Solution d’authentification biométrique

Thèmes: Authentification

Actuellement, la majorité des utilisateurs externes se connectent aux ressources de l’entreprise via Internet en utilisant une passerelle VPN sécurisée, une combinaison username/password et une authentification forte (SecurID, Mobile Token, SMS, Carte matricielle, Certificat, etc).

Il en est tout autrement au bureau, où en règle générale, c’est uniquement le binôme «username/password» qui permet l’accès aux données que celles-ci soient sensibles ou non!

Par analogie, pour retirer de l’argent à un Bancomat dans la rue (utilisateur externe), on saisit son PIN code (quelque chose que l’on sait) et on insère sa carte bancaire (quelque chose que l’on possède) afin d’obtenir l’accès à son argent (ses données). Il ne serait pas imaginable, si vous vouliez retirez de l’argent à un bancomat d’étage (en interne) de taper uniquement votre code PIN sans insérer votre carte!

Il existe de nombreux cas d’usurpation d’identité en interne au moyen de keylogger logiciel ou plus simplement matériel (inclus des keylogger de type wi-fi!) pouvant être facilement inséré par du personnel interne, consultant externe, ou toute autre personne ayant accès aux locaux.

keylogger matériel		keylogger logiciel

Les entreprises en sont conscientes, et les nouvelles technologies d’authentification interne vont démocratiser l’authentification forte en entreprise, ce que certaine d’entres elles ont déjà fait.

Solution

Afin de répondre à cette problématique, tout en garantissant qu’une personne malveillante ne puisse pas usurper l’identité d’un utilisateur, nous avons développé une solution d’authentification forte interne à 3 facteurs:

• Quelque chose que l’on sait : la combinaison username/password (ou PIN)
• Quelque chose que l’on possède : la carte à puce avec un certificat numérique
• Quelque chose que l’on est : nos empreintes digitales

Cette architecture respecte les critères de sécurité, de convivialité, d’acceptation de la part des utilisateurs et du respect de la protection des données personnelles.

En effet, cette solution s’appuie sur la technologie dite MOC (Match On Card), qui garantit que les «minuties» (échantillonnage des empreintes digitales) sont stockées uniquement sur la carte à puce détenue par l’utilisateur. En cas de vol de la carte, les minuties ne permettent pas de «reconstruire» l’empreinte digitale de l’utilisateur.

Comment ça marche

Ce certificat est validé par l’application, par exemple Win Logon, selon divers critères (expiration, autorité émettrice du certificat, etc.) puis contrôle la non révocation du certificat utilisateur via un système de révocation online des certificats (Protocole OCSP) avant d’autoriser l’accès à ladite application. Il est ainsi possible de manière centralisée et immédiate d’interdire l’accès au réseau, respectivement à toutes les applications, à un collaborateur.

Cette solution étant jugée très robuste par nos clients, le mot de passe (difficile à mémoriser quand il est constitué de 6 à 8 caractères alphanumériques) devient superflu et c’est uniquement l’empreinte digitale combinée à un certificat personnel stocké sur la carte à puce qui garantit l’authentification forte!

Avantages

• Assure l’authentification forte des utilisateurs internes
• Garanti la non usurpation d’identité
• Garanti la non-répudiation
• Permet la traçabilité des accès internes
• Respecte la protection des données personnelles (échantillon des empreintes stocké uniquement sur la carte de l’utilisateur)
• Enregistrement de 2 ou 3 empreintes, garantissant l’accès notamment en cas de blessure à une main ou un doigt
• Réduction des appels au help desk grâce à la possibilité de suppression des mots de passe