Ce quatrième petit-déjeuner a réuni une trentaine de personnes le mercredi 19 mai 1999 au Sofitel des Champs-Élysés à Paris pour entendre M. Sylvain PHELIPPEAUX, responsable de la WEBSCHOOL à l'Atelier (cellule de veille technologique du groupe Paribas), présenter les différentes techniques d'authentification, présentes et à venir.
M. BAHRY, Directeur général du CESI, Président du FFFOD ouvre la séance et définit la problématique de cette rencontre, en phase avec les interrogations du Forum sur les freins réglementaires au développement des formations ouvertes et à distance. Un de ces freins n’est autre que le besoin pour le législateur d'avoir la preuve de l'existence de l'acte de formation. Le fait d'apprendre n'est pas à ses yeux suffisant. Preuve doit être faite que la transmission a suivi un certain canal, appelé la formation. Cette dernière n’a qu’un lien indirect avec le problème que nous évoquons. En effet, il se rattache à des éléments annexes tels que la preuve du statut social ou bien la preuve pour la rémunération. Cela implique donc un type d'authentification particulier. Le développement des nouvelles technologies de l'information et de la communication préoccupe les responsables chargés de certifier, de garantir, de prouver. Ils ont tendance, pour faciliter leur tâche, à préférer au stagiaire actif derrière son ordinateur celui qui dort près du radiateur au fond de la classe mais qui a tout de même signé la feuille de présence. Les NTICs sont d'ores et déjà porteuses de solutions. Certaines sont opérationnelles, d'autres encore en développement. Pour la plupart, elles ne sont pas nées pour répondre aux besoins de la formation, ce secteur étant modeste par rapport à d'autres comme celui du commerce électronique. Heureuse coïncidence, les innovations des autres répondent aux problèmes actuels de la formation. Tel est le sujet de l'intervention de M. PHELIPPEAUX.
1- Présentation
2 - Fraudes et
usurpations
3- Définition de la
cryptologie, de l'authentification et de l'anonymat
4- Missions et
principes de la cryptologie
5- Aspects juridiques,
approche comparative France/USA
6- Panorama des
différents procédés d'authentification : fonctionnement,
limites, projets en développement...
7- Questions
M. PHELIPPEAUX présente ses fonctions au sein de l'Atelier et les enjeux du groupe Paribas. L'Atelier est une cellule de veille technologique du groupe Paribas dirigée par Jean-Michel BILLOT. Elle cherche à établir en quoi les NTICs vont transformer notre façon de communiquer. La Compagnie bancaire a lancé il y a trois ans de cela son Intranet, pour fournir certains services à ses collaborateurs. Cela a nécessité leur initiation à l'Internet, d'où la création en 1997 de la Webschool. L'autre défi à relever consistait à leur offrir un accès à l'Intranet depuis chez eux, sans pour autant risquer une dispersion des informations confidentielles. Une fiable authentification de l'utilisateur était donc nécessaire.
A présent, la Webschool tente de se lancer dans les technologies de Web-based-training, c'est-à-dire d'assurer des formations par le biais de l'outil Internet. Là aussi, l'identification de l'apprenant en ligne était essentielle. Il faut pouvoir prouver que le stagiaire connecté est bien celui qu'il prétend être.
Sur Internet existe un vrai risque de piratage des données. Une information transite en moyenne par dix ordinateurs différents. L'encodage des données permet en partie de remédier à ce problème. Différents protocoles peuvent être utilisés : techniques de chiffrement, comme par exemple Secure-socket-layer de SSL...
Autre danger d'Internet, l'usurpation d'identité à des fins de fraude. Elle consiste à utiliser l'identité de quelqu'un d'autre pour suivre une formation ou acheter des biens, par exemple. Les techniques d'authentification ont pour fonction de vérifier l'identité de l'émetteur et du destinataire du message ou de la transaction qui s'effectue. La notion de signature électronique se développe et tente d'égaler en authenticité celle de la signature manuscrite, sur quoi reposaient jusqu'à présent nos pratiques et nos lois.
Autre acte de vandalisme, le piratage qui permet d'accéder sans habilitation au réseau Intranet en usurpant l'identité d'autres utilisateurs. Le "firewall", " mur de feu ", permet de filtrer le trafic qui entre et sort du réseau qu'on entend protéger. Des logiciels sont mis en place et ont pour fonction de contrôler ceux qui entrent et sortent du système et de savoir où ils vont.
Les actes de vandalisme ont un coût élevé pour les entreprises. Statistiquement, l'accès à un réseau d'une personne non habilitée aurait coûté l'équivalent de 2,8 milliards de dollars. Le vol d'informations aurait coûté 1,67 milliards de dollars. La fraude aux télécommunications (utilisation de comptes dial-up de façon illicite), 0,5 milliards de dollars. La fraude financière, 0,4 milliards de dollars. Et le sabotage, 0,1 milliards de dollars. Précisons bien que la justesse de ces chiffres portent à caution : difficilement évaluables et confidentiels, ils sont rarement étalés au grand jour par les entreprises qui ont été victimes de ces vandalismes.
Il s'agit d'abord de bien distinguer les différents niveaux de sécurité recherchés par les entreprises et organismes :
- L'identification : Identifier l'utilisateur comme étant bien celui qu'il prétend être.
- L'authentification : On vérifie l’intégrité du message envoyé pour contrôler s’il n’a pas été altéré. On reconnaît la notion de signature électronique et de cryptage du contenu.
- La confidentialité: L’émetteur et le récepteur choisit auront seuls accès à l’information.
- La non-répudiation : Dans le secteur du commerce électronique, il faut pouvoir empêcher l'utilisateur de se soustraire à l'émission ou à la réception d'un message. Dans le cas d’un contrat de vente, l s'agit d'être certain que la personne est bien celle qu'elle prétend être et de prouver qu'elle ne peut plus renoncer à son acte d'achat.
La cryptologie est basée sur deux éléments essentiels, un algorithme et une clef. L'algorithme de cryptage est une fonction mathématique qui combine du texte avec une chaîne de nombres binaires. La clef permet de décoder et de rendre au message son intelligibilité.
- Premier schéma, le cryptage à base de clefs secrètes ou symétriques :
L'émetteur et le récepteur auront la même clef, tenue secrète, ce qui rend impossible l'utilisation de l'information par toute autre personne, accidentellement ou de façon malveillante. Le texte chiffré passe en clair sur Internet, puis est décodé par le récepteur. L'inconvénient de cette technologie basique est que les deux parties doivent partager le secret de cette clef. De plus, s'il existe plusieurs destinataires, l'usage de cette clef s'élargit si bien que la confidentialité du message peut, à terme, ne plus être respectée. L'authentification pose également un problème car si on multiplie les clefs, l'émetteur ne peut plus être formellement identifié et on ne sait plus qui de tous les utilisateurs a généré le message. Deux cent utilisateurs nécessiteraient l'activation de 20 000 clefs secrètes, et donc une gestion des plus délicates. Enfin, l'opération de confirmation de réception, équivalent à l'accusé de réception, nécessite des clefs de cryptage dissymétriques, difficiles à gérer.
- Deuxième schéma, le cryptage à base de clef publique, le PKI (Public Key Infrastructure) :
X et Y veulent crypter une information ou une transaction sur Internet. X, qui a besoin d'un système d'authentification, a en sa possession deux clefs, une clef publique et une clef privée. X diffuse de manière globale sa clef publique, Y la récupère pour chiffrer un message à son intention. X sera le seul à pouvoir le déchiffrer avec sa clef privée.
La signature électronique fonctionne de manière un peu similaire : X diffuse son message et le signe grâce à sa clef privée. Seule sa signature sera cryptée par le biais de la clef publique. Y récupère la clef publique de X, et authentifie la provenance du message grâce à sa clef publique. La clef privée ne circule, elle, pas sur Internet. C'est toujours celui qui décide d'utiliser un moyen d'authentification qui possède une clef publique et une clef privée. Les autres utilisateurs du réseau ne posséderont que la clef publique et ne pourront donc pas décrypter le message qui apparaît.
Le certificat est un document électronique attestant que telle clef publique appartient bel et bien à une organisation ou une personne X. Il permet de vérifier qu'il n'y a pas eu contrefaçon de cette clef publique au profit d'un tiers. La norme X509 régit ce certificat. Il contient une clef publique, un nom, et toutes sortes d'informations concernant le sujet utilisant cette clef. Des organisations fédératrices génèrent sur Internet des agréments, par exemple d'authentification. Elles cèdent des programmes d'accord des autorités de certification, comme Cybertrust, Kléline. En France, le SCSSI, Service Central de Sécurité des Systèmes Informatiques, sous la tutelle du Premier ministre, certifie que ces autorités de certification utilisent convenablement l'ensemble des cryptologies. Les utilisateurs qu’ils soient des particuliers ou non peuvent alors avoir recours en toute confiance à ces certificats.
On discerne différentes classes de certificats :
- La classe 1 : La vérification ne concerne que le nom et l'adresse e-mail de l'utilisateur ;
- La classe 2 : L'organisme demande un document officiel (carte de sécurité sociale, permis de conduire etc.) ;
- la classe 3 : Sont vérifiées les informations personnelles mais également les informations de solvabilité ;
- La classe 4 : Cette classe n’est pas tout-à-fait finalisée encore, l'organisme vérifie la position hiérarchique du détenteur du certificat. Cela permettra de certifier que la personne demandant le certificat est bien un responsable de l'organisation au nom de laquelle il sera établi.
Plus la classe est élevée, plus l'identification est sûre.
L'équivalent américain du SCSSI est le KMS, Key Management Structure. En France, pour être légales, les clefs devaient être limitées à 40 bits, mais aujourd'hui, techniquement, il est très facile de pirater des clefs aussi faibles. La réglementation en a pris acte, elle autorise à présent la création de clefs supérieures à 40 bits, mais à une condition : elles doivent être gérées par un tiers de confiance, c'est-à-dire que les autorités se sont octroyées le droit de consulter et de décrypter les clefs de tout utilisateur.
Pour information, consulter le Journal Officiel du 19 mars 1999.
Un membre de l'assistance s'interroge : il a mis en place un réseau virtuel privé dont les données sont cryptées à 128 bits, sans pour autant avoir eu affaire avec un tiers officiel pouvant les vérifier.
Selon M. PHELIPPEAUX, l'éditeur du logiciel de commerce qui a servi à la réalisation de ce site se serait mis en conformité avec les règlements, lui évitant cette démarche à titre personnel. D'après la loi, l'utilisation d'une clef ne dépassant pas 128 bits est soumise à la déclaration préalable du producteur, fournisseur ou importateur du logiciel.
M. PHELIPPEAUX présente une typologie des systèmes d'authentification, en fonction de leur degré de sécurisation, avec leurs forces et leurs limites :
- Le mot de passe :
L'utilisateur a un identifiant, en fonction duquel circule pour chacun un mot de passe. Il suffit qu'on devine votre mot de passe, qu'on vous observe ou que vous laissiez traîner un papier, pour que la sécurisation soit mise à mal, définitivement. Il existe deux types de mot de passe, celui qui est utilisé pour une session définie par l’utilisateur et celui, dynamique, qui est modifié à chaque utilisation. Même si l'utilisateur se fait pirater son mot de passe, il possède une carte ou une sorte de petite calculatrice qui permet de générer de façon dynamique le mot de passe donnant accès au réseau.
-Le logiciel:
L'utilisateur installe un logiciel spécifique, comme le portefeuille électronique Kléline ; il s'identifie auprès du service Kléline.
-Un matériel spécifique :
Il faut partir du principe que la possession d’un élément physique permet d’identifier un utilisateur sur les réseaux. Une carte électronique peut être employée comme carte d’accès à l’ordinateur. La carte classique comportant une piste magnétique est le prototype le plus basique.
Il existe cependant un procédé plus élaboré mis en place par l’intermédiaire d’une carte complexe que l’on insère dans un lecteur, connecté à l’ordinateur. Il faut alors taper un code de blocage sur la carte, il génère automatiquement un code de déblocage. Il est nécessaire d’être en possession d’une carte à puce ou d’un élément classique d’identification, tel que le mot de passe, pour s’authentifier auprès du système : Détenir la carte physiquement permet donc de le débloquer. Elle comprend un algorithme identique à celui présent sur le serveur. Ainsi, chaque collaborateur dispose d’un code personnel, équivalent à celui d’une carte de crédit. Cela permet de lier la possession d’un matériel donnant accès à l’Intranet, et la possibilité de se connecter quel que soit l’endroit où l’on se trouve dans le monde. Il est évident que le coût d’un tel système dépend du nombre de cartes qui est généré. Citons par exemple Securidy de Security dynamics ou Activ Cards.
Pour l'authentification de base, en dépit des freins législatifs, le mot de passe et les cartes actives avec lecteur sont largement satisfaisants. Dans un futur proche, le développement du commerce électronique provoquera le développement des connectiques de lecteur de cartes, notamment par C-set. Pourquoi alors ne pas imaginer l'identification d'une personne par le biais de sa carte de paiement classique ? Par contre, en terme de présence de l'apprenant en formation, ce type de technologie est faillible, voire inadapté.
-Le niveau extrême d'authentification, dit biométrique :
On peut cependant associer à ces cartes électroniques la biométrie, discipline qui s'intéresse à la mesure des caractéristiques physiques des êtres vivants. Jusque là, pour s'authentifier sur un réseau, on utilisait soit quelque chose de su (identifiant personnel, mot de passe) soit quelque chose que l'on possède (cartes). Avec la biométrie, il s'agit d'identifier quelque chose qui est présent, qui est en chacun de nous (empreinte digitale etc.). Les systèmes biométriques permettant un traitement d'information nominatif, il est obligatoire de se placer sous l'égide de
La CNIL qui a des prérogatives en matière d'informatique et liberté.
1- Authentification par reconnaissance des empreintes digitales (AFIS, Automatic Fingerprints Identification System) :
Il existe différents types d'installation. Dans certains cas, un capteur ressemblant à une souris et connecté sur son PC, relève les empreintes digitales. Une carte à puce peut être exigée en sus. Autre possibilité, l'intégration d'un système d'empreintes digitales au sein du clavier (proposé par exemple par Cherry), également jumelable avec un système de carte à puce. C'est la grande tendance actuellement. Ces dispositifs ne se trouvent pas en grande distribution, leur coût est très élevé pour le moment. Ce sont encore des prototypes en développement. Les sites de commerce électronique sont à 64% intéressés par ce type de dispositif et financent en grande partie les recherches.
e-Bay, un site d'enchères sur Internet, a fait il y deux mois la vente du siècle, pour trois millions de dollars. Il s'est avéré qu'un enfant de treize ans en était l'auteur ! Les logiciels nécessaires au fonctionnement sécurisé de ce type de matériel sont le véritable enjeu. Par exemple, sur Amazone, qu'est-ce qui prouve que quelqu'un n'enregistre pas ses empreintes digitales sous une autre identité ? Le risque de dupliquer et de recouper les fichiers est des plus préoccupants. Jusqu'où aller dans la vérification ? On rejoint là des problèmes d'éthique et de moral. Autre limite, dans une situation de formation par exemple, on peut très bien s'identifier puis passer la main à un ami plus doué.
Heureusement, d'autres innovations répondent à ce type de besoin en proposant une identification permanente.
Les logiciels de reconnaissance d'empreintes digitales utilisent plusieurs types de technologie.
La plus ancienne consiste à scanner les empreintes digitales, c'est celle de la reconnaissance optique. Ce système trouvera ses limites si par exemple l'utilisateur est un médecin muni de gants de latex, ou quelqu'un qui n'a pas les mains parfaitement propres.
Il est également possible d'utiliser les ultrasons ; on enregistre les vibrations provoquées par le placement du doigt sur une liaison de sortie.
2- Le système d'analyse du visage :
Une caméra peut filmer l'utilisateur et le système peut enregistrer tout changement de morphologie du visage. Visionix propose une borne autonome d'authentification du visage. La caméra utilisée est de très bonne qualité car dotée d'un zoom et d'une mise au point automatique. Ainsi, la reconnaissance peut se faire en temps réel. A chaque fois qu'on prend une posture différente, le système analyse les nouvelles données et établit s'il y a eu ou non changement d'identité : le cercle devient rouge lorsque le système a analysé la géométrie du visage de l'utilisateur. Pendant la première minute, l’utilisateur doit exposer au système ses profils et sa face afin qu'il les mémorise. L'image est en mouvement, il est donc impossible de frauder en présentant une image scannée ou une photo d'un tiers. C'est au commanditaire de définir le niveau de sécurisation désiré ; s'il le veut, le système sera en veille durant toute la session de formation, à l'ouverture ou durant tant de minutes. Ce procédé d'authentification est l’un des plus performant à ce jour. Il est en mesure de garantir que l'apprenant est bien celui qu'il prétend être et qu'il reste bien derrière son poste.
3- Le système d'analyse vocale :
On enregistre le spectre de la voix de l'utilisateur X à sa première entrée dans le système, lequel sera comparé avec l'empreinte vocale de celui qui prétend être X et avoir un droit d'accès à l'Intranet. La notion dynamique a disparu dans ce dispositif. Si l'utilisateur X est enroué, il aura des difficultés à accéder au réseau. Sur le marché, on trouve par exemple Ténétix, ITT, VeryVoice, VeryTel, VoiceScript. Cela nécessite l'acquisition d'un très bon système de restitution de la voix et d'un logiciel adéquat.
4- L'analyse du réseau veineux de la main :
On authentifie l'utilisateur en fonction de la disposition de ses veines grâce à un scanner. On est encore très loin d'une utilisation performante de ce genre de procédé d’authentification. Il est encore en développement dans les laboratoires biométriques.
5- L'analyse de la rétine de l'œil :
L'utilisateur doit coller son œil sur une lunette dotée d'un rayon infrarouge de basse intensité qui analyse la vascularisation de la rétine de l'œil. Les aveugles, les personnes ayant une cataracte défaillante sont exclues de ce type de reconnaissance. L'unité d'enregistrement de ce dispositif comprend deux appareils, un pour enregistrer l'utilisateur dans le système et un pour analyser la rétine : pour des questions de coût et de place, l'installation d'une telle unité à domicile n'est pas envisageable pour le moment. Elle est encore trop lourde à mettre en place.
6- L'analyse de l'iris de l'œil :
Pour le moment, seul le produit Iriscan (Sensa) est disponible ; il nécessite une installation un peu moins contraignante que les dispositifs d'analyse de la rétine.
7- Identification numérique de la signature :
Le système peut évaluer le temps de tracé, le nombre de contacts du stylo, la vitesse d'accélération du tracé et la forme de l'écriture, par le biais d'une palette graphique et d'un stylet sans fil.
Dans l'assistance, on se demande si une analyse graphologique de toute une page d'écriture ne serait pas envisageable.
Selon M. Phelippeaux, ce serait plus délicat à mettre en place et sans doute moins performant.
Afin d'idéaliser l'authentification de l'utilisateur, les organismes ont tendance à cumuler différents procédés ; Des dispositifs cumulent par exemple la reconnaissance du visage et les empreintes vocales. Sur un clavier, on pourra taper son mot de passe, laisser ses empreintes digitales, et introduire sa carte à puce. On retrouve alors un triple niveau d'authentification, par ce que l'on sait, par ce que l'on possède et par ce que l'on est. En fonction de ses propres besoins et des ses moyens, une société privilégiera certains mélanges plutôt que d'autres. Le produit idéal serait le moins coûteux, demanderait le moins d'efforts, serait le plus sûr, mais aussi le plus sécurisant pour l'utilisateur. L'idée que le client se fait d'un procédé est un facteur déterminant de sa réussite ; s'il lui semble trop gadget, son efficacité en sera sensiblement entravée. La reconnaissance de l’iris semble par exemple être le plus performant au regard de l’utilisateur. Le mot de passe est considéré comme le moins coûteux. Autre question cruciale, qui intervient dans les choix à faire, les données biométriques des clients sont très délicates à stocker : faut-il par exemple les confier à un hébergeur qu'on estime de confiance ?
Si on investit d'ores et déjà dans un système d'authentification biométrique, n'a t-on pas de fortes chances de voir le marché en sortir rapidement de plus performants ?
Comme tous les autres domaines de la technologie de pointe, la biométrie est régie par la dure loi de l'obsolescence et de la miniaturisation. En six mois, un logiciel de reconnaissance deux fois plus performant que celui que vous venez d'acheter risque effectivement de sortir sur le marché. A vous de voir si vous pouvez attendre, si vous pouvez racheter un système dernier cri ou si vous pouvez vous contenter des performances du vôtre. Pour l'analyse de l'empreinte digitale, trois produits ont été cités, dont un est "vieux" de plus de deux ans. Les systèmes d'analyse de l'iris sont lourds et très encombrants, mais demain, sans doute seront-ils disponibles sur un GSM.
Qu'en est-il de la recherche Intel ?
Intel, avec son pentium 3, donnerait la possibilité d'aller chercher le numéro de série du processeur et d'identifier ainsi les utilisateurs. Cette authentification est spécifique et ne tient pas compte de la présence effective de l'utilisateur en possession de ce processeur.
La biométrie et le commerce électronique ?
Pour l'instant, on en est encore au stade des tests. Ces deux domaines sont en train de pointer. Il faut attendre un peu que la clientèle ait cette demande et ce volume d'information. On peut par contre évoquer l'expérience conduite au Japon par une banque : pour 50 dollars de participation annuelle, le client recevait une carte à puce complexe et un lecteur, permettant de faire ses transactions depuis son ordinateur en étant identifié par le système.
Rédaction : fffod
| Haut de la page | Retour |