, le système est lent. Il
énumérons de façon plus précise les
nécessite plusieurs mots de passe, ou
contraintes auxquelles il fallait faire face.
l’utilisation d’un « Token » de type SecurID
Elles sont de deux nature : les contraintes
ou autre. Bref, la solution n’est pas simple à
pour l’accès aux applications informatiques à
utiliser. Mais elle est quot;secure
securequot;…
secure
disposition des utilisateurs et les contraintes
de sécurité. Dans le cadre de cet article,
C'est pourtant un écueil qu'il est possible
nous allons nous focaliser sur certaines
d'éviter : le projet Mobilité mené par un
d’entre elles.
établissement bien connu sur la place
financière genevoise apporte la preuve que
• Les données sur le laptop doivent rester
mobilité, sécurité et confort d’utilisation ne
confidentielles
sont pas incompatibles.
• L’accès à la banque doit se faire par le
Sylvain Maret
CEO MARET Consulting, mars 2009
2. biais d’Internet comme la parole ou une signature
• La procédure d’authentification doit être manuscrite.
simple
• Idéalement, une seule authentification doit On parle d’authentification forte dès que
être demandée deux de ces méthodes sont utilisées
ensemble. Par exemple une carte à puce et
Si l’authentification forte s’est rapidement un PIN code.
imposée comme la solution à retenir, restait
encore à définir le système le plus Pourquoi cette méthode plutôt qu’une autre?
plutôt
approprié. A déterminer le dispositif à même
d’apporter sécurité et confort, tout en Le mot de passe. Il s’agit là du système le
intégrant les technologies utilisées pour ce plus couramment retenu pour reconnaître
projet. A savoir une technologie de un utilisateur. Il s’avère toutefois que celui-ci
chiffrement complet du disque dur du laptop, n’offre pas un niveau de sécurité optimal.
une technologie de type VPN (Virtual Private Qu’il ne permet pas d’assurer une protection
Network) pour accéder à la banque par efficace de biens informatiques sensibles.
Internet, une authentification de type Single
Sign On pour accéder au compte Microsoft et Sa principale faiblesse réside dans la facilité
une technologie de type Web Single Sign On avec laquelle il peut être identifié. Au
(authentification unique) pour accéder aux nombre des techniques d’attaques destinées
applications. à briser un mot de passe, on peut citer
l’écoute du clavier par le biais d’un logiciel
Nous voilà au cœur du challenge malveillant (keylogger) ou plus simplement
technologique. Trouver un mécanisme encore, un keylogger matériel placé entre le
d’authentification forte, simple à utiliser et clavier et l'unité centrale.
capable d’être associé aux technologies de
sécurité (Chiffrement, VPN, Authentification Quelle technologie choisir?
Microsoft et Web Single Sign On).
Un grand nombre de technologies
Mais avant de définir plus avant ce d’authentification forte sont disponibles sur
mécanisme, expliquons ce qu’est le marché. Celles de type «One Time
l’authentification forte et pourquoi l’utiliser. Password» (par exemple SecurID), les cartes
à puces et «token» USB cryptographiques ou
Qu’est-
Qu’est-ce que l’authentification forte? encore la biométrie. C’est cette dernière qui
Les méthodes classiques pour identifier une a été retenue dans le cas qui nous intéresse.
personne physique sont au nombre de Avant tout pour répondre à une exigence
quatre : fondamentale posée par le client : garantir la
facilité d’utilisation.
1. Quelque chose que l’on connaît: un mot de Quel système de biométrie pour la mobilité ?
passe ou un PIN code;
2. Quelque chose que l’on possède: un Lecture de l’iris, de la rétine, reconnaissance
«token», une carte à puce, etc.; faciale ou vocale, empreinte digitale. Quand
3. Quelque chose que l’on est: un attribut on parle de biométrie, différentes options
biométrique, tel qu’une empreinte digitale; sont envisageables. Le choix final a été guidé
4. Quelque chose que l’on fait: une action par le souci de trouver un compromis entre
Sylvain Maret
CEO MARET Consulting, mars 2009
3. le niveau de sécurité (fiabilité) de la solution, fonctionne que si elle est combinée aux
son prix et sa facilité d’utilisation. secondes. L’ensemble offre ainsi une preuve
irréfutable de l’identité de la personne.
C’est surtout là que résidait une des
principales clés du succès. L’adhésion des Pourquoi une carte à puce?
utilisateurs était en effet indispensable. Et
celle ci passait par la simplicité de La carte à puce présente l’avantage d’être
fonctionnement, par la convivialité du une solution dynamique, évolutive. Elle
dispositif. Le lecteur d’empreinte digitale permet en effet de stocker des identités
s’est alors imposé assez naturellement, et numériques (via un certificat). Ce qui ouvre la
entre autre parce que la plupart des porte à un grand nombre d’applications
ordinateurs portables récents sont comme la signature électronique de
désormais équipés d'un tel lecteur. documents, l’intégrité de transactions, le
chiffrement de données et bien évidemment
est- l’authentification forte des utilisateurs. Les
Qu’en est-il de la sécurité?
certificats numériques constituent dès lors
La biométrie peut-elle être considérée une base très solide pour construire la
comme un moyen d’authentification forte? sécurité d’une solution de mobilité.
La réponse est clairement non. Le recours à
cette technique comme seul facteur
d’authentification constitue certes une
solution «confortable» pour les utilisateurs.
Mais il n’en demeure pas moins qu’elle
n’offre pas des garanties de sécurité
suffisamment solides.
Diverses études ont en effet montré qu’il est
Carte à puce cryptographique
possible de falsifier assez aisément les
systèmes biométriques actuels. Leur
utilisation croissante par les entreprises et
Biométrie: où stocker les données?
les gouvernements, notamment aux Etats-
Unis, ne fait en outre que renforcer la
La biométrie pose la question du stockage
détermination des hackers à en identifier les
des informations relatives aux utilisateurs.
failles. C’est un des paradoxes de la
biométrie.
Il s’agit là d’une question extrêmement
sensible. Nombreux sont en effet ceux qui, à
Dès lors, il est judicieux de la coupler à un
juste titre, s’interrogent sur l’usage qui est
second dispositif d’authentification forte.
fait des données les concernant.
Dans le cadre de ce projet, un support de
Où celles-ci vont-elles être conservées? Qui
type carte à puce a été retenu.
y aura accès? L’information numérique
permet-elle de reconstituer une empreinte
Concrètement, l’utilisateur est identifié aussi
digitale? Les réticences face à ce procédé
bien par sa carte que par ses
sont réelles.
caractéristiques physiques (empreinte
digitale, en l’occurrence). La première ne
Sylvain Maret
CEO MARET Consulting, mars 2009
4. Pour surmonter cet obstacle à l’acceptation Module) embarquée sur le laptop.
d’une telle solution par les utilisateurs, la
formule choisie consiste à stocker les Dans le cadre de ce projet une contrainte n’a
informations directement sur la carte à puce. toutefois pas pu être respectée. A savoir,
Le détenteur de la carte est ainsi le seul utiliser la biométrie de type match-on-card
propriétaire de ses données biométriques. pour le chiffrement complet du laptop. En
raison de son côté avant-gardiste, cette
L'approche de type match-on-card
match-on- technologie n’est en effet pas compatible
avec les principales solutions de chiffrement
Baptisée match-on-card (quot;validation à même des disques (FDE, Full Disk Encryption). Ce
la cartequot;), cette approche répond sera le défi à relever pour la phase 2 de ce
parfaitement à la problématique posée. Non projet (fin 2009). Il devrait alors être possible
seulement, elle permet le stockage d’intégrer la technologie match-on-card à
d’informations biométriques sur la carte à une solution de chiffrement complète du
puce, mais elle assure aussi la vérification disque.
de l’empreinte digitale, directement sur cette
dernière. Elle donne ainsi aux utilisateurs un Retour d’expérience
contrôle total sur les données les
concernant. Cette approche a le mérite de La technologie mise en place – biométrie de
susciter la confiance des personnes type match-on-card et utilisation des
amenées à avoir recours au système. certificats numériques – à répondu aux
objectifs et aux contraintes de ce projet
Mobilité. Mais la technologie ne fait pas tout :
La réponse au challenge technologique
la structure organisationnelle à mettre en
Les technologies biométriques, à place pour soutenir la technique, et
commencer par le match-on-card, ont notamment assurer la gestion des identités,
clairement un aspect avant-gardiste, s’est ainsi révélée être un des défis majeurs
notamment sur les laptop. Le posé par le projet.
développement mené dans cette banque
privée genevoise a cependant démontré qu’il Cela a abouti à la création d'une entité dont
est technologiquement possible de mettre en la mission est de gérer l’ensemble des
œuvre un système d’authentification forte processus qui gravitent autour du système
basé sur la biométrie et sur l’utilisation biométrique : enregistrement des
conjointe de certificats numériques afin utilisateurs, gestion de l’oubli ou de la perte
d'assurer aussi bien une protection optimale de la carte à puce, formation des utilisateurs,
qu’un grand confort pour les utilisateurs. etc.
Cette solution a, de fait, parfaitement
répondu aux contraintes technologiques Cette entité constitue un des piliers de la
imposées par le projet. réussite du projet.
L’authentification unique est ainsi réalisée
par le biais de la biométrie, la sécurisation Sylvain Maret
de l’ouverture du VPN à travers Internet est
prise en charge par un certificat numérique
de type machine, stocké dans une puce
cryptographique (TPM, Trusted Platform
Sylvain Maret
CEO MARET Consulting, mars 2009