5
2009 Sylvain Maret MARET Consulting 8/31/2009 Biométrie: étude de cas

Etude de cas Biométrie

Embed Size (px)

DESCRIPTION

Etude de cas d'un projet Biométrie sur les laptops

Citation preview

Page 1: Etude de cas Biométrie

2009

Sylvain Maret

MARET Consulting

8/31/2009

Biométrie: étude de cas

Page 2: Etude de cas Biométrie

Sylvain Maret, 31.8.9

Etude de cas, utilisation de la biométrie dans

le cadre d’un projet Mobilité pour une

banque privée genevoise

Mobilité et sécurité, pour les banques privées,

il ne s’agit pas là de vains mots, mais des

fondements même de leur mode de

fonctionnement dans un monde toujours plus

compétitif. Il reste néanmoins que la sécurité

et la mobilité ne doivent pas se faire au

détriment de l’utilisateur. Une solution qui

garantit les premières sans se soucier du

confort des seconds aurait en effet de fortes

chances d’être rejetée par les principaux

intéressés.

Trop souvent pourtant les mécanismes de

sécurité informatique sont mis en place au

détriment de ce confort des utilisateurs. Ils se

retrouvent alors avec un outil de travail

présentant de fortes contraintes. Le système

est alors trop compliqué, en plus du fait qu'il

soit lent et improductif. Il nécessite plusieurs

mots de passe, voir l’utilisation d’un « Token »

de type SecurID (ou autres).

Bref, la solution n’est pas simple à utiliser,

mais elle remplit son rôle premier, à savoir

garantir un niveau de sécurité acceptable.

C'est pourtant un écueil qu'il est possible

d'éviter, le projet Mobilité mené par un

établissement bien connu sur la place

financière genevoise apporte la preuve que

mobilité, sécurité et confort d’utilisation ne

sont pas incompatibles.

Dans le cadre du projet présenté, l’objectif

était de repenser la mobilité de sorte à offrir

un outil de travail réellement simple. Pour

cela, les compteurs ont été remis à zéro et le

projet a débuté par une feuille blanche. L’idée

directrice était de proposer aux collaborateurs

de la banque un ordinateur portable qu’ils

puissent utiliser lors de leurs voyages, depuis

leur domicile, un hôtel ou n'importe ailleurs,

pour accéder aux applications de la banque

via Internet.

Comment concilier la simplicité d’utilisation

espérée et les fortes contraintes liées à la

sécurité nécessaire ?

Est-ce là la quadrature du cercle ? Avant de

répondre à cette question, une énumération

plus précise doit être initialement faite de ces

contraintes auxquelles il faut faire face. Elles

sont de deux natures : les contraintes pour

l’accès aux applications informatiques à

disposition des utilisateurs et les contraintes

de sécurité.

Certaines de ces contraintes feront ici plus

particulièrement l'objet de l'analyse

préliminaire. A savoir que les données sur

l'ordinateur portable en question doivent

rester confidentielles, mais aussi que l’accès à

la banque doit se faire par le biais d’Internet,

que la procédure d’authentification doit être

simple et qu'une seule authentification doit

être idéalement demandée

Si l’authentification forte s’est rapidement

imposée comme solution à retenir, il restait

encore à définir le système le plus approprié

et à déterminer le dispositif qui serait à même

d’apporter sécurité et confort, tout en

intégrant les technologies utilisées pour

mener à bien projet.

A savoir une technologie de chiffrement du

disque dur, de l'ordinateur portable, dans son

entièreté, mais aussi une technologie de type

réseau privé virtuel ( VPN ) pour accéder de

façon distante à la banque. De plus une

authentification unique type SSO ( Single Sign

On -) pour accéder au compte Microsoft et

une technologie de type Web SSO pour

accéder aux applications internes sont

également requises.

Page 3: Etude de cas Biométrie

Sylvain Maret, 31.8.9

On se retrouve donc directement ici au cœur

du challenge technologique, à savoir trouver

un mécanisme d’authentification forte, simple

à utiliser et capable d’être associé aux

technologies de sécurité précédemment

citées. Mais avant de définir plus avant ce

mécanisme, il est impératif d'expliquer ce

qu’est l’authentification forte et les raisons

pour lesquelles elle doit être utilisée.

Tout d'abord, il faut savoir que quatre

méthodes classiques d'identification d'une

personne physique sont habituellement

rencontrées : quelque chose que l’on connaît

(un mot de passe ou un code PIN), quelque

chose que l’on possède (un «token», une carte

à puce, etc), quelque chose que l’on est (un

attribut biométrique, tel qu’une empreinte

digitale), quelque chose que l’on fait (une

action comme la parole ou une signature

manuscrite).

On parle d’authentification forte dès lors que

deux de ces méthodes sont utilisées

conjointement, une carte à puce et un code

PIN par exemple. Pourquoi privilégier cette

méthode plutôt qu’une autre ? Le mot de

passe est par exemple le système le plus

couramment retenu pour reconnaître un

utilisateur. Il s’avère toutefois que celui-ci

n’offre pas un niveau de sécurité optimal. Il ne

permet ainsi pas d’assurer une protection

vraiment efficace des biens informatiques

sensibles.

Sa principale faiblesse réside dans la facilité (

http://www.secuobs.com/news/31122005-

captive.shtml ) avec laquelle il peut être

identifié. Au nombre des techniques

d’attaques destinées à contourner une

authentification par mot de passe, on peut

citer l’écoute du clavier par le biais de codes

malicieux comme des enregistreurs de frappe,

type keylogger, ou plus « simplement »

encore, une solution matérielle analogue qui

sera placée entre le clavier et l'unité centrale,

ou pas (

http://www.secuobs.com/news/03062009-

keykeriki_sniffer_wireless_keyboard.shtml ).

Quelle technologie doit alors être choisie ?

Un grand nombre de technologies

d’authentification forte sont disponibles sur le

marché, les «One Time Password» ( OTP -

http://en.wikipedia.org/wiki/One-

time_password ) comme SecurID, les cartes à

puces et «token» USB cryptographiques ou

bien encore la biométrie. C’est cette dernière

qui a finalement été retenue, avant tout afin

de répondre à une exigence fondamentale

posée par le client, garantir la facilité

d’utilisation.

Quel système de biométrie choisir pour

satisfaire la mobilité ?

Lecture de l’iris ou de la rétine,

reconnaissance faciale ou vocale, empreinte

digitale, quand on parle de biométrie,

différentes options (

http://www.secuobs.com/videos/aaabiometri

c0.shtml ) sont envisageables. Le choix final a

été guidé par le souci de trouver un

compromis entre le niveau de sécurité

(fiabilité) de la solution, son prix et sa facilité

d’utilisation.

Page 4: Etude de cas Biométrie

Sylvain Maret, 31.8.9

C’est surtout là que résidait une des

principales clés du succès, l’adhésion des

utilisateurs était en effet indispensable et

celle-ci passait par la simplicité de

fonctionnement et la convivialité du dispositif.

Le lecteur d’empreinte digitale s’est dès lors

imposé assez naturellement, et entre autres

parce que la plupart des ordinateurs portables

récents sont désormais équipés de tels

lecteurs.

Qu’en est-il alors de la sécurité avec cette

solution ?

La biométrie peut-elle être considérée comme

un moyen d’authentification forte ? La

réponse est clairement non. Le recours à cette

technique comme seul facteur

d’authentification constitue certes une

solution «confortable» pour les utilisateurs,

mais il n’en demeure pas moins qu’elle n’offre

pas des garanties de sécurité suffisamment

solides.

Diverses études (

http://www.blackhat.com/presentations/bh-

dc-09/Nguyen/BlackHat-DC-09-Nguyen-Face-

not-your-password.pdf ) ont en effet

démontré qu’il est possible de falsifier assez

aisément les systèmes biométriques actuels.

Leur utilisation croissante par les entreprises

et les gouvernements, notamment aux Etats-

Unis, ne fait en outre que renforcer la

détermination des attaquants à identifier les

failles de ces systèmes afin de les exploiter.

C’est un des paradoxes de la biométrie.

Il est donc plus judicieux de la coupler à un

second dispositif d’authentification forte. C'est

en ce sens qu'un support additionnel de type

carte à puce a été retenu. Concrètement,

l’utilisateur s'identifie aussi bien par sa carte

que par ses caractéristiques physiques

(empreinte digitale, en l’occurrence). L'une et

l'autre n'étant pas fonctionnelles si elles ne

sont pas combinées lors de la phase

d'authentification. L’ensemble offre ainsi une

preuve « irréfutable » de l’identité de la

personne.

Pourquoi ce choix d'une carte à puce ?

Elle présente l’avantage d’une solution

dynamique et évolutive. Elle permet en effet

de stocker des identités numériques (via un

certificat). Cela ouvre la porte à un grand

nombre d’applications comme la signature

électronique de documents, l'intégrité des

transactions, le chiffrement des données et

bien évidemment l’authentification forte des

utilisateurs. Les certificats numériques

constituent une base très solide pour

construire la sécurité d’une solution de

mobilité.

Où stocker les données nécessaires aux

facteurs biométriques ?

L'utilisation de la biométrie pose en effet la

question du stockage des informations

relatives aux utilisateurs, il s’agit là d’une

question extrêmement sensible. Nombreux

sont ceux qui, à juste titre, s’interrogent sur

l’usage qui est, ou sera, réellement fait des

données biométriques les concernant.

Où celles-ci vont-elles être conservées ?

Dans quelles conditions et pendant combien

de temps ? Qui y aura accès ? L’information

numérique permet-elle de reconstituer une

empreinte digitale ? Les réticences face à ces

procédés sont réelles. Pour surmonter les

obstacles liés à l’acceptation, la formule

choisie consiste à stocker les informations

directement sur la carte à puce. Le détenteur

est ainsi le seul propriétaire de ses données

biométriques.

Page 5: Etude de cas Biométrie

Sylvain Maret, 31.8.9

Baptisée match-on-card (validation à même la

carte -

http://fr.wikipedia.org/wiki/Match_on_Card ),

cette approche répond parfaitement à la

problématique posée. Non seulement, elle

permet le stockage d’informations

biométriques sur la carte à puce, mais elle

assure aussi la vérification de l’empreinte

digitale, directement sur cette dernière. Elle

donne ainsi aux utilisateurs un contrôle total

sur les données les concernant. Cette

approche a le mérite de susciter la confiance

des utilisateurs.

Les technologies biométriques, à commencer

par le match-on-card, ont clairement un

aspect avant-gardiste. Le développement ici

mené a cependant démontré qu’il est

technologiquement possible de mettre en

œuvre un système d’authentification forte

basé sur la biométrie et sur l’utilisation

conjointe de certificats numériques afin

d'assurer aussi bien une protection optimale

qu’un grand confort pour les utilisateurs.

Cette solution a, de fait, parfaitement

répondu aux contraintes technologiques

imposées par le projet. L’authentification

unique est ainsi réalisée par le biais de la

biométrie, la sécurisation de l’ouverture du

VPN à travers Internet est prise en charge par

un certificat numérique de type machine,

stocké dans une puce cryptographique (TPM,

Trusted Platform Module) embarquée sur le

laptop. Une contrainte n’a toutefois pas pu

être respectée.

A savoir, utiliser la biométrie de type match-

on-card pour le chiffrement complet du

laptop. En raison de son côté avant-gardiste,

cette technologie n’est en effet pas

compatible avec les principales solutions de

chiffrement des disques (FDE, Full Disk

Encryption). Ce sera le défi à relever pour la

phase 2 qui devrait intervenir à la fin de

l'année 2009. Il devrait alors être possible

d’intégrer la technologie match-on-card à une

solution de chiffrement complète du disque.

Retour d’expérience La technologie mise en

place – biométrie de type match-on-card et

utilisation des certificats numériques – à

répondu aux objectifs et aux contraintes du

projet Mobilité. Néanmoins la technologie ne

fait pas tout, la structure organisationnelle à

mettre en place pour soutenir la technique, et

notamment assurer la gestion des identités,

s’est ainsi révélée être un des défis majeurs

posés.

Cela a abouti à la création d'une entité dont la

mission est de gérer l’ensemble des processus

qui gravitent autour du système biométrique :

enregistrement des utilisateurs, gestion de

l’oubli ou de la perte de la carte à puce,

formation des utilisateurs, etc. Cette entité

constitue un des piliers de la réussite du

projet.