Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Border Security Conference & Exhibition 2019
Identity Week
International Police Expo

Fin de mots de passe

Dans le sillage de la nouvelle directive sur les services de paiement DSP2, et en accord avec le RGPD, l’univers de l’authentification s'apprête à rendre le mot de passe obsolète, au profit de systèmes d’authentification fondés sur la biométrie.


La reconnaissance faciale s’affranchit du mot de passe.
© Shutterstock

Trop facile à pirater, le mot de passe arrive en fin de vie. Face à cette inévitable obsolescence, les systèmes d’authentification forte tentent d’accroître la sécurité d’accès aux systèmes d’information en intégrant des procédures d’identification requérant la concaténation d’au moins deux facteurs d’authentification. Par exemple, en associant un mot de passe à un mot de passe temporaire [On-time Password (OTP)] reçu sur smartphone, ou à une carte magnétique, voire à un équipement électronique (puce RFID, clé USB, carte à puce, smartphone). Après avoir connu des systèmes d’authentification forte multi-factoriels, souvent trop complexes à mettre en œuvre, les systèmes de reconnaissance biométrique viennent simplifier la donne.

La réglementation accélère le changement

L’authentification forte connaît un regain d’intérêt en raison de l’entrée en vigueur, le 13 janvier dernier, de la seconde version de la directive européenne sur les services de paiement (DSP2) qui avait été transposée en droit français par ordonnance durant l’été. La DSP2 rend obligatoire l'authentification forte pour les paiements en ligne de plus de 30 euros dans toute l’Europe. Reste un sérieux bémol : une période d'adaptation de 18 mois est prévue. En clair, les entreprises et les banques ont jusqu’au 14 septembre 2019 pour se mettre aux normes et implémenter leurs solutions techniques.

Dans ce contexte, l’Alliance FIDO (pour Fast IDentity Online) compte apporter sa pierre à l’édifice. En effet, celle-ci élabore depuis 2012 les standards techniques interopérables en rassemblant 250 partenaires. A savoir des constructeurs d’équipements électroniques (ARM, Infineon, Intel, Lenovo, LG, Qualcomm, Samsung, ST, etc.), des fournisseurs de solutions de sécurité (Aetna, Feitian, Fingerprints, Gemalto, Giesecke & Devrient, HID, Idemia, Microsoft, Mozilla, Nok Nok, Raonsecure, RSA, Symantec, ThreatMetrix, etc.), des banques et opérateurs de services de paiement (American Express, Bank of America, BCcard, Chase, ING, Mastercard, PayPal, Synaptics, Visa, etc.), ainsi que des fournisseurs de services internet (Amazon, Alibaba, eBay, Facebook, Google, Rakuten, etc.).

La biométrie va détrôner le mot de passe


Alain Martin co-président en Europe de l’Alliance FIDO, durant le salon Banque et innovation.
© Agence TCA

« La biométrie permet de remplacer le mot de passe à moindre coût », souligne Alain Martin co-président en Europe de l’Alliance FIDO qui a sorti cette année un nouveau standard technique, FIDO2. Ce dernier va inaugurer l’ère du « sans mot de passe » en misant sur la biométrie. La première étape nécessite un appareil électronique (clé USB, smartphone, PC, et.). L’utilisateur saisit un code PIN, son empreinte digitale ou sa reconnaissance faciale. La vérification est exécutée localement dans l’appareil. La seconde étape, qui matérialise la possession de l’appareil, se fait en ligne et recourt à la cryptographie. « Ni les clés privées ni les données biométriques ne sont partagées sur le serveur en ligne », précise Alain Martin.

Nouveau standard dans le navigateur

Précisons que FIDO2 s’appuie sur différents standards : le protocole Universal Authentication Framework (UAF), la spécification d'authentification Web du W3C (WebAuthn) ainsi que le protocole CTAP (Client-to-Authenticator Protocol). Lesquels permettront collectivement aux utilisateurs d'employer des dispositifs communs pour s'authentifier facilement aux services en ligne - dans les environnements mobiles et de bureau. Par ailleurs, WebAuthn définit une API (Application Programming Interface) Web standard qui peut être intégrée aux navigateurs et à l'infrastructure de plateforme Web associée, pour permettre aux services en ligne d'utiliser l'authentification FIDO. Quant à CTAP, il permet à des appareils externes tels que les téléphones mobiles ou les clés de sécurité FIDO de fonctionner avec WebAuthn et de servir d'authentificateurs pour les applications de bureau et les services Web. Autre point important, plusieurs navigateurs Web majeurs, dont Google Chrome, Firefox et Microsoft Edge, sont en train d'implémenter les standards WebAuthn et CTAP. Quant à Android et Windows 10, ils auront également un support intégré pour l'authentification FIDO.

Simplifier le parcours client avec la comparaison


Anne-Laure Barennes, responsable du parcours client à la Société générale. © Agence TCA

Certaines entreprises ont pris les devants. A l’instar de la Société Générale qui, avec l’aide du cabinet TNP Consultants, recourt à l’authentification biométrique d’Idemia pour la délicate « Entrée en relation » (EER). « L’idée consiste à simplifier le parcours client de la personne qui veut ouvrir un compte en ligne. Notre promesse, c’est de lui permettre de le faire en moins de 10 minutes. Même s'il s'agit, pour la personne, d’un premier compte bancaire, expliquait, ce mardi 16 octobre durant le salon Banque et Innovation, Anne-Laure Barennes, responsable du parcours client à la Société générale. La personne choisit son offre bancaire, transmet de façon digitale tous les documents qui lui ont été demandés (scan de la carte d’identité, justificatif de domicile, etc.), puis s’ouvre une session de vidéochat avec un conseiller au cours de laquelle la personne envoie son selfie. Nous comparons alors le visage inscrit sur la pièce d’identité à celui qui apparaît à l’écran. Bien sûr, le conseiller demande le consentement de la personne. Par ailleurs, nous ne conservons pas le gabarit de cette comparaison. En revanche, nous conservons le score de réussite de l’opération. »

En accord avec le RGPD

Dans la foulée, le client pourra signer électroniquement son contrat et commander ses moyens de paiement. « La Commission nationale Informatique et Libertés (Cnil) autorise le stockage du scan de la carte d’identité mais pas celui du gabarit [dans le cadre du RGPD, NDLR]. En revanche, nous pouvons rejouer la comparaison faciale à chaque fois que c’est nécessaire, ajoute Anne-Laure Barennes. Aujourd’hui, le score de réussite est de 90% et nous n’avons pas eu à déplorer de tentative de fraude. Il faut dire que la vérification biométrique en live avec le conseiller est assez dissuasive. »

Source : http://www.infoprotection.fr

Formation conseil en biométrie

Biometrie-Online.Net vous propose des actions de
Formation - Conseil sur mesure en intra.

Ces sessions permettent aux participants d'acquérir les bases de la biométrie, afin de comprendre les solutions biométriques mises en œuvre dans leur secteur d’activité.

Formation Conseil Biométrie Biométrique

À l’issue des actions de Formation - Conseil, les participants seront capables de :

  • Connaître le contexte, le marché, les enjeux, la place de la biométrie dans la sécurité et la gestion des identités.
  • Comprendre le fonctionnement des technologies biométriques, terminologie, avantages et limites.
  • Appliquer la règlementation.
  • Lister les problématiques du déploiement, propre à chaque type d’application.

Lire la suite

Le réseau social de la biométrie

Vous avez un intérêt pour la biométrie.

Vous pouvez adhérer au groupe « Biometrics Network & Forum » sur Linkedin.Plus

de 10 000 membres, des utilisateurs finaux, des fournisseurs, des chercheurs vous attendent.

En tant que membre du groupe, vous pouvez lire et soumettre des articles sur la biométrie, nouveaux produits, emplois, nouvelles de l'industrie et des événements.

Cliquez ici pour rejoindre le groupe.

LinkedIn 648x200

Il y a également des sous-groupes par modalité.

 

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.