L’authentification multimoyen

2012 Livre Blanc

DICTAO

152 avenue de Malakoff - 75116 PARIS

Tel. : 01 73 00 26 00

www.dictao.com – [email protected]

L’authentification

multimoyen

http://www.dictao.com/

mailto:[email protected]

Livre Blanc : l’authentification multimoyen

1

SOMMAIRE

1 INTRODUCTION ................................................................................................................................... 2

2 RAPPEL DE QUELQUES PRINCIPES ....................................................................................................... 3

2.1 Rappel de la définition d’authentification forte ....................................................................................................... 3

2.2 De multiples moyens d’authentification… .................................................................................................................. 4

2.3 ...Répondant à des objectifs de sécurité différents .................................................................................................. 4

3 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVE .................................................. 5

3.1 Répondre aux besoins de populations variées ......................................................................................................... 5

3.2 Proposer des services multiples, plus ou moins sensibles, mettant en oeuvre des canaux différents ............. 5

3.3 Faire face à une fraude évolutive ............................................................................................................................... 5

3.4 Accepter des moyens d’authentification multiples .................................................................................................... 5

3.5 Prendre en compte la dimension ergonomie et les aléas de la vie quotidienne ............................................... 6

4 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATION ............................................................................... 6

4.1 le mot de passe et les approches questions/réponses ............................................................................................ 6

4.2 le certificat ........................................................................................................................................................................ 7

Le certificat logiciel ......................................................................................................................................................... 7

Le certificat sur support matériel.................................................................................................................................. 7

4.3 L’OTP .................................................................................................................................................................................. 8

L’OTP SMS ........................................................................................................................................................................ 8

L’EMV / CAP..................................................................................................................................................................... 8

L’OATH .............................................................................................................................................................................. 8

5 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAO .................................................... 9

5.1 Notre solution d’authentification ................................................................................................................................... 9

5.2 Les points forts de notre solution d’authentification et les fonctionnalités associées ........................................ 10

5.3 L’adaptation des processus d’authentification à la situation ................................................................................ 12

5.4 Un service d’entreprise global et unique, répondant à l’ensemble des besoins d’authentification .............. 13

5.5 Un service conforme aux plus hauts standards de sécurité................................................................................... 14

6 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNE ................................................................... 15


2

1 INTRODUCTION

Dans le domaine des processus et de la dématérialisation des flux, les organisations

font aujourd’hui face à trois besoins principaux. Tout d’abord, il leur faut chercher

constamment une meilleure efficience, au travers de la mise en place « d’applications

sans papier » et du développement de nouveaux services.

Il leur faut aussi gérer le risque associé à ces systèmes et, en conséquence, durcir

progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnes

technologies sont inutiles si on ne prend pas en compte les limites naturelles de la

dimension humaine…

Et bien sûr, il faut aussi que l’entreprise respecte le cadre réglementaire, en particulier,

au niveau de la protection de données personnelles et de la traçabilité.

Efficacement répondre à ces objectifs suppose que les différents acteurs interagissant avec un système

d’information soient précisément authentifiés, c'est-à-dire que l’on soit sûr de leur identité. Pour s’authentifier,

un utilisateur présentera au système un moyen d’authentification qui pourra être un simple mot de passe, un

certificat, un mot de passe à usage unique, une empreinte digitale…

Une personne correctement identifiée/authentifiée pourra accéder à des informations (fonction de

consultation), les mettre à jour, réaliser une transaction…

Dans le cadre de la mise en place de sa stratégie d’authentification, l’entreprise fait face à des situations

multiples et souvent complexes. Les utilisateurs à authentifier ont toujours des profils très divers (client

Particulier, client Entreprise, collaborateur, partenaire, etc.) ; ces utilisateurs souhaitent réaliser des

transactions demandant un niveau de sécurité plus ou moins élevé (de la simple consultation d’information à la

souscription d’un contrat d’Assurance Vie ou à l’établissement d’un contrat de quelques millions d’euros).

Heureusement, l’entreprise peut s’appuyer sur une large palette de moyens d’authentification, pour répondre

au mieux à chaque cas d’usage qui sera caractérisé par la sensibilité de la transaction, le type de population

concernée, le niveau d’ergonomie attendue. De plus, il faut accepter de faire évoluer ces moyens, pour

intégrer les progrès technologiques et faire face à une fraude toujours plus sophistiquée.

L’entreprise doit être capable de répondre simplement à cette réalité multidimensionnelle et changeante. Elle

doit adopter une approche globale et cohérente de l’authentification. Notre proposition est de permettre à

l’entreprise de pouvoir faire cohabiter plusieurs moyens d’authentification et de les faire évoluer pour

répondre à de nouveaux besoins, en s’appuyant sur une plate-forme d’authentification unique et évolutive.

Cette plate-forme doit ainsi permettre de garantir à l’utilisateur un processus d’authentification simple et

adapté aux circonstances et à l’entreprise d’optimiser ses coûts et son niveau de risque.

Nous vous présentons dans ce livre blanc les problématiques auxquelles une organisation doit répondre dans

la mise en place de sa stratégie d’authentification et les réponses proposées par Dictao.

Nous restons, bien sûr, à votre disposition pour approfondir avec vous ces analyses ou vous détailler nos

propositions.

Jacques Pantin, PDG et fondateur de Dictao


3

2 RAPPEL DE QUELQUES PRINCIPES

Pour définir schématiquement ce qu’est un service d’authentification (SA), plaçons-nous dans le contexte où un

utilisateur souhaite accéder à un service d’information (SI).

Cet utilisateur, que celui-ci soit une personne physique, un composant technique, une application…, sera

porteur d’un moyen d’authentification (mot de passe, certificat, empreinte biométrique…) qu’il présentera à

un Service d’Authentification avant de recevoir l’autorisation et les droits d’accès à un SI. Le SA aura la

charge de valider la qualité, la validité et la recevabilité du moyen d’authentification proposé par

l’utilisateur. Puis, une fois le porteur authentifié, le SA transmettra un ‘vecteur d’identification’ à un service de

contrôle d’accès qui dérivera, de ce ‘vecteur d’identification’ (VI), en s’appuyant sur un référentiel d’identités,

un ‘vecteur d’autorisation’ (VA) qui sera présenté aux services d’information auxquels souhaite accéder notre

utilisateur.

2 . 1 R A P P E L D E L A D É F I N I T I O N D ’ A U T H E N T I F I C A T I O N F O R T E

L’authentification permet de vérifier l’identité déclarée d’une personne.

L’authentification peut se faire de multiples manières, et notamment par la vérification de :

« Ce que je suis », une caractéristique physique comme une empreinte digitale

« Ce que je sais », un mot de passe par exemple

« Ce que je possède », ce qui pourrait être une carte à puce ou un token

La combinaison d’au moins 2 de ces facteurs ou moyens d’authentification permet de renforcer la qualité de

l’authentification ; on parle alors d’authentification forte.


4

2 . 2 D E M U L T I P L E S M O Y E N S D ’ A U T H E N T I F I C A T I O N …

Traditionnellement, chaque fournisseur propose les outils permettant de valider l’identité d’utilisateurs porteurs

des moyens d’authentification qu’il commercialise.

Cette approche quoique qu’aujourd’hui la plus commune, nous semble atteindre ces limites avec la

multiplication des moyens d’authentification : il est devenu indispensable de clairement séparer les moyens

d’authentification que présenteront les utilisateurs du service d’authentification lui-même. Ainsi, celui-ci doit

être en mesure de supporter non seulement des moyens d’authentification différents, mais également une

combinaison d’entre eux.

Par ailleurs, l’utilisation par l’entreprise de nouveaux moyens d’authentification ou l’abandon de l’usage

d’outils devenus obsolètes ne doit plus se traduire par de nouveaux efforts d’intégration des applications et

services.

La mutualisation du service d’authentification permet d’éviter d’avoir des approches « en silo », de multiplier

les plates-formes d’authentification et les contraintes induites par l’intégration du service d’authentification aux

référentiels d’identité.

2 . 3 . . . R É P O N D A N T À D E S O B J E C T I F S D E S É C U R I T É D I F F É R E N T S

L’authentification par traditionnel « login/mot de passe » reste, aujourd’hui, le moyen le plus largement utilisé;

ce moyen d’authentification est, cependant, devenue trop faible pour garantir la sécurité d’opérations dont

les risques associés deviennent significatifs.

Il faut mettre en place des moyens d’authentification plus solides comme les solutions à mot de passe unique,

donc non rejouable (OTP, One Time Password) ou des solutions à base de certificats, cartes à puce ou tokens,

plus solides encore, mais nécessairement plus coûteuses à mettre en œuvre.

Si nous considérons qu’à terme, le certificat (logiciel ou sur support matériel) est ‘la solution’, nous comprenons

que la recherche de solutions simples à mettre en œuvre privilégie des approches à base d’OTP.

Nous reviendrons par la suite sur les différents moyens d’authentification disponibles.


5

3 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVE

Dans la conception et la mise en place de sa stratégie d’authentification, l’entreprise doit prendre en compte

de nombreux facteurs.

3 . 1 R É P O N D R E A U X B E S O I N S D E P O P U L A T I O N S V A R I É E S

Les personnes à authentifier ont, naturellement, des profils très différents et des attitudes à l’égard des outils

technologiques diverses. Ainsi, il faudra servir des clients « Entreprises », des clients « Particuliers », plus ou

moins actifs sur Internet, des partenaires, des collaborateurs…

3 . 2 P R O P O S E R D E S S E R V I C E S M U L T I P L E S , P L U S O U M O I N S S E N S I B L E S ,

M E T T A N T E N Œ U V R E D E S C A N A U X D I F F É R E N T S

Ces utilisateurs aux profils très différents souhaitent accéder à des services (ou réaliser des opérations) plus

ou moins sensibles et qui nécessitent, par conséquent, des niveaux de sécurité spécifiques. Par exemple, la

souscription d’un contrat d’assurance vie demande un niveau d’authentification plus important qu’une simple

consultation d’informations.

De plus, ces services dématérialisés sont proposés au travers de canaux multiples (service en ligne, achat en

ligne, dématérialisation en agence, centre d’appels). Il faudra chercher à mutualiser les moyens techniques et

être en mesure de proposer une solution multicanal cohérente.

3 . 3 F A I R E F A C E A U N E F R A U D E É V O L U T I V E

La fraude se transforme, avec l’évolution des technologies et l’essor des enjeux économiques. Les attaques

portant sur le vol d’identité deviennent, chaque jour, plus nombreuses et de plus en plus sophistiquées. Il est

indispensable pour l’entreprise de mettre en œuvre des moyens d’authentification chaque fois plus solides.

3 . 4 A C C E P T E R D E S M O Y E N S D ’ A U T H E N T I F I C A T I O N M U L T I P L E S

Pour répondre à cette diversité multiple et évolutive (type de population, type de transaction, type de

fraude, etc.), l’organisation peut tirer parti d’une très grande variété de moyens d’authentification. Une

approche multiple permettra de résoudre au mieux l’équation sécurité/ergonomie/coût pour chaque type

nature de besoin.

Ainsi, de très nombreux moyens d’authentification existent et de nouvelles solutions, plus ou moins originales,

apparaissent chaque jour : simple mot de passe, mot de passe à usage unique (OTP ou One Time Password),

certificat logiciel ou sur carte à puce, empreinte biométrique… L’entreprise choisira le moyen

d’authentification le plus approprié, en fonction de la population ciblée, de la sensibilité et du niveau de

risque de la transaction, des évolutions technologiques, de l’ergonomie recherché... Il n’est pas possible d’avoir

un moyen d’authentification unique pour l’ensemble de la population et des transactions, sauf à retenir le

moyen le plus solide et, par conséquent le plus couteux et nécessairement le moins ergonomique...

L’organisation doit donc pouvoir gérer simplement et efficacement la multiplicité et l’évolutivité des moyens

d’authentification. Et, pour répondre à cet objectif, nous vous proposons une plate-forme d’authentification

mutualisable, capable de supporter la quasi-totalité des moyens d’authentification.


6

3 . 5 P R E N D R E E N C O M P T E L A D I M E N S I O N E R G O N O M I E E T L E S A L É A S D E L A V I E

Q U O T I D I E N N E

L’authentification est un geste quotidien. Celui-ci doit être le plus simple et le plus naturel possible pour

l’utilisateur qui, sinon, risque de le rejeter, au mépris de la sécurité. Par ailleurs, cette action d’authentification

est soumise aux aléas de la vie quotidienne. Il est courant que l’utilisateur oublie, perde ou casse son moyen

d’authentification. Il est absolument nécessaire que ces aléas n’altère pas le niveau de sécurité du système et

n’entravent pas la démarche de l’utilisateur en lui permettant, par exemple, de s’authentifier par un autre

moyen.

4 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATION

Dans ce chapitre, nous passerons en revue successivement les moyens d’authentification suivants:

Le mot de passe et les stratégies de renforcement de celui-ci par des approches de

questions/réponses ou de clavier virtuel.

Le certificat, que celui-ci soit logiciel ou stocké sur un support matériel.

L’OTP, One Time Password ou Mot de Passe à Usage unique.

Nous n’aborderons pas dans ce document les outils biométriques.

4 . 1 L E M O T D E P A S S E E T L E S A P P R O C H E S Q U E S T I O N S / R É P O N S E S

Le mot de passe est le moyen d’authentification le plus largement utilisé ; il a su faire ses preuves pendant des

années, même si, aujourd’hui, il est devenu trop faible pour correctement protéger des transactions à risque.

Plusieurs moyens peuvent être mis en œuvre pour durcir la qualité d’une authentification par mot de passe.

D’un côté, il faut tout d’abord demander au porteur de ne pas se limiter, par facilité, à utiliser le nom de son

animal ou sa date de naissance comme mot de passe. De l’autre, l’introduction d’une politique afférente

(complexité, fréquence de changement, non-réutilisation, vérification sur dictionnaire, …) permet de s’assurer

d’un minimum de protection sans pouvoir garantir un risque nul et, en particulier, permettre de se protéger

contre les attaques de ‘l’homme au milieu’.

L’apparition progressive de ce type de politique sur les différentes applications et services en ligne et la

multiplicité des services utilisés incitent de nombreux utilisateurs à se servir des mêmes mots de passe dans leur

vie professionnelle ou personnelle. De ce fait, les fuites d’information dont font l’objet régulièrement de

nombreux services en ligne sont directement liées à un niveau de sécurité insuffisant, y compris en cas d’usage

de mots de passe considérés comme « forts ».

Certains services d’information complètent donc l’authentification par une question à laquelle l’utilisateur doit

apporter une réponse qui aura été préenregistrée. Ce mode de « questions / réponses » est plus lourd et est

utilisé, en général, en solution de repli, lorsque le porteur a oublié son mot de passe pour lui permettre de le

réinitialiser.

Pour contrer les attaques d’interception / rejeu (attaque du type man-in-the-middle), on utilise (en particulier

dans le secteur bancaire) la technique dite du clavier virtuel dans laquelle les cases (chiffres ou lettres)

s’affichent à l’écran de façon aléatoire entraînant une saisie de l’utilisateur par la souris qui n’est pas

simplement rejouable.

Ces techniques ne résistent naturellement pas à un agresseur déterminé mais permettent de durcir simplement

le niveau de sécurité du mot de passe, moyen d’authentification qui, comme on l’a dit, reste largement le plus

simple à utiliser.


7

4 . 2 L E C E R T I F I C A T

Les techniques dites de cryptographie asymétrique sont connues depuis quelques dizaines d’années et sont

probablement les plus appropriées pour durcir un niveau d’authentification.

Au début des années 2000, nous avions tous mis beaucoup d’espoir dans « le certificat », par exemple dans

le cas de la déclaration d’impôts (Télé IR).

Néanmoins, tous ces premiers projets de déploiement massif de certificats ont échoué, mis à mal par la

complexité et le manque d’ergonomie de la solution technique sous-jacente.

Cependant, sur les 10 dernières années, la technologie a profondément évolué, et si un projet d’infrastructure

de gestion de clés (IGC/PKI) pouvait se chiffrer, en 2000, en millions d’euros, il est aujourd’hui possible de

mettre en œuvre une IGC en quelques semaines avec un budget limité à quelques dizaines de milliers d’euros.

Nous considérons qu’à terme, le certificat devrait être l’outil d’authentification (et de signature) le plus utilisé.

Le certificat permet, en s’appuyant sur la même infrastructure, d’identifier indifféremment une personne

physique (que celle-ci utilise un PC, un mobile, une tablette), un composant technique ou une application.

Le certificat logiciel

Le certificat logiciel est aujourd’hui très facile à déployer (nous en générons, au niveau de Dictao, plusieurs

millions par an dans le cadre de nos projets d’authentification et de signature).

Nous le répétons, les techniques ont profondément évoluées au cours de ces dernières années et l’époque où

le certificat coûtait quelques euros et supposait la mise en œuvre d’une infrastructure sophistiquée est

révolue…

Le certificat logiciel est aujourd’hui stocké dans un container logiciel respectant le standard PKCS #12 ; mais

en cas de récupération, compte tenu d’une protection par mot de passe, celui-ci ne résiste pas aux attaques

en « force brute ».

Alors que l’on considérait que le certificat logiciel était solide mais difficile à mettre en œuvre, la situation

s’est aujourd’hui renversée et un « P12 » est aujourd’hui simple à mettre en œuvre mais relativement fragile…

Cette fragilité du « P12 » nous a amenés à développer un container logiciel durci dont l’ouverture est

contrôlée par des techniques de clés partagées ; ce qui permet d’utiliser, sans risque, les certificats logiciels.

La sécurisation du « nuage » dans lequel les ressources sont distribuées passe, en particulier, par la mise en

œuvre de ces « containers logiciels durcis ».

Le certificat sur support matériel

Le certificat sur support matériel est aujourd’hui sûrement la solution la plus solide. Il peut être hébergé :

soit sur une carte à puce

soit sur un token USB

Le token cryptographique embarque sa propre puce sur une interface USB ; il est plus coûteux qu’une simple

carte à puce mais ne nécessite pas de lecteur ni, en général, de middleware de pilotage du lecteur.

De son côté, une carte à puce permet d’intégrer en plus de la puce, des interfaces sans contact destinées à

des usages ne justifiant pas un niveau de sécurité élevé (fonctions d’accès, paiement cantine, …). Dans le cas

où l’on souhaite disposer d’un même support pour les fonctions de contrôle d’accès physique (CAP) et de

contrôle d’accès logique (CAL), la carte est, en général, préférée car elle permet de simplement présenter la

photo du porteur.

Les problématiques de spécificités du middleware de pilotage de la carte disparaissent progressivement

avec la généralisation des puces IAS/ECC (standard de la carte d’identité et de la carte agent de

l’administration française) et des lecteurs transparents (au standard PC / SC).


8

Dans une recherche d’un très haut niveau de sécurité, on peut utiliser des fonctions biométriques pour activer

la carte (dans des fonctions dites de « match on card »). L’utilisateur présentera son pouce (ou un autre doigt)

sur un lecteur biométrique qui analysera l’empreinte et ou le réseau veineux ; ce qui permettra d’activer sa

carte (et les secrets dont elle est porteuse). Cette solution, très satisfaisante sur un plan ergonomique, est

acceptée par la CNIL mais suppose de mettre en œuvre un lecteur relativement coûteux (50€ et plus) si l’on

veut éviter des faux négatifs trop fréquents.

4 . 3 L ’ O T P

Le principe de l’OTP est l’utilisation d’un ensemble de glyphes (nombres, caractères,…) à usage unique qui

peut être généré et communiqué par différents moyens : SMS, application embarquée dans le téléphone

portable, calculette, token dédié,… De son côté, le service d’authentification partage un élément secret qui lui

permet de connaître à un instant donné la valeur du secret et sa validité (fonctionnement par numéro de série,

heure, secret pré-partagé…).

Dans le cas d’une application, ce secret est protégé dans le dispositif de l’utilisateur par le stockage dans une

puce (SIM dans un téléphone, puce d’une carte bancaire,…).

L’OTP SMS

Dans ce mode de fonctionnement, c’est directement le service d’authentification qui transmet le secret partagé

par SMS à l’utilisateur. Dans ce cas, le service d’authentification est relié à un service d’émission de SMS qui

permet à l’utilisateur de recevoir son OTP lorsqu’il en fait la demande, apportant un niveau de sécurité

complémentaire en s’assurant qu’il dispose bien d’un accès à son téléphone.

L’EMV / CAP

L’EMV/CAP (EMV pour Europay/Mastercard/Visa, standard de nos cartes bancaires) est un OTP calculé

directement par la puce d’une carte bancaire. La validation de ce type de jeton permet d’authentifier

fortement les clients dans le cadre de transactions sans face à face, notamment dans toute transaction du

commerce électronique, les services bancaires en ligne et téléphonique, la vente par correspondance, le

mobile-commerce…

En renforçant la sécurité, la validation de jetons EMV/CAP permet d’augmenter les gains et l’efficacité des

entreprises, sous l’effet du renforcement de la confiance des clients et, en conséquence, de l’augmentation des

transactions, la réduction des coûts liés aux litiges et à la fraude.

Le détenteur de la carte bancaire (porteuse du masque EMV/CAP) insère sa carte dans son lecteur de poche

(Personal Card Reader) connecté ou non à un ordinateur (la personne peut, aussi, être en communication avec

un opérateur téléphonique, lui-même muni d’un ordinateur).

L’OATH

OATH (Open AuTHentication) est une initiative des grands acteurs du secteur IT afin de proposer une

architecture de référence, ouverte, disponible pour tous pour une authentification forte quel que soit

l'utilisateur, les moyens techniques et le réseau utilisé.

L'objectif principal de cette initiative est de réduire le risque et l'impact du vol d'identité par un déploiement

renforcé de l'utilisation d'authentification forte en offrant à travers un standard et d’un jeu d’API, une

compatibilité sur différents modèles de tokens matériels et logiciels.


9

5 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAO

Pour répondre à cette réalité multidimensionnelle, Dictao s’est attachée à adopter une approche globale de

la sécurité et de l’authentification, pour répondre aux besoins d’authentification de toute l’entreprise, pour

tous ses services et canaux (services en ligne, banque en ligne, dématérialisation en agence, centre d’appels)

et de toutes les populations (clients Entreprises, clients Particuliers, partenaires, collaborateurs…).

Notre solution supporte l’ensemble des standards d’authentification et est évolutive, pour tirer parti de tous les

moyens d’authentification existants et à venir.

Enfin, notre solution apporte une réponse adaptée aux situations de la vie quotidienne de l’utilisateur. Elle

permet, en particulier, de proposer à celui-ci, une méthode de secours, en cas d’oubli, de perte ou de casse

de son moyen d’authentification.

5 . 1 N O T R E S O L U T I O N D ’ A U T H E N T I F I C A T I O N

Notre solution d’authentification s’articule autour de deux produits de Dictao :

Dictao Access Control Server (DACS) qui assure les fonctions suivantes :

Un service multicanal qui assure l’authentification de tous types d’utilisateurs (clients, collaborateurs,

partenaires) pour tous types d’applications, car, autour d’une architecture partagée, il dispose de

connecteurs adaptés pour chaque type d’applications

Un service qui détermine le moyen d’authentification adapté selon le profil de l’utilisateur et le type

d’application et gère les ‘stratégies de repli’

Un service qui appelle notre serveur multi-moyen d’authentification DVS pour la validation du moyen

d’authentification utilisé

Dictao Validation Server (DVS) qui assure les fonctions suivantes :

Le support de tous les grands standards du marché dans le domaine de l’authentification : certificat,

OATH, EMV CAP et GIE CB, OTP SMS, mot de passe, date de naissance,…

Les services de validation

La constitution des preuves

La solution d’authentification de Dictao est proposée en mode licence ou en mode Service (Software as a

Service).


10

L’agencement fonctionnel de notre offre de composants de confiance peut être schématisé de la façon

suivante :

Une application métier peut :

Appeler directement les services de confiance de Dictao Validation Server pour l’authentification

des utilisateurs suivant le moyen choisi

Faire appel au Dictao Access Control Server pour assurer, à côté des fonctions de stricte

validation :

o La prise en charge de la cinématique d’authentification complète (présentation des pages

d’authentification, déroulement de la cinématique d’’authentification, détermination de la

méthode d’authentification,…)

o La gestion de méthodes d’authentification de secours ou de repli

5 . 2 L E S P O I N T S F O R T S D E N O T R E S O L U T I O N D ’ A U T H E N T I F I C A T I O N E T L E S

F O N C T I O N N A L I T É S A S S O C I É E S

Notre solution d’authentification se distingue par les aspects suivants :

Sa polyvalence, son évolutivité et son indépendance vis -à-vis des fournisseurs de moyens

d’authentification

L’entreprise ne peut se limiter au choix d’un seul moyen d’authentification pour tous ses utilisateurs et toutes ses

applications. Elle doit mettre en œuvre différents moyens d’authentification selon les populations et le niveau

de risque des transactions. De plus, les procédés d’authentification sont en mutation rapide, d’une part pour

répondre à l’évolution des attaques, d’autre part en raison des évolutions technologiques.

Pour laisser l’entreprise libre de ses choix de moyens d’authentification, la solution d’authentification de Dictao

en supporte de très nombreux, qu’ils soient « libres » ou « propriétaires ».

De cette manière, en s’appuyant sur DACS, l’entreprise reste indépendante de moyens d’authentification et

des fournisseurs associés.

En fonction du niveau de risque associé à la transaction ou au client, l’organisation pourra choisir, avec DACS,

plusieurs moyens d’authentification et simplement les faire cohabiter sans avoir à multiplier les serveurs

d’authentification.


11

De même, les moyens d’authentification peuvent évoluer dans le temps (en général, pour durcir le niveau de

sécurité) sans remettre en cause la plate-forme d’authentification sous-jacente.

En s’appuyant sur la plate-forme Dictao, l’organisation fait un investissement pérenne : elle peut mettre en

œuvre de nouveaux moyens d’authentification, pour répondre à l’évolution de ses besoins et des standards du

marché, sans avoir à remplacer sa plate-forme d’authentification.

Les grandes fonctionnalités du produit

Dictao Access Control Server permet d’authentifier tous les clients, quels que soient les moyens

d’authentification utilisés :

EMV CAP ou GIE CB

OTP SMS

OATH (Open AuTHentication)

OTP propriétaire

Certificat

Certificat logiciel

Certificat sur carte à puce ou token

Date de naissance/question réponse

Mot de passe

…

Vous permettre de faire face à l’évolutivité des moyens d’authentification est le fondement de notre

proposition de valeur. Ainsi, DACS peut supporter un nouveau moyen d’authentification par le simple ajout

d’un « plug-in » ; ce qui permettra, à moindre coût, de:

Remplacer un moyen devenu vulnérable (attaques…)

Prendre en compte un nouveau standard ou un nouveau moyen d’authentification

Cet ajout de nouveaux moyens se fait de façon transparente pour les applications utilisatrices (services en

ligne ou autres).

Cette approche par plug-in permet aussi la prise en charge de moyens d’authentification qui seraient déjà

déployés dans l’organisation. En effet, les plug-in DACS permettent de réaliser des appels vers des serveurs

d’authentification spécifiques (autre que notre serveur d’authentification multi-moyen DVS) ou d’intégrer des

librairies gérant ces moyens d’authentification.


12

5 . 3 L ’ A D A P T A T I O N D E S P R O C E S S U S D ’ A U T H E N T I F I C A T I O N À L A S I T U A T I O N

( A D A P T A T I O N A U P R O F I L D E L ’ U S A G E R , A U R I S Q U E D E L A T R A N S A C T I O N ,

A L A V I E Q U O T I D I E N N E … )

Dictao Access Control Server permet à l’organisation d’ajuster sa stratégie d’authentification à chaque cas

d’usage. De cette manière, l’organisation peut choisir selon le profil de l’utilisateur et la nature de la

transaction réalisée, le moyen (ou la combinaison de moyens) d’authentification le mieux adapté à la situation,

celui qui permet de résoudre simplement l’équation sécurité/ergonomie/coût.

De plus, DACS place l’expérience utilisateur au cœur de la gestion de l’authentification. En cas de perte,

d’oubli ou de casse de son moyen d’authentification, DACS propose à l’utilisateur de s’authentifier avec un

autre moyen, de manière à ce qu’il ne soit pas bloqué dans sa démarche d’accès à un service.

L’organisation peut configurer, dans DACS, différentes règles d’authentification (selon le profil de l’usager, le

niveau de sécurité requis, le canal utilisé) et des mécanismes de repli (méthodes d’authentifications

alternatives). Ceux-ci permettent de pallier les éventuelles indisponibilités des moyens d’authentification des

utilisateurs. Ensuite, DACS met en œuvre ces règles.

A titre d’exemple, nous vous proposons, ci-dessous, un exemple de visuel dans le cas d’un repli, demandé par

le client, de la méthode EMV CAP vers une solution OTP SMS.

3D Secure

connector

Web Service

connector

Web SSO

Banque en

ligne

Dictao Access Control Server

EMV CAP OTP SMS OATHCertificat Mot de passe

Serveur multi-moyens d’authentification

DACS

Plugin

certificat

Plugin Mot

de passe…

Nouveau

Plugin

Autre Serveur

d’authentification :

VASCO,…

…


13

5 . 4 U N S E R V I C E D ’ E N T R E P R I S E G L O B A L E T U N I Q U E , R É P O N D A N T A

L ’ E N S E M B L E D E S B E S O I N S D ’ A U T H E N T I F I C A T I O N

DACS a été conçu pour répondre aux besoins d’authentification de toute l’organisation, pour tous les canaux,

qu’ils concernent les services en ligne, les applications métiers, la dématérialisation en agence, les applications

de vente en ligne et toutes les populations (clientèle Entreprises, Particuliers, collaborateurs, partenaires, etc.).

DACS est un serveur d’authentification multi-groupe : plusieurs groupes (ou entités), composés chacun de

plusieurs établissements, peuvent s’appuyer sur la même plate-forme DACS. Chaque établissement peut

appliquer sa propre politique d’authentification.

Ainsi, avec DACS, la gestion de l’authentification est centralisée à l’échelle de l’organisation. Ce qui permet

de ne plus avoir à gérer les problématiques d’authentification application par application, ce qui est source

de coût, de complexité et de failles de sécurité.

Les connecteurs développés actuellement permettent à DACS d’être appelé dans les contextes suivants :

Vente en ligne : 3DSecure

Service en ligne : Web SSO

Applications métier : Web Services.

Il est possible de développer des connecteurs spécifiques pour supporter de nouveaux services (moyens de

paiement spécifiques, contextes de fédération d’identité…).

DACS propose, de manière native, un strict cloisonnement entres les données et les méthodes d’authentification

entre les différents groupes. Chaque groupe peut ainsi mettre en œuvre sa propre politique

d’authentification.


14

5 . 5 U N S E R V I C E C O N F O R M E A U X P L U S H A U T S S T A N D A R D S D E S E C U R I T É

Certification au niveau EAL3+ des Critères Communs

Dictao Access Control Server s’appuie sur le produit Dictao Validation Server, serveur de validation et de

constitution de preuve, certifié au niveau EAL3+ de la norme internationale des Critères Communs (ISO 15

408) et qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La norme Critères

Communs est internationalement reconnue en Europe, en Amérique du Nord et en Asie.

Certification 3D-Secure

Le module DACS 3D-Secure est certifié par Visa et MasterCard conformément aux spécifications 1.0.2 de la

fonction ACS.

Conformité PCI/DSS

Le modèle de données DACS permet d’être conforme aux exigences PCI/DSS grâce aux propriétés suivantes:

Dans le cas d’un accès par DACS de référentiels distants : l’accès aux données sensibles (PAN et

les données d’authentification) est réalisé à travers des moyens sécurisés (ligne spécialisée,

authentification par certificat,…)

Dans le cas d’un accès local par DACS : les données sensibles ne sont jamais stockées en clair

Dans tous les cas, DACS instaure un cloisonnement strict entre les données des différents groupes,

aussi bien au niveau de l’approvisionnement des données que de leur utilisation

L’utilisation des clés cryptographiques par DACS est conforme aux exigences définies dans

PCI/DSS

DACS possède un connecteur standard (PKCS#11) permettant d’utiliser différents boitiers HSM

(Hardware Security Module) du marché pour le stockage et l’utilisation des clés.


15

6 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNE

Depuis le 1er octobre 2008, dans le cadre du commerce en ligne, le principe de transfert de responsabilité

en cas de fraude est entré en vigueur. En cas d’utilisation frauduleuse d’une carte bancaire, la banque

émettrice de la carte sera tenue pour responsable et non plus le commerçant.

Le protocole 3DSecure a été bâti pour durcir le niveau d’authentification du porteur et, ainsi, de réduire le

risque que doit supporter la banque. Le marchand qui n’utilise pas 3DSecure ne pourra transfèrer la

responsabilité à sa banque et devra gérer lui-même la fraude…

Dictao Access Control Server (DACS) intègre le protocole 3DSecure et aide, ainsi, les banques à faire face

à leurs nouvelles responsabilités, à limiter les risques de fraudes financières, à conforter la confiance des

clients à l’égard de leur banque, quant à la protection de leur carte bancaire.

Dictao Access Control Server vérifie, pour la banque émettrice, l’authentification du porteur de carte

bancaire, selon le mode choisi par la banque, qui peut être plus fort selon la nature de l’achat (mot de passe,

jeton généré par une carte bancaire et un lecteur EMV CAP).

Dictao Access Control Server est certifié par Visa (Verified by Visa) et Mastercard.

Le système 3-D Secure permet une sécurisation renforcée des paiements sur Internet grâce à l'authentification

du porteur de carte, au moment du paiement, comme lors d’un paiement en face à face, chez un commerçant.

Le porteur est ainsi protégé contre l’utilisation frauduleuse de son numéro de carte bancaire, car il doit

confirmer son identité avant le paiement, par exemple en saisissant un code secret qui sera vérifié, en ligne,

par la banque émettrice de la carte.

Ce code secret peut être, selon le profil de porteur de carte et son contrat :

Un OTP de type EMV CAP

Une information complémentaire (date de naissance, nombre d’enfants, etc.)

Un code secret envoyé par SMS.

Cette authentification du porteur revient à :

Obtenir la preuve de son engagement à payer

S'assurer de son identité

S’assurer de la légitimité de la transaction.

La solution 3-D Secure représente un protocole commun de communication entre le marchand, la banque

acquéreur et la banque émettrice.


16

Elle met en jeu trois domaines (d’où le terme 3 D pour 3 Domains) :

Domaine du client ou domaine émetteur qui comprend le porteur de carte et la banque du

porteur de carte, c'est-à-dire la banque émettrice, qui est chargée de vérifier l’authentification du

porteur de carte

Domaine Marchand, qui comprend le site marchand et sa banque : la banque du marchand

Domaine d’interopérabilité, qui assure l’interface entre le domaine émetteur et le domaine

acquéreur (Visa ou Mastercard).


17

La cinématique 3DSecure peut être représentée de la façon suivante :

1 La saisie des informations relatives à la carte bancaire

Après avoir ‘empli son panier’, le client saisit, sur le site marchand, son numéro de carte bancaire et la date

de validité.

2 La demande d’authentification

Le MPI du marchand (le « merchant plug-in » chargé de traiter l'opération de paiement) émet une demande

d'authentification vers la banque du client.

3 La demande d’authentification (suite)

La banque du client demande à celui-ci de s'authentifier en ligne (par exemple, par un code secret).

4 L’authentification

Le client saisit son code secret, qui, selon son profil, peut être un mot de passe à usage unique généré par un

lecteur EMV CAP et une carte bancaire, une date de naissance, un code envoyé par SMS, ou encore un autre

moyen.

5 Vérification de l’authentification auprès de Dictao Access Control Server

Le serveur de contrôle d'accès (ACS) de la banque émettrice vérifie l'authentification et transmet l'accord au

commerçant.


18

À PROPOS DE DICTAO

Dictao est l'éditeur logiciel de référence dans le domaine de l'authentification forte, de la signature

électronique et de l'archivage sécurisé

Nous concevons et commercialisons des produits permettant de mettre en œuvre les fonctions indispensables à

la sécurité et à la confiance dans un monde dématérialisé : authentification des clients et des utilisateurs,

engagement à travers la signature électronique, constitution de preuves de transactions, archivage à vocation

probante.

Nous aidons nos clients à sécuriser leurs applications sensibles, à répondre à leurs contraintes réglementaires

et à innover pour plus d'efficacité et de croissance.

Les résultats concrets obtenus par nos clients sont les meilleurs garants de l'adéquation de nos produits, nos

solutions sectorielles et notre expertise aux besoins de sécurité et de confiance des organisations.

Nous accompagnons le secteur bancaire dans la sécurisation des transactions en ligne réalisées par les

Entreprises et les Particuliers, la sphère publique dans la modernisation de l'Etat au travers des

téléprocédures, et le monde industriel dans la concrétisation de l'entreprise étendue (dématérialisation des

commandes, des factures…).

Dictao est le seul éditeur dont la gamme de produits est éprouvée dans des contextes variés (authentification,

ordres de virements, contractualisation en ligne, facturation électronique, traçabilité…) et certifiée au niveau

EAL3+ de la norme internationale des Critères Communs par l'Agence nationale de la sécurité des systèmes

d'information (ANSSI).

Les solutions logicielles Dictao sont disponibles sous forme de produits logiciels (licences) ou sous forme de

services (Software as a Service SaaS).

Nous sommes, naturellement très fiers de nos références :

600 établissements financiers et de crédit dont la Banque de France, LCL, BNP Paribas, Société Générale...

De grandes entreprises industrielles dont PSA Peugeot Citroën, Total… L'Administration dont le Ministère de

l'Economie, des Finances et de l'Industrie, le Ministère de la Défense, la Direction de l'Information Légale et

Administrative, l'Agence Nationale des Titres Sécurisés…

L’authentification multimoyen

Technology

lauthentification multimoyen

scurit diffrents

canaux diffrents

services multiples

certificat logiciel

blanc dictao

fraude volutive

besoins de populations