Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Authentification : vers la fin du sacro-saint mot de passe

Dans le sillage de la nouvelle directive sur les services de paiement DSP2, et en accord avec le RGPD, l’univers de l’authentification s'apprête à rendre le mot de passe obsolète, au profit de systèmes d’authentification fondés sur la biométrie.

Trop facile à pirater, le mot de passe arrive en fin de vie. Face à cette inévitable obsolescence, les systèmes d’authentification forte tentent d’accroître la sécurité d’accès aux systèmes d’information en intégrant des procédures d’identification requérant la concaténation d’au moins deux facteurs d’authentification. Par exemple, en associant un mot de passe à un mot de passe temporaire [On-time Password (OTP)] reçu sur smartphone, ou à une carte magnétique, voire à un équipement électronique (puce RFID, clé USB, carte à puce, smartphone). Après avoir connu des systèmes d’authentification forte multi-factoriels, souvent trop complexes à mettre en œuvre, les systèmes de reconnaissance biométrique viennent simplifier la donne.

La réglementation accélère le changement
L’authentification forte connaît un regain d’intérêt en raison de l’entrée en vigueur, le 13 janvier dernier, de la seconde version de la directive européenne sur les services de paiement (DSP2) qui avait été transposée en droit français par ordonnance durant l’été. La DSP2 rend obligatoire l’authentification forte pour les paiements en ligne de plus de 30 euros dans toute l’Europe. Reste un sérieux bémol : une période d’adaptation de 18 mois est prévue. En clair, les entreprises et les banques ont jusqu’au 14 septembre 2019 pour se mettre aux normes et implémenter leurs solutions techniques.
Dans ce contexte, l’Alliance FIDO (pour Fast IDentity Online) compte apporter sa pierre à l’édifice. En effet, celle-ci élabore depuis 2012 les standards techniques interopérables en rassemblant 250 partenaires. A savoir des constructeurs d’équipements électroniques (ARM, Infineon, Intel, Lenovo, LG, Qualcomm, Samsung, ST, etc.), des fournisseurs de solutions de sécurité (Aetna, Feitian, Fingerprints, Gemalto, Giesecke & Devrient, HID, Idemia, Microsoft, Mozilla, Nok Nok, Raonsecure, RSA, Symantec, ThreatMetrix, etc.), des banques et opérateurs de services de paiement (American Express, Bank of America, BCcard, Chase, ING, Mastercard, PayPal, Synaptics, Visa, etc.), ainsi que des fournisseurs de services internet (Amazon, Alibaba, eBay, Facebook, Google, Rakuten, etc.).

La biométrie va détrôner le mot de passe

« La biométrie permet de remplacer le mot de passe à moindre coût », souligne Alain Martin co-président en Europe de l’Alliance FIDO qui a sorti cette année un nouveau standard technique, FIDO2. Ce dernier va inaugurer l’ère du « sans mot de passe » en misant sur la biométrie. La première étape nécessite un appareil électronique (clé USB, smartphone, PC, et.). L’utilisateur saisit un code PIN, son empreinte digitale ou sa reconnaissance faciale. La vérification est exécutée localement dans l’appareil. La seconde étape, qui matérialise la possession de l’appareil, se fait en ligne et recourt à la cryptographie. « Ni les clés privées ni les données biométriques ne sont partagées sur le serveur en ligne », précise Alain Martin.

Nouveau standard dans le navigateur
Précisons que FIDO2 s’appuie sur différents standards : le protocole Universal Authentication Framework (UAF), la spécification d’authentification Web du W3C (WebAuthn) ainsi que le protocole CTAP (Client-to-Authenticator Protocol). Lesquels permettront collectivement aux utilisateurs d’employer des dispositifs communs pour s’authentifier facilement aux services en ligne – dans les environnements mobiles et de bureau. Par ailleurs, WebAuthn définit une API (Application Programming Interface) Web standard qui peut être intégrée aux navigateurs et à l’infrastructure de plateforme Web associée, pour permettre aux services en ligne d’utiliser l’authentification FIDO. Quant à CTAP, il permet à des appareils externes tels que les téléphones mobiles ou les clés de sécurité FIDO de fonctionner avec WebAuthn et de servir d’authentificateurs pour les applications de bureau et les services Web. Autre point important, plusieurs navigateurs Web majeurs, dont Google Chrome, Firefox et Microsoft Edge, sont en train d’implémenter les standards WebAuthn et CTAP. Quant à Android et Windows 10, ils auront également un support intégré pour l’authentification FIDO.

Alain Martin co-président en Europe de l’Alliance FIDO,
durant le salon Banque et innovation.
© Agence TCA
Alain Martin co-président en Europe de l’Alliance FIDO,
durant le salon Banque et innovation.
© Agence TCA

Simplifier le parcours client avec la comparaison

Certaines entreprises ont pris les devants. A l’instar de la Société Générale qui, avec l’aide du cabinet TNP Consultants, recourt à l’authentification biométrique d’Idemia pour la délicate « Entrée en relation » (EER). « L’idée consiste à simplifier le parcours client de la personne qui veut ouvrir un compte en ligne. Notre promesse, c’est de lui permettre de le faire en moins de 10 minutes. Même s’il s’agit, pour la personne, d’un premier compte bancaire, expliquait, ce mardi 16 octobre durant le salon Banque et Innovation, Anne-Laure Barennes, responsable du parcours client à la Société générale. La personne choisit son offre bancaire, transmet de façon digitale tous les documents qui lui ont été demandés (scan de la carte d’identité, justificatif de domicile, etc.), puis s’ouvre une session de vidéochat avec un conseiller au cours de laquelle la personne envoie son selfie. Nous comparons alors le visage inscrit sur la pièce d’identité à celui qui apparaît à l’écran. Bien sûr, le conseiller demande le consentement de la personne. Par ailleurs, nous ne conservons pas le gabarit de cette comparaison. En revanche, nous conservons le score de réussite de l’opération. »

En accord avec le RGPD
Dans la foulée, le client pourra signer électroniquement son contrat et commander ses moyens de paiement. « La Commission nationale Informatique et Libertés (Cnil) autorise le stockage du scan de la carte d’identité mais pas celui du gabarit [dans le cadre du RGPD, NDLR]. En revanche, nous pouvons rejouer la comparaison faciale à chaque fois que c’est nécessaire, ajoute Anne-Laure Barennes. Aujourd’hui, le score de réussite est de 90% et nous n’avons pas eu à déplorer de tentative de fraude. Il faut dire que la vérification biométrique en live avec le conseiller est assez dissuasive. »

Erick Haehnsen

Anne-Laure Barennes, responsable du parcours client
à la Société générale. © Agence TCA
Anne-Laure Barennes, responsable du parcours client
à la Société générale. © Agence TCA

Commentez

Participez à la discussion