Forensic Research and Technology
World e-ID and Cybersecurity
Identity World
Security Document Summit
Border Management & Technologies Summit Asia 2017
Border Security Conference & Exhibition
SDW 2018 - Security Document World

Biométrie bancaire

 

Un article de Paul

Sheldon Foote, California State University, Fullerton.
Traduit en français par Biometrie-Online.Net.

 

Défaillance de sécurité dans le monde bancaire

Beaucoup de banques à travers le monde, grandes et petites, continuent de subir d'importantes pannes de sécurité.

Au Kaspersky Security Analyst Summit de cette année (2 au 6 avril 2017), les analystes de Kaspersky Lab ont expliqué leur enquête sur la prise de contrôle d'une banque pendant plusieurs heures au Brésil par des cybercriminels. La prise de contrôle de la banque a commencé par une attaque de phishing. Ensuite, les cybercriminels ont utilisé une attaque de redirection de système de noms de domaine (DNS). Alors que Kaspersky Lab ne nommait pas la banque, d'autres analystes de sécurité ont identifié la banque comme Banrisul et ont suggéré des erreurs que la banque a faites avec ses systèmes de sécurité. Par exemple, les banques devraient utiliser au moins l'option de verrouillage de registre fournie par certains registres DNS et devraient utiliser l'authentification à deux facteurs.

Authentification biométrique vocale

En 2016, HSBC a introduit des systèmes de sécurité à reconnaissance vocale et Touch ID à ses millions de clients au Royaume-Uni. Barclays avait testé les systèmes vocaux en 2013 en proposant à ses 300 000 clients les plus riches d'abord. Barclays a signalé que le temps nécessaire pour vérifier une identité est passé de 90 secondes à 10 secondes.
HSBC a utilisé la technologie Nuance Communications pour son système vocal. Nuance utilise plus de 100 identificateurs de voix uniques, tels que: vitesse, cadence et prononciation.
Malheureusement, en ce qui concerne la confiance du public dans les nouveaux systèmes, un journaliste de la BBC et son frère jumeau ont trompé le système vocal. Au lieu de fournir d'autres méthodes d'authentification, le système HSBC a permis aux clients de nombreuses tentatives d’être authentifié.

Authentification du réseau veineux de la main

La technologie d'authentification Palm Vein de Fujitsu a été utilisée par les banques pour l’authentification de la clientèle depuis 2004 : Suruga Bank (2004), The Bank of Tokyo-Mitsubishi (2004), The Hiroshima Bank (2005), The Bank of IKEDA (2005). Plus de banques ont adopté la technologie suite à l'adoption de la « Loi sur la protection des renseignements personnels » (à compter du 1er mai 2005).

L'authentification par dessin des veines de la main a l'avantage d'utiliser des données à l'intérieur du corps d'une personne. Les clients et les employés ne touchent pas les scanners. Cela permet de garder les scanners propres. À partir d'un test de 140 000 profils de 70 000 individus, Fujitsu a signalé un taux d'acceptation fausse de moins de 0,00008% et un faux taux de rejet de 0,01%.

Suruga Bank stocke les modèles de veines sur un serveur dans son système client-serveur, ce qui permet à la banque de gérer les modèles de veines. La Banque de Tokyo-Mitsubishi stocke les modèles de veines dans les cartes IC (intelligentes), permettant aux utilisateurs de contrôler l'accès aux modèles de veines.

Les banques peuvent utiliser la technologie Fujitsu également pour la sécurité des portes et pour l'authentification de la connexion.

Le 22 novembre 2016, Fujitsu a annoncé la disponibilité de PalmSecure bioLock pour sécuriser les systèmes SAP ERP et la plate-forme HANA. Fujitsu s'est associé à bioLock AG, les pionniers des systèmes biométriques d'empreintes digitales avec des décennies d'expérience dans la fourniture de contrôles pour les systèmes SAP ERP.

Contrairement aux banques utilisant des systèmes biométriques pour identifier uniquement les clients, les banques utilisant PalmSecure bioLock pourront atténuer la fraude des employés. Comme Fujitsu l'a noté:
« Avec PalmSecure bioLock, en plus de la protection de connexion, des points de contrôle de sécurité personnalisables peuvent être établis en fonction des règles de gestion et des règles métier, par utilisateur. Ces points de contrôle de ré-authentification peuvent être définis à des niveaux très importants tels que des tables, des transactions, des types d'informations, des champs, des valeurs de champs, des boutons ou chaque fois qu'une activité critique est effectuée dans SAP. Des actions telles que l'exportation de données, l'impression de données, l'enregistrement de données, la modification des données et la visualisation des données peuvent être contrôlées. »

Au Brésil, Banco Bradesco a enregistré plus de 700 millions de transactions ATM sans fraude à l'aide des lecteurs biométriques PalmSecure de Fujitsu dans ses distributeurs automatiques de billets. Les clients peuvent utiliser une carte ou des codes plus l'identification de la main. En revanche, les banques utilisant des mots de passe, des numéros PIN ou des cartes d'identité ont connu des problèmes de fraude. L'agence brésilienne de services sociaux accepte d'avoir des personnes recevant des pensions via les guichets bancaires de Banco Bradesco sans présenter de documents papier à l'agence pour prouver que les retraités sont encore en vie.

Leçons à tirer des banques

Les faiblesses persistantes de la sécurité bancaire des banques du monde entier montrent que de nombreuses personnes responsables de la sécurité bancaire ne comprennent pas comment utiliser les options de sécurité disponibles dans les systèmes actuels et ne parviennent pas à utiliser les meilleurs systèmes de sécurité biométriques. Bien qu'il s'agisse d'un examen du modèle de la veine de la palme, de l'empreinte digitale et des systèmes biométriques vocaux, les mêmes principes s'appliqueront à d'autres technologies biométriques. C'était une erreur de ne compter que sur les mots de passe, les numéros PIN ou sur les cartes d'identité. Ce serait une erreur de compter sur une solution unique.

Les banques se précipitent pour surmonter les faiblesses de l'utilisation de mots de passe. Un grand pourcentage de clients de la banque utilise le même mot de passe pour de nombreux comptes et n'aime pas changer les mots de passe. L'ajout de systèmes biométriques rendra les banques plus sûres par rapport à leurs clients. Cependant, certaines banques se concentrent sur la rapidité et la facilité d'authentification au détriment des clients pour trouver des moyens de battre les systèmes.

Alors que certaines banques se sont précipitées pour mettre en œuvre des systèmes biométriques pour réduire la fraude ATM par les clients, les banques ne doivent pas ignorer l'importance de la fraude des employés. Il est impératif que les banques utilisent des systèmes biométriques assurant un contrôle granulaire sur lequel les employés peuvent lire, modifier, enregistrer et imprimer des données comptables.

L'auteur
Professor Paul Sheldon Foote, Ph.D.
Department of Accounting
California State University, Fullerton
800 North State College
Fullerton, CA 92831-6848
Telephone: (657) 278-2682
Email: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Skype Name = paulsheldonfoote
LinkedIn: https://www.linkedin.com/in/paulsheldonfoote


Source anglaise

Biometric Banking

Paul Sheldon Foote - California State University, Fullerton

Bank Security Failures

Many banks around the world, large and small, continue to experience major security failures. At this year’s Kaspersky Security Analyst Summit (April 2 – 6, 2017), Kaspersky Lab analysts explained their investigation of the takeover of a bank for several hours in Brazil by cybercriminals. The takeover of the bank started with a spear phishing attack. Next, the cybercriminals used a Domain Name System (DNS) redirect attack. While Kaspersky Lab did not name the bank, other security analysts have identified the bank as Banrisul and have suggested mistakes that the bank made with its security systems. For example, banks should be using at least the registry lock option provided by some DNS registrars and should be using two-factor authentication.

Voice ID Biometric Authentication

In 2016, HSBC introduced voice and touch ID security sytems to its millions customers in the United Kingdom. Barclays had tested voice systems in 2013 by introducing the systems to its 300,000 wealthiest customers first. Barclays reported that the time required to verify an identity dropped from 90 seconds to 10 seconds.
HSBC used Nuance Communications technology for its voice system. Nuance uses more than 100 unique voice identifiers, such as: speed, cadence, and pronunciation.
Unfortunately, with respect to public confidence in new systems, a BBC reporter and his twin brother fooled the voice system. Instead of providing alternate methods for authentication, HSBC’s system permitted customer many attempts to become authenticated.

Palm Vein Pattern Authentication

Fujitsu's Palm Vein Authentication Technology has been used by banks for customer confirmation since 2004: Suruga Bank (2004), The Bank of Tokyo-Mitsubishi (2004), The Hiroshima Bank (2005), The Bank of IKEDA (2005). More banks have adopted the technology following the passage of the “Act for the Protection of Personal Information” (effective May 1, 2005).
Palm vein pattern authentication has the advantage of using data from inside a person’s body. Customers and employees do not touch the scanners. This keeps the scanners clean. From a test of 140,000 profiles of 70,000 individuals, Fujitsu reported a false acceptance rate of less than 0.00008% and a false rejection rate of 0.01%.
Suruga Bank stores the vein patterns on a server in its client-server system, enabling the bank to manage vein patterns. The Bank of Tokyo-Mitsubishi stores vein patterns in IC (smart) cards, enabling users to control access to the vein patterns.
Banks can use the Fujitsu technology also for door security and for login authentication.
On November 22, 2016, Fujitsu announced the availability of PalmSecure bioLock for securing SAP ERP systems and the HANA platform. Fujitsu partnered with bioLock AG, the pioneers of biometric fingerprint systems with decades of experience in providing controls for SAP ERP systems. Unlike banks using biometric systems to identify only customers, banks using PalmSecure bioLock will be able to mitigate employee fraud. As Fujitsu noted:
“With PalmSecure bioLock, in addition to log-on protection, customizable security checkpoints can be established based on management policies and business rules on a user-by-user basis. These re-authentication checkpoints can be set at very granular levels such as tables, transactions, info types, fields, field values, buttons or whenever a critical activity is performed within SAP. Actions such as exporting data, printing data, saving data, changing data and viewing data can all be controlled.”
In Brazil, Banco Bradesco has reported more than 700 million ATM transactions without fraud using Fujitsu’s PalmSecure biometric readers in its ATMs. Customers can use a card or codes plus hand identification. By contrast, banks using passwords, PIN numbers, or identification cards have experienced fraud problems. The Brazilian social services agency accepts having persons receiving pensions via Banco Bradesco ATMs without presenting paper documents to the agency to prove that pensioners are still alive.

Lessons to be learned from banks

The continuing major bank security failures experienced by banks around the world show that many persons responsible for bank security do not understand how to use security options available in current systems and are failing to use the best biometric security systems. While this was a review of palm vein pattern, fingerprint, and of voice biometric systems, the same principles will apply to other biometric technologies. It was a mistake to rely upon only passwords, PIN numbers, or upon identification cards. It would be a mistake to rely upon any single solution.
Banks are rushing to overcome the weaknesses of using only passwords. A large percentage of bank customers use the same password for many accounts and do not like to change passwords. Adding biometric systems will make banks more secure with respect to their customers. However, some banks focus upon the speed and ease of authentication at the expense of customers finding ways to beat the systems.
While some banks have rushed to implement biometric systems to reduce ATM fraud by customers, banks must not ignore the importance of employee fraud. It is imperative that banks use biometric systems providing granular control over which employees can read, change, save, and print accounting data.

   
   
© Copyright © 2017 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.