l’authentification multimoyen
TRANSCRIPT
2012 Livre Blanc
DICTAO
152 avenue de Malakoff - 75116 PARIS
Tel. : 01 73 00 26 00
www.dictao.com – [email protected]
L’authentification
multimoyen
Livre Blanc : l’authentification multimoyen
1
SOMMAIRE
1 INTRODUCTION ................................................................................................................................... 2
2 RAPPEL DE QUELQUES PRINCIPES ....................................................................................................... 3
2.1 Rappel de la définition d’authentification forte ....................................................................................................... 3
2.2 De multiples moyens d’authentification… .................................................................................................................. 4
2.3 ...Répondant à des objectifs de sécurité différents .................................................................................................. 4
3 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVE .................................................. 5
3.1 Répondre aux besoins de populations variées ......................................................................................................... 5
3.2 Proposer des services multiples, plus ou moins sensibles, mettant en oeuvre des canaux différents ............. 5
3.3 Faire face à une fraude évolutive ............................................................................................................................... 5
3.4 Accepter des moyens d’authentification multiples .................................................................................................... 5
3.5 Prendre en compte la dimension ergonomie et les aléas de la vie quotidienne ............................................... 6
4 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATION ............................................................................... 6
4.1 le mot de passe et les approches questions/réponses ............................................................................................ 6
4.2 le certificat ........................................................................................................................................................................ 7
Le certificat logiciel ......................................................................................................................................................... 7
Le certificat sur support matériel.................................................................................................................................. 7
4.3 L’OTP .................................................................................................................................................................................. 8
L’OTP SMS ........................................................................................................................................................................ 8
L’EMV / CAP..................................................................................................................................................................... 8
L’OATH .............................................................................................................................................................................. 8
5 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAO .................................................... 9
5.1 Notre solution d’authentification ................................................................................................................................... 9
5.2 Les points forts de notre solution d’authentification et les fonctionnalités associées ........................................ 10
5.3 L’adaptation des processus d’authentification à la situation ................................................................................ 12
5.4 Un service d’entreprise global et unique, répondant à l’ensemble des besoins d’authentification .............. 13
5.5 Un service conforme aux plus hauts standards de sécurité................................................................................... 14
6 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNE ................................................................... 15
Livre Blanc : l’authentification multimoyen
2
1 INTRODUCTION
Dans le domaine des processus et de la dématérialisation des flux, les organisations
font aujourd’hui face à trois besoins principaux. Tout d’abord, il leur faut chercher
constamment une meilleure efficience, au travers de la mise en place « d’applications
sans papier » et du développement de nouveaux services.
Il leur faut aussi gérer le risque associé à ces systèmes et, en conséquence, durcir
progressivement leur niveau de sécurité, sans oublier qu’en cette matière, les bonnes
technologies sont inutiles si on ne prend pas en compte les limites naturelles de la
dimension humaine…
Et bien sûr, il faut aussi que l’entreprise respecte le cadre réglementaire, en particulier,
au niveau de la protection de données personnelles et de la traçabilité.
Efficacement répondre à ces objectifs suppose que les différents acteurs interagissant avec un système
d’information soient précisément authentifiés, c'est-à-dire que l’on soit sûr de leur identité. Pour s’authentifier,
un utilisateur présentera au système un moyen d’authentification qui pourra être un simple mot de passe, un
certificat, un mot de passe à usage unique, une empreinte digitale…
Une personne correctement identifiée/authentifiée pourra accéder à des informations (fonction de
consultation), les mettre à jour, réaliser une transaction…
Dans le cadre de la mise en place de sa stratégie d’authentification, l’entreprise fait face à des situations
multiples et souvent complexes. Les utilisateurs à authentifier ont toujours des profils très divers (client
Particulier, client Entreprise, collaborateur, partenaire, etc.) ; ces utilisateurs souhaitent réaliser des
transactions demandant un niveau de sécurité plus ou moins élevé (de la simple consultation d’information à la
souscription d’un contrat d’Assurance Vie ou à l’établissement d’un contrat de quelques millions d’euros).
Heureusement, l’entreprise peut s’appuyer sur une large palette de moyens d’authentification, pour répondre
au mieux à chaque cas d’usage qui sera caractérisé par la sensibilité de la transaction, le type de population
concernée, le niveau d’ergonomie attendue. De plus, il faut accepter de faire évoluer ces moyens, pour
intégrer les progrès technologiques et faire face à une fraude toujours plus sophistiquée.
L’entreprise doit être capable de répondre simplement à cette réalité multidimensionnelle et changeante. Elle
doit adopter une approche globale et cohérente de l’authentification. Notre proposition est de permettre à
l’entreprise de pouvoir faire cohabiter plusieurs moyens d’authentification et de les faire évoluer pour
répondre à de nouveaux besoins, en s’appuyant sur une plate-forme d’authentification unique et évolutive.
Cette plate-forme doit ainsi permettre de garantir à l’utilisateur un processus d’authentification simple et
adapté aux circonstances et à l’entreprise d’optimiser ses coûts et son niveau de risque.
Nous vous présentons dans ce livre blanc les problématiques auxquelles une organisation doit répondre dans
la mise en place de sa stratégie d’authentification et les réponses proposées par Dictao.
Nous restons, bien sûr, à votre disposition pour approfondir avec vous ces analyses ou vous détailler nos
propositions.
Jacques Pantin, PDG et fondateur de Dictao
Livre Blanc : l’authentification multimoyen
3
2 RAPPEL DE QUELQUES PRINCIPES
Pour définir schématiquement ce qu’est un service d’authentification (SA), plaçons-nous dans le contexte où un
utilisateur souhaite accéder à un service d’information (SI).
Cet utilisateur, que celui-ci soit une personne physique, un composant technique, une application…, sera
porteur d’un moyen d’authentification (mot de passe, certificat, empreinte biométrique…) qu’il présentera à
un Service d’Authentification avant de recevoir l’autorisation et les droits d’accès à un SI. Le SA aura la
charge de valider la qualité, la validité et la recevabilité du moyen d’authentification proposé par
l’utilisateur. Puis, une fois le porteur authentifié, le SA transmettra un ‘vecteur d’identification’ à un service de
contrôle d’accès qui dérivera, de ce ‘vecteur d’identification’ (VI), en s’appuyant sur un référentiel d’identités,
un ‘vecteur d’autorisation’ (VA) qui sera présenté aux services d’information auxquels souhaite accéder notre
utilisateur.
2 . 1 R A P P E L D E L A D É F I N I T I O N D ’ A U T H E N T I F I C A T I O N F O R T E
L’authentification permet de vérifier l’identité déclarée d’une personne.
L’authentification peut se faire de multiples manières, et notamment par la vérification de :
« Ce que je suis », une caractéristique physique comme une empreinte digitale
« Ce que je sais », un mot de passe par exemple
« Ce que je possède », ce qui pourrait être une carte à puce ou un token
La combinaison d’au moins 2 de ces facteurs ou moyens d’authentification permet de renforcer la qualité de
l’authentification ; on parle alors d’authentification forte.
Livre Blanc : l’authentification multimoyen
4
2 . 2 D E M U L T I P L E S M O Y E N S D ’ A U T H E N T I F I C A T I O N …
Traditionnellement, chaque fournisseur propose les outils permettant de valider l’identité d’utilisateurs porteurs
des moyens d’authentification qu’il commercialise.
Cette approche quoique qu’aujourd’hui la plus commune, nous semble atteindre ces limites avec la
multiplication des moyens d’authentification : il est devenu indispensable de clairement séparer les moyens
d’authentification que présenteront les utilisateurs du service d’authentification lui-même. Ainsi, celui-ci doit
être en mesure de supporter non seulement des moyens d’authentification différents, mais également une
combinaison d’entre eux.
Par ailleurs, l’utilisation par l’entreprise de nouveaux moyens d’authentification ou l’abandon de l’usage
d’outils devenus obsolètes ne doit plus se traduire par de nouveaux efforts d’intégration des applications et
services.
La mutualisation du service d’authentification permet d’éviter d’avoir des approches « en silo », de multiplier
les plates-formes d’authentification et les contraintes induites par l’intégration du service d’authentification aux
référentiels d’identité.
2 . 3 . . . R É P O N D A N T À D E S O B J E C T I F S D E S É C U R I T É D I F F É R E N T S
L’authentification par traditionnel « login/mot de passe » reste, aujourd’hui, le moyen le plus largement utilisé;
ce moyen d’authentification est, cependant, devenue trop faible pour garantir la sécurité d’opérations dont
les risques associés deviennent significatifs.
Il faut mettre en place des moyens d’authentification plus solides comme les solutions à mot de passe unique,
donc non rejouable (OTP, One Time Password) ou des solutions à base de certificats, cartes à puce ou tokens,
plus solides encore, mais nécessairement plus coûteuses à mettre en œuvre.
Si nous considérons qu’à terme, le certificat (logiciel ou sur support matériel) est ‘la solution’, nous comprenons
que la recherche de solutions simples à mettre en œuvre privilégie des approches à base d’OTP.
Nous reviendrons par la suite sur les différents moyens d’authentification disponibles.
Livre Blanc : l’authentification multimoyen
5
3 CONTEXTE ET BESOINS : UNE REALITÉ MULTIFORME ET ÉVOLUTIVE
Dans la conception et la mise en place de sa stratégie d’authentification, l’entreprise doit prendre en compte
de nombreux facteurs.
3 . 1 R É P O N D R E A U X B E S O I N S D E P O P U L A T I O N S V A R I É E S
Les personnes à authentifier ont, naturellement, des profils très différents et des attitudes à l’égard des outils
technologiques diverses. Ainsi, il faudra servir des clients « Entreprises », des clients « Particuliers », plus ou
moins actifs sur Internet, des partenaires, des collaborateurs…
3 . 2 P R O P O S E R D E S S E R V I C E S M U L T I P L E S , P L U S O U M O I N S S E N S I B L E S ,
M E T T A N T E N Œ U V R E D E S C A N A U X D I F F É R E N T S
Ces utilisateurs aux profils très différents souhaitent accéder à des services (ou réaliser des opérations) plus
ou moins sensibles et qui nécessitent, par conséquent, des niveaux de sécurité spécifiques. Par exemple, la
souscription d’un contrat d’assurance vie demande un niveau d’authentification plus important qu’une simple
consultation d’informations.
De plus, ces services dématérialisés sont proposés au travers de canaux multiples (service en ligne, achat en
ligne, dématérialisation en agence, centre d’appels). Il faudra chercher à mutualiser les moyens techniques et
être en mesure de proposer une solution multicanal cohérente.
3 . 3 F A I R E F A C E A U N E F R A U D E É V O L U T I V E
La fraude se transforme, avec l’évolution des technologies et l’essor des enjeux économiques. Les attaques
portant sur le vol d’identité deviennent, chaque jour, plus nombreuses et de plus en plus sophistiquées. Il est
indispensable pour l’entreprise de mettre en œuvre des moyens d’authentification chaque fois plus solides.
3 . 4 A C C E P T E R D E S M O Y E N S D ’ A U T H E N T I F I C A T I O N M U L T I P L E S
Pour répondre à cette diversité multiple et évolutive (type de population, type de transaction, type de
fraude, etc.), l’organisation peut tirer parti d’une très grande variété de moyens d’authentification. Une
approche multiple permettra de résoudre au mieux l’équation sécurité/ergonomie/coût pour chaque type
nature de besoin.
Ainsi, de très nombreux moyens d’authentification existent et de nouvelles solutions, plus ou moins originales,
apparaissent chaque jour : simple mot de passe, mot de passe à usage unique (OTP ou One Time Password),
certificat logiciel ou sur carte à puce, empreinte biométrique… L’entreprise choisira le moyen
d’authentification le plus approprié, en fonction de la population ciblée, de la sensibilité et du niveau de
risque de la transaction, des évolutions technologiques, de l’ergonomie recherché... Il n’est pas possible d’avoir
un moyen d’authentification unique pour l’ensemble de la population et des transactions, sauf à retenir le
moyen le plus solide et, par conséquent le plus couteux et nécessairement le moins ergonomique...
L’organisation doit donc pouvoir gérer simplement et efficacement la multiplicité et l’évolutivité des moyens
d’authentification. Et, pour répondre à cet objectif, nous vous proposons une plate-forme d’authentification
mutualisable, capable de supporter la quasi-totalité des moyens d’authentification.
Livre Blanc : l’authentification multimoyen
6
3 . 5 P R E N D R E E N C O M P T E L A D I M E N S I O N E R G O N O M I E E T L E S A L É A S D E L A V I E
Q U O T I D I E N N E
L’authentification est un geste quotidien. Celui-ci doit être le plus simple et le plus naturel possible pour
l’utilisateur qui, sinon, risque de le rejeter, au mépris de la sécurité. Par ailleurs, cette action d’authentification
est soumise aux aléas de la vie quotidienne. Il est courant que l’utilisateur oublie, perde ou casse son moyen
d’authentification. Il est absolument nécessaire que ces aléas n’altère pas le niveau de sécurité du système et
n’entravent pas la démarche de l’utilisateur en lui permettant, par exemple, de s’authentifier par un autre
moyen.
4 LES DIFFÉRENTS MOYENS D’AUTHENTIFICATION
Dans ce chapitre, nous passerons en revue successivement les moyens d’authentification suivants:
Le mot de passe et les stratégies de renforcement de celui-ci par des approches de
questions/réponses ou de clavier virtuel.
Le certificat, que celui-ci soit logiciel ou stocké sur un support matériel.
L’OTP, One Time Password ou Mot de Passe à Usage unique.
Nous n’aborderons pas dans ce document les outils biométriques.
4 . 1 L E M O T D E P A S S E E T L E S A P P R O C H E S Q U E S T I O N S / R É P O N S E S
Le mot de passe est le moyen d’authentification le plus largement utilisé ; il a su faire ses preuves pendant des
années, même si, aujourd’hui, il est devenu trop faible pour correctement protéger des transactions à risque.
Plusieurs moyens peuvent être mis en œuvre pour durcir la qualité d’une authentification par mot de passe.
D’un côté, il faut tout d’abord demander au porteur de ne pas se limiter, par facilité, à utiliser le nom de son
animal ou sa date de naissance comme mot de passe. De l’autre, l’introduction d’une politique afférente
(complexité, fréquence de changement, non-réutilisation, vérification sur dictionnaire, …) permet de s’assurer
d’un minimum de protection sans pouvoir garantir un risque nul et, en particulier, permettre de se protéger
contre les attaques de ‘l’homme au milieu’.
L’apparition progressive de ce type de politique sur les différentes applications et services en ligne et la
multiplicité des services utilisés incitent de nombreux utilisateurs à se servir des mêmes mots de passe dans leur
vie professionnelle ou personnelle. De ce fait, les fuites d’information dont font l’objet régulièrement de
nombreux services en ligne sont directement liées à un niveau de sécurité insuffisant, y compris en cas d’usage
de mots de passe considérés comme « forts ».
Certains services d’information complètent donc l’authentification par une question à laquelle l’utilisateur doit
apporter une réponse qui aura été préenregistrée. Ce mode de « questions / réponses » est plus lourd et est
utilisé, en général, en solution de repli, lorsque le porteur a oublié son mot de passe pour lui permettre de le
réinitialiser.
Pour contrer les attaques d’interception / rejeu (attaque du type man-in-the-middle), on utilise (en particulier
dans le secteur bancaire) la technique dite du clavier virtuel dans laquelle les cases (chiffres ou lettres)
s’affichent à l’écran de façon aléatoire entraînant une saisie de l’utilisateur par la souris qui n’est pas
simplement rejouable.
Ces techniques ne résistent naturellement pas à un agresseur déterminé mais permettent de durcir simplement
le niveau de sécurité du mot de passe, moyen d’authentification qui, comme on l’a dit, reste largement le plus
simple à utiliser.
Livre Blanc : l’authentification multimoyen
7
4 . 2 L E C E R T I F I C A T
Les techniques dites de cryptographie asymétrique sont connues depuis quelques dizaines d’années et sont
probablement les plus appropriées pour durcir un niveau d’authentification.
Au début des années 2000, nous avions tous mis beaucoup d’espoir dans « le certificat », par exemple dans
le cas de la déclaration d’impôts (Télé IR).
Néanmoins, tous ces premiers projets de déploiement massif de certificats ont échoué, mis à mal par la
complexité et le manque d’ergonomie de la solution technique sous-jacente.
Cependant, sur les 10 dernières années, la technologie a profondément évolué, et si un projet d’infrastructure
de gestion de clés (IGC/PKI) pouvait se chiffrer, en 2000, en millions d’euros, il est aujourd’hui possible de
mettre en œuvre une IGC en quelques semaines avec un budget limité à quelques dizaines de milliers d’euros.
Nous considérons qu’à terme, le certificat devrait être l’outil d’authentification (et de signature) le plus utilisé.
Le certificat permet, en s’appuyant sur la même infrastructure, d’identifier indifféremment une personne
physique (que celle-ci utilise un PC, un mobile, une tablette), un composant technique ou une application.
Le certificat logiciel
Le certificat logiciel est aujourd’hui très facile à déployer (nous en générons, au niveau de Dictao, plusieurs
millions par an dans le cadre de nos projets d’authentification et de signature).
Nous le répétons, les techniques ont profondément évoluées au cours de ces dernières années et l’époque où
le certificat coûtait quelques euros et supposait la mise en œuvre d’une infrastructure sophistiquée est
révolue…
Le certificat logiciel est aujourd’hui stocké dans un container logiciel respectant le standard PKCS #12 ; mais
en cas de récupération, compte tenu d’une protection par mot de passe, celui-ci ne résiste pas aux attaques
en « force brute ».
Alors que l’on considérait que le certificat logiciel était solide mais difficile à mettre en œuvre, la situation
s’est aujourd’hui renversée et un « P12 » est aujourd’hui simple à mettre en œuvre mais relativement fragile…
Cette fragilité du « P12 » nous a amenés à développer un container logiciel durci dont l’ouverture est
contrôlée par des techniques de clés partagées ; ce qui permet d’utiliser, sans risque, les certificats logiciels.
La sécurisation du « nuage » dans lequel les ressources sont distribuées passe, en particulier, par la mise en
œuvre de ces « containers logiciels durcis ».
Le certificat sur support matériel
Le certificat sur support matériel est aujourd’hui sûrement la solution la plus solide. Il peut être hébergé :
soit sur une carte à puce
soit sur un token USB
Le token cryptographique embarque sa propre puce sur une interface USB ; il est plus coûteux qu’une simple
carte à puce mais ne nécessite pas de lecteur ni, en général, de middleware de pilotage du lecteur.
De son côté, une carte à puce permet d’intégrer en plus de la puce, des interfaces sans contact destinées à
des usages ne justifiant pas un niveau de sécurité élevé (fonctions d’accès, paiement cantine, …). Dans le cas
où l’on souhaite disposer d’un même support pour les fonctions de contrôle d’accès physique (CAP) et de
contrôle d’accès logique (CAL), la carte est, en général, préférée car elle permet de simplement présenter la
photo du porteur.
Les problématiques de spécificités du middleware de pilotage de la carte disparaissent progressivement
avec la généralisation des puces IAS/ECC (standard de la carte d’identité et de la carte agent de
l’administration française) et des lecteurs transparents (au standard PC / SC).
Livre Blanc : l’authentification multimoyen
8
Dans une recherche d’un très haut niveau de sécurité, on peut utiliser des fonctions biométriques pour activer
la carte (dans des fonctions dites de « match on card »). L’utilisateur présentera son pouce (ou un autre doigt)
sur un lecteur biométrique qui analysera l’empreinte et ou le réseau veineux ; ce qui permettra d’activer sa
carte (et les secrets dont elle est porteuse). Cette solution, très satisfaisante sur un plan ergonomique, est
acceptée par la CNIL mais suppose de mettre en œuvre un lecteur relativement coûteux (50€ et plus) si l’on
veut éviter des faux négatifs trop fréquents.
4 . 3 L ’ O T P
Le principe de l’OTP est l’utilisation d’un ensemble de glyphes (nombres, caractères,…) à usage unique qui
peut être généré et communiqué par différents moyens : SMS, application embarquée dans le téléphone
portable, calculette, token dédié,… De son côté, le service d’authentification partage un élément secret qui lui
permet de connaître à un instant donné la valeur du secret et sa validité (fonctionnement par numéro de série,
heure, secret pré-partagé…).
Dans le cas d’une application, ce secret est protégé dans le dispositif de l’utilisateur par le stockage dans une
puce (SIM dans un téléphone, puce d’une carte bancaire,…).
L’OTP SMS
Dans ce mode de fonctionnement, c’est directement le service d’authentification qui transmet le secret partagé
par SMS à l’utilisateur. Dans ce cas, le service d’authentification est relié à un service d’émission de SMS qui
permet à l’utilisateur de recevoir son OTP lorsqu’il en fait la demande, apportant un niveau de sécurité
complémentaire en s’assurant qu’il dispose bien d’un accès à son téléphone.
L’EMV / CAP
L’EMV/CAP (EMV pour Europay/Mastercard/Visa, standard de nos cartes bancaires) est un OTP calculé
directement par la puce d’une carte bancaire. La validation de ce type de jeton permet d’authentifier
fortement les clients dans le cadre de transactions sans face à face, notamment dans toute transaction du
commerce électronique, les services bancaires en ligne et téléphonique, la vente par correspondance, le
mobile-commerce…
En renforçant la sécurité, la validation de jetons EMV/CAP permet d’augmenter les gains et l’efficacité des
entreprises, sous l’effet du renforcement de la confiance des clients et, en conséquence, de l’augmentation des
transactions, la réduction des coûts liés aux litiges et à la fraude.
Le détenteur de la carte bancaire (porteuse du masque EMV/CAP) insère sa carte dans son lecteur de poche
(Personal Card Reader) connecté ou non à un ordinateur (la personne peut, aussi, être en communication avec
un opérateur téléphonique, lui-même muni d’un ordinateur).
L’OATH
OATH (Open AuTHentication) est une initiative des grands acteurs du secteur IT afin de proposer une
architecture de référence, ouverte, disponible pour tous pour une authentification forte quel que soit
l'utilisateur, les moyens techniques et le réseau utilisé.
L'objectif principal de cette initiative est de réduire le risque et l'impact du vol d'identité par un déploiement
renforcé de l'utilisation d'authentification forte en offrant à travers un standard et d’un jeu d’API, une
compatibilité sur différents modèles de tokens matériels et logiciels.
Livre Blanc : l’authentification multimoyen
9
5 L’APPROCHE ET LA SOLUTION D’AUTHENTIFICATION DE DICTAO
Pour répondre à cette réalité multidimensionnelle, Dictao s’est attachée à adopter une approche globale de
la sécurité et de l’authentification, pour répondre aux besoins d’authentification de toute l’entreprise, pour
tous ses services et canaux (services en ligne, banque en ligne, dématérialisation en agence, centre d’appels)
et de toutes les populations (clients Entreprises, clients Particuliers, partenaires, collaborateurs…).
Notre solution supporte l’ensemble des standards d’authentification et est évolutive, pour tirer parti de tous les
moyens d’authentification existants et à venir.
Enfin, notre solution apporte une réponse adaptée aux situations de la vie quotidienne de l’utilisateur. Elle
permet, en particulier, de proposer à celui-ci, une méthode de secours, en cas d’oubli, de perte ou de casse
de son moyen d’authentification.
5 . 1 N O T R E S O L U T I O N D ’ A U T H E N T I F I C A T I O N
Notre solution d’authentification s’articule autour de deux produits de Dictao :
Dictao Access Control Server (DACS) qui assure les fonctions suivantes :
Un service multicanal qui assure l’authentification de tous types d’utilisateurs (clients, collaborateurs,
partenaires) pour tous types d’applications, car, autour d’une architecture partagée, il dispose de
connecteurs adaptés pour chaque type d’applications
Un service qui détermine le moyen d’authentification adapté selon le profil de l’utilisateur et le type
d’application et gère les ‘stratégies de repli’
Un service qui appelle notre serveur multi-moyen d’authentification DVS pour la validation du moyen
d’authentification utilisé
Dictao Validation Server (DVS) qui assure les fonctions suivantes :
Le support de tous les grands standards du marché dans le domaine de l’authentification : certificat,
OATH, EMV CAP et GIE CB, OTP SMS, mot de passe, date de naissance,…
Les services de validation
La constitution des preuves
La solution d’authentification de Dictao est proposée en mode licence ou en mode Service (Software as a
Service).
Livre Blanc : l’authentification multimoyen
10
L’agencement fonctionnel de notre offre de composants de confiance peut être schématisé de la façon
suivante :
Une application métier peut :
Appeler directement les services de confiance de Dictao Validation Server pour l’authentification
des utilisateurs suivant le moyen choisi
Faire appel au Dictao Access Control Server pour assurer, à côté des fonctions de stricte
validation :
o La prise en charge de la cinématique d’authentification complète (présentation des pages
d’authentification, déroulement de la cinématique d’’authentification, détermination de la
méthode d’authentification,…)
o La gestion de méthodes d’authentification de secours ou de repli
5 . 2 L E S P O I N T S F O R T S D E N O T R E S O L U T I O N D ’ A U T H E N T I F I C A T I O N E T L E S
F O N C T I O N N A L I T É S A S S O C I É E S
Notre solution d’authentification se distingue par les aspects suivants :
Sa polyvalence, son évolutivité et son indépendance vis -à-vis des fournisseurs de moyens
d’authentification
L’entreprise ne peut se limiter au choix d’un seul moyen d’authentification pour tous ses utilisateurs et toutes ses
applications. Elle doit mettre en œuvre différents moyens d’authentification selon les populations et le niveau
de risque des transactions. De plus, les procédés d’authentification sont en mutation rapide, d’une part pour
répondre à l’évolution des attaques, d’autre part en raison des évolutions technologiques.
Pour laisser l’entreprise libre de ses choix de moyens d’authentification, la solution d’authentification de Dictao
en supporte de très nombreux, qu’ils soient « libres » ou « propriétaires ».
De cette manière, en s’appuyant sur DACS, l’entreprise reste indépendante de moyens d’authentification et
des fournisseurs associés.
En fonction du niveau de risque associé à la transaction ou au client, l’organisation pourra choisir, avec DACS,
plusieurs moyens d’authentification et simplement les faire cohabiter sans avoir à multiplier les serveurs
d’authentification.
Livre Blanc : l’authentification multimoyen
11
De même, les moyens d’authentification peuvent évoluer dans le temps (en général, pour durcir le niveau de
sécurité) sans remettre en cause la plate-forme d’authentification sous-jacente.
En s’appuyant sur la plate-forme Dictao, l’organisation fait un investissement pérenne : elle peut mettre en
œuvre de nouveaux moyens d’authentification, pour répondre à l’évolution de ses besoins et des standards du
marché, sans avoir à remplacer sa plate-forme d’authentification.
Les grandes fonctionnalités du produit
Dictao Access Control Server permet d’authentifier tous les clients, quels que soient les moyens
d’authentification utilisés :
EMV CAP ou GIE CB
OTP SMS
OATH (Open AuTHentication)
OTP propriétaire
Certificat
Certificat logiciel
Certificat sur carte à puce ou token
Date de naissance/question réponse
Mot de passe
…
Vous permettre de faire face à l’évolutivité des moyens d’authentification est le fondement de notre
proposition de valeur. Ainsi, DACS peut supporter un nouveau moyen d’authentification par le simple ajout
d’un « plug-in » ; ce qui permettra, à moindre coût, de:
Remplacer un moyen devenu vulnérable (attaques…)
Prendre en compte un nouveau standard ou un nouveau moyen d’authentification
Cet ajout de nouveaux moyens se fait de façon transparente pour les applications utilisatrices (services en
ligne ou autres).
Cette approche par plug-in permet aussi la prise en charge de moyens d’authentification qui seraient déjà
déployés dans l’organisation. En effet, les plug-in DACS permettent de réaliser des appels vers des serveurs
d’authentification spécifiques (autre que notre serveur d’authentification multi-moyen DVS) ou d’intégrer des
librairies gérant ces moyens d’authentification.
Livre Blanc : l’authentification multimoyen
12
5 . 3 L ’ A D A P T A T I O N D E S P R O C E S S U S D ’ A U T H E N T I F I C A T I O N À L A S I T U A T I O N
( A D A P T A T I O N A U P R O F I L D E L ’ U S A G E R , A U R I S Q U E D E L A T R A N S A C T I O N ,
A L A V I E Q U O T I D I E N N E … )
Dictao Access Control Server permet à l’organisation d’ajuster sa stratégie d’authentification à chaque cas
d’usage. De cette manière, l’organisation peut choisir selon le profil de l’utilisateur et la nature de la
transaction réalisée, le moyen (ou la combinaison de moyens) d’authentification le mieux adapté à la situation,
celui qui permet de résoudre simplement l’équation sécurité/ergonomie/coût.
De plus, DACS place l’expérience utilisateur au cœur de la gestion de l’authentification. En cas de perte,
d’oubli ou de casse de son moyen d’authentification, DACS propose à l’utilisateur de s’authentifier avec un
autre moyen, de manière à ce qu’il ne soit pas bloqué dans sa démarche d’accès à un service.
L’organisation peut configurer, dans DACS, différentes règles d’authentification (selon le profil de l’usager, le
niveau de sécurité requis, le canal utilisé) et des mécanismes de repli (méthodes d’authentifications
alternatives). Ceux-ci permettent de pallier les éventuelles indisponibilités des moyens d’authentification des
utilisateurs. Ensuite, DACS met en œuvre ces règles.
A titre d’exemple, nous vous proposons, ci-dessous, un exemple de visuel dans le cas d’un repli, demandé par
le client, de la méthode EMV CAP vers une solution OTP SMS.
3D Secure
connector
Web Service
connector
Web SSO
Banque en
ligne
Dictao Access Control Server
EMV CAP OTP SMS OATHCertificat Mot de passe
Serveur multi-moyens d’authentification
DACS
Plugin
certificat
Plugin Mot
de passe…
Nouveau
Plugin
Autre Serveur
d’authentification :
VASCO,…
…
Livre Blanc : l’authentification multimoyen
13
5 . 4 U N S E R V I C E D ’ E N T R E P R I S E G L O B A L E T U N I Q U E , R É P O N D A N T A
L ’ E N S E M B L E D E S B E S O I N S D ’ A U T H E N T I F I C A T I O N
DACS a été conçu pour répondre aux besoins d’authentification de toute l’organisation, pour tous les canaux,
qu’ils concernent les services en ligne, les applications métiers, la dématérialisation en agence, les applications
de vente en ligne et toutes les populations (clientèle Entreprises, Particuliers, collaborateurs, partenaires, etc.).
DACS est un serveur d’authentification multi-groupe : plusieurs groupes (ou entités), composés chacun de
plusieurs établissements, peuvent s’appuyer sur la même plate-forme DACS. Chaque établissement peut
appliquer sa propre politique d’authentification.
Ainsi, avec DACS, la gestion de l’authentification est centralisée à l’échelle de l’organisation. Ce qui permet
de ne plus avoir à gérer les problématiques d’authentification application par application, ce qui est source
de coût, de complexité et de failles de sécurité.
Les connecteurs développés actuellement permettent à DACS d’être appelé dans les contextes suivants :
Vente en ligne : 3DSecure
Service en ligne : Web SSO
Applications métier : Web Services.
Il est possible de développer des connecteurs spécifiques pour supporter de nouveaux services (moyens de
paiement spécifiques, contextes de fédération d’identité…).
DACS propose, de manière native, un strict cloisonnement entres les données et les méthodes d’authentification
entre les différents groupes. Chaque groupe peut ainsi mettre en œuvre sa propre politique
d’authentification.
Livre Blanc : l’authentification multimoyen
14
5 . 5 U N S E R V I C E C O N F O R M E A U X P L U S H A U T S S T A N D A R D S D E S E C U R I T É
Certification au niveau EAL3+ des Critères Communs
Dictao Access Control Server s’appuie sur le produit Dictao Validation Server, serveur de validation et de
constitution de preuve, certifié au niveau EAL3+ de la norme internationale des Critères Communs (ISO 15
408) et qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La norme Critères
Communs est internationalement reconnue en Europe, en Amérique du Nord et en Asie.
Certification 3D-Secure
Le module DACS 3D-Secure est certifié par Visa et MasterCard conformément aux spécifications 1.0.2 de la
fonction ACS.
Conformité PCI/DSS
Le modèle de données DACS permet d’être conforme aux exigences PCI/DSS grâce aux propriétés suivantes:
Dans le cas d’un accès par DACS de référentiels distants : l’accès aux données sensibles (PAN et
les données d’authentification) est réalisé à travers des moyens sécurisés (ligne spécialisée,
authentification par certificat,…)
Dans le cas d’un accès local par DACS : les données sensibles ne sont jamais stockées en clair
Dans tous les cas, DACS instaure un cloisonnement strict entre les données des différents groupes,
aussi bien au niveau de l’approvisionnement des données que de leur utilisation
L’utilisation des clés cryptographiques par DACS est conforme aux exigences définies dans
PCI/DSS
DACS possède un connecteur standard (PKCS#11) permettant d’utiliser différents boitiers HSM
(Hardware Security Module) du marché pour le stockage et l’utilisation des clés.
Livre Blanc : l’authentification multimoyen
15
6 DACS POUR LA SÉCURISATION DE LA VENTE EN LIGNE
Depuis le 1er octobre 2008, dans le cadre du commerce en ligne, le principe de transfert de responsabilité
en cas de fraude est entré en vigueur. En cas d’utilisation frauduleuse d’une carte bancaire, la banque
émettrice de la carte sera tenue pour responsable et non plus le commerçant.
Le protocole 3DSecure a été bâti pour durcir le niveau d’authentification du porteur et, ainsi, de réduire le
risque que doit supporter la banque. Le marchand qui n’utilise pas 3DSecure ne pourra transfèrer la
responsabilité à sa banque et devra gérer lui-même la fraude…
Dictao Access Control Server (DACS) intègre le protocole 3DSecure et aide, ainsi, les banques à faire face
à leurs nouvelles responsabilités, à limiter les risques de fraudes financières, à conforter la confiance des
clients à l’égard de leur banque, quant à la protection de leur carte bancaire.
Dictao Access Control Server vérifie, pour la banque émettrice, l’authentification du porteur de carte
bancaire, selon le mode choisi par la banque, qui peut être plus fort selon la nature de l’achat (mot de passe,
jeton généré par une carte bancaire et un lecteur EMV CAP).
Dictao Access Control Server est certifié par Visa (Verified by Visa) et Mastercard.
Le système 3-D Secure permet une sécurisation renforcée des paiements sur Internet grâce à l'authentification
du porteur de carte, au moment du paiement, comme lors d’un paiement en face à face, chez un commerçant.
Le porteur est ainsi protégé contre l’utilisation frauduleuse de son numéro de carte bancaire, car il doit
confirmer son identité avant le paiement, par exemple en saisissant un code secret qui sera vérifié, en ligne,
par la banque émettrice de la carte.
Ce code secret peut être, selon le profil de porteur de carte et son contrat :
Un OTP de type EMV CAP
Une information complémentaire (date de naissance, nombre d’enfants, etc.)
Un code secret envoyé par SMS.
Cette authentification du porteur revient à :
Obtenir la preuve de son engagement à payer
S'assurer de son identité
S’assurer de la légitimité de la transaction.
La solution 3-D Secure représente un protocole commun de communication entre le marchand, la banque
acquéreur et la banque émettrice.
Livre Blanc : l’authentification multimoyen
16
Elle met en jeu trois domaines (d’où le terme 3 D pour 3 Domains) :
Domaine du client ou domaine émetteur qui comprend le porteur de carte et la banque du
porteur de carte, c'est-à-dire la banque émettrice, qui est chargée de vérifier l’authentification du
porteur de carte
Domaine Marchand, qui comprend le site marchand et sa banque : la banque du marchand
Domaine d’interopérabilité, qui assure l’interface entre le domaine émetteur et le domaine
acquéreur (Visa ou Mastercard).
Livre Blanc : l’authentification multimoyen
17
La cinématique 3DSecure peut être représentée de la façon suivante :
1 La saisie des informations relatives à la carte bancaire
Après avoir ‘empli son panier’, le client saisit, sur le site marchand, son numéro de carte bancaire et la date
de validité.
2 La demande d’authentification
Le MPI du marchand (le « merchant plug-in » chargé de traiter l'opération de paiement) émet une demande
d'authentification vers la banque du client.
3 La demande d’authentification (suite)
La banque du client demande à celui-ci de s'authentifier en ligne (par exemple, par un code secret).
4 L’authentification
Le client saisit son code secret, qui, selon son profil, peut être un mot de passe à usage unique généré par un
lecteur EMV CAP et une carte bancaire, une date de naissance, un code envoyé par SMS, ou encore un autre
moyen.
5 Vérification de l’authentification auprès de Dictao Access Control Server
Le serveur de contrôle d'accès (ACS) de la banque émettrice vérifie l'authentification et transmet l'accord au
commerçant.
Livre Blanc : l’authentification multimoyen
18
À PROPOS DE DICTAO
Dictao est l'éditeur logiciel de référence dans le domaine de l'authentification forte, de la signature
électronique et de l'archivage sécurisé
Nous concevons et commercialisons des produits permettant de mettre en œuvre les fonctions indispensables à
la sécurité et à la confiance dans un monde dématérialisé : authentification des clients et des utilisateurs,
engagement à travers la signature électronique, constitution de preuves de transactions, archivage à vocation
probante.
Nous aidons nos clients à sécuriser leurs applications sensibles, à répondre à leurs contraintes réglementaires
et à innover pour plus d'efficacité et de croissance.
Les résultats concrets obtenus par nos clients sont les meilleurs garants de l'adéquation de nos produits, nos
solutions sectorielles et notre expertise aux besoins de sécurité et de confiance des organisations.
Nous accompagnons le secteur bancaire dans la sécurisation des transactions en ligne réalisées par les
Entreprises et les Particuliers, la sphère publique dans la modernisation de l'Etat au travers des
téléprocédures, et le monde industriel dans la concrétisation de l'entreprise étendue (dématérialisation des
commandes, des factures…).
Dictao est le seul éditeur dont la gamme de produits est éprouvée dans des contextes variés (authentification,
ordres de virements, contractualisation en ligne, facturation électronique, traçabilité…) et certifiée au niveau
EAL3+ de la norme internationale des Critères Communs par l'Agence nationale de la sécurité des systèmes
d'information (ANSSI).
Les solutions logicielles Dictao sont disponibles sous forme de produits logiciels (licences) ou sous forme de
services (Software as a Service SaaS).
Nous sommes, naturellement très fiers de nos références :
600 établissements financiers et de crédit dont la Banque de France, LCL, BNP Paribas, Société Générale...
De grandes entreprises industrielles dont PSA Peugeot Citroën, Total… L'Administration dont le Ministère de
l'Economie, des Finances et de l'Industrie, le Ministère de la Défense, la Direction de l'Information Légale et
Administrative, l'Agence Nationale des Titres Sécurisés…