L authentification de NTX Research au service des Banques novembre 2009 1 / 37
Sommaire Objectif Brève présentation de NTX Research Banque et authentification La technologie d authentification XC de NTX Research Les avantages pour la Banque Parade anti-phishing Solution anti-logger Annexes 2 / 37
Objectif Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour les Banques Parade anti-phishing Solution anti-logger 3 / 37
Objectif Convaincre votre banque que notre solution d authentification est en mesure de vous aider à surmonter les défis des nouveaux enjeux en toute sécurité :» Authentification en ligne (et lutte contre les loggers et le phishing)» Authentification par téléphone mobile» Souplesse et réduction des coûts Avoir l opportunité de vous présenter en face à face notre solution En particulier présenter à vos équipes spécialisées notre technologie brevetée, éprouvée et expertisée, qui élimine les risques liés au phishing, ainsi que notre solution anti-logger (accord de confidentialité préalable pour ce dernier point) Mettre rapidement en place un démonstrateur (ou POC) en interne pour que vous puissiez apprécier toute la flexibilité de notre solution pour vos projets à valeur ajoutée au service de vos clients:» services sur les mobiles» banque à distance» paiement en ligne 3-D Secure 4 / 37
Brève présentation de NTX Research Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour les Banques Parade anti-phishing Solution anti-logger 5 / 37
NTX Research et Authentification NTX Research est un éditeur logiciel spécialisé dans l authentification forte des utilisateurs sur Internet depuis 1997. NTX Research propose au monde bancaire une technologie révolutionnaire et brevetée pour authentifier ses utilisateurs. Cette authentification est à la fois : Sûre (code secret jamais stocké) Simple à déployer Facile à mettre en œuvre Multi-canal (web, mobile ) Multi-authentifieur (clé USB, téléphone mobile ) A faible coût 6 / 37
NTX Research opérationnel pour les Banques Une solution éprouvée : en production pendant 8 ans + 100 000 utilisateurs disponibilité 24x7x365 Une technologie protégée par plusieurs brevets internationaux. Une technologie expertisée : Laboratoire EPFL (Lausanne) Laboratoire de cryptographie CNRS de Normale Sup 7 / 37
NTX Research reconnu par l industrie FC² : Fédération des Cercles de Confiance et usages sécurisés de l identité numérique Projet labellisé par les pôles de compétitivité System@tic et TES (Transactions Electroniques Sécurisées) NTX Research membre contributeur du consortium FC² et du pôle TES Autres membres : Groupement Cartes Bancaires, Gemalto, Orange labs, EADS DS, Atos Worldline 8 / 37
Banque et authentification Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour les Banques Parade anti-phishing Solution anti-logger 9 / 37
Banque et Authentification Les Banques ont impérativement besoin d authentifier les utilisateurs de leurs services bancaires : Leur personnel qui utilise l Intranet de la Banque Leurs clients qui utilisent les services de Banque à Distance (consultation de compte, commande de chéquier, ordre de virement ) Leurs clients qui achètent dans les boutiques pour le paiement de proximité Leurs clients qui achètent en ligne pour le paiement à distance 10 / 37
La technologie NTX Research Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour les Banques Parade anti-phishing Solution anti-logger 11 / 37
L authentification XC L authentification XC est forte car elle met en jeu deux facteurs : Ce que je possède : un authentifieur physique Ce que je connais : un code secret L authentification XC est universelle car 100 % logicielle : Déployable sur tout équipement physique capable de stocker un fichier plat (disquette, disque dur, cédécarte, carte SD, mémoire flash, clé USB, crypto-clé USB, carte à puce, téléphone mobile, smartphone ) La sécurité de son code secret ne dépend pas de la protection matérielle de l authentifieur! Il sera difficile d imposer et de financer le même authentifieur à tous les utilisateurs! 12 / 37
Authentification en protocole défi-réponse L authentification XC utilise un protocole Défi-Réponse : Une fois l utilisateur identifié par le serveur, ce dernier génère un défi pseudo-aléatoire pour challenger l utilisateur L utilisateur doit saisir son code secret pour calculer la réponse côté client La réponse renvoyée par l utilisateur est contrôlée par le serveur Le protocole Défi-Réponse est : Plus sûr car il est à l initiative du Serveur et non du Client Plus fiable car il ne pose pas de problème de synchronisation entre le Client et le Serveur Plus sûr car il n introduit pas de faille «temps» (période de validité de l OTP) ou «saut» d événement par phishing Mise en action d un nuage de point chargé de caractères pseudo-aléatoire pour lancer les opérations de défi-réponse 13 / 37
La technologie matricielle XC En 1996 NTX Research remet les tables de codage à l honneur en inventant l authentification matricielle en mode défi-réponse. Les tables de codages sont des dictionnaires de caractères générés de façon pseudo-aléatoire qui permettent d'authentifier les utilisateurs en mode défi-réponse suivant le principe aujourd hui connu sous le nom de «bataille navale». Le défi correspond à des coordonnées de la table tirées au hasard et la réponse correspond à la valeur trouvée dans la table aux coordonnées de ce défi. On crée autant de tables que d utilisateurs Table origine Alice Table client Alice Utilisateur Alice Table serveur Alice 14 / 37
Des atouts exclusifs Les codes secrets ne sont stockés nulle part dans le système d information Les codes secrets ne transitent pas sur le réseau Le code secret est mémorisable par l utilisateur : 5 caractères alphanumériques suffisent (paramétrable) Les codes secrets ne sont pas partagés! Pas de répudiation possible : le serveur ignore le code secret de l utilisateur Si le support contenant la table est volé, le pirate ne peut pas retrouver le code secret de l utilisateur - non stocké - et donc le calcul des valeurs dans la table sera faux Localement, le pirate ne peut pas tester toutes les combinaisons possibles sans que le serveur ne le détecte 15 / 37
Les avantages pour la Banque Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour la Banque Parade anti-phishing Solution anti-logger 16 / 37
L authentification XC pour les Banques La même technologie XC va permettre à la Banque d authentifier : Son personnel qui utilise l Intranet de la Banque Ses clients qui utilisent ses services de Banque à Distance Ses clients qui achètent en ligne avec un paiement à distance 3-D Secure 17 / 37
Les avantages de la technologie XC (#1) La solution d authentification XC fonctionne dans les 3 modes de vente à distance :» web-web, web-mobile et mobile-mobile XC est compatible avec tous les systèmes d exploitation et tous les navigateurs du marché (Java). Pas de matériel supplémentaire à installer sur les PCs et les mobiles : 100 % logiciel. Pas de logiciel à installer sur les PC en mode web-web (applet Java). Une simple midlet Java à installer sur les mobiles. XC est compatible avec tous les authentifieur physiques. Le niveau de sécurité est ajustable suivant les enjeux et la maturité des consommateurs (moyen, fort, très fort). Sécurité renforcée contre l écoute de ligne : pseudo masque jetable. Sécurité renforcée contre l emprunt, la perte et le vol de l authentifieur : code secret inviolable. 18 / 37
Les avantages de la technologie XC (#2) Le client/acheteur conserve sa démarche habituelle acquise lors d un achat de proximité : Saisie d un code secret facilement mémorisable. Le client/acheteur peut choisir son code secret. Ce code n est pas contraint ni en taille, ni en caractères. Le client/acheteur peut changer son code secret à tout moment, «off-line» :» Sans le communiquer à qui que ce soit» Sans le stocker nulle part Le client/acheteur est maître de la personnalisation de sa sécurité ce qui lui procure un sentiment de confiance. Le client/acheteur peut bénéficier d une option de code d alerte sous contrainte, totalement indétectable, lorsque les enjeux sont importants. 19 / 37
Les avantages de la technologie XC (#3) La solution de sécurité XC est entièrement paramétrable et ajustable : Sur le plan de la sécurité (cryptographie, stéganographie) Sur le plan de son interface mobile :» Mode calculette «hors-ligne»» Mode SMS avec un véritable défi-réponse seul garant de la sécurité» Mode Internet mobile : GPRS, 3G, 3G+ XC est une solution technologique 100 % française. XC est une solution dont les banques peuvent s approprier la maîtrise. XC est une solution de sécurité web et mobile apportée par les banques aux opérateurs télécom. 20 / 37
Parade anti-phishing Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour la Banque Parade anti-phishing Solution anti-logger 21 / 37
Parade anti-phishing Qu'est-ce que le phishing? Le phishing est un type de falsification qui a pour but de voler votre identité. Ainsi, une personne malveillante tente d'obtenir des informations, telles que vos numéros de carte de crédit, vos mots de passe, vos numéros de compte ou autres informations confidentielles sous de faux prétextes. Ce type d'attaque se produit généralement par l'intermédiaire de courriels non sollicités ou de sites web usurpés. La solution de NTX Research : Notre solution XC d authentification contient une parade au phishing car l applet ou la midlet Java utilisée lors du processus d authentification est signée par la Banque émettrice. 22 / 37
Solution anti-logger Objectif Brève présentation de NTX Research Banque et authentification La technologie NTX Research Les avantages pour la Banque Parade anti-phishing Solution anti-logger 23 / 37
Solution anti-logger Qu'est-ce qu'un key logger Un keylogger est un programme parasite qui se propage souvent grâce à des virus, vers ou spywares. Un keylogger a pour principale fonction d'espionner toutes les actions effectuées sur votre ordinateur (saisie au clavier, ouverture d'applications, déplacement de fichiers...). Les traces de ces actions sont stockées dans un emplacement précis puis envoyées vers une boîte aux lettres ou sur un site web malveillant. Certaines de vos données les plus confidentielles peuvent ainsi vous être soutirées. Qu'est-ce qu'un screen logger Même chose mais dans ce cas, le programme malicieux voit ce que vous cliquez et donc la parade des claviers virtuels aléatoires est également compromise. La solution de NTX Research : Notre solution anti-key logger et anti-screen logger permet d éliminer ce risque. Un accord de confidentialité nous permettra de vous détailler cette solution. 24 / 37
Vos contacts Pascal Thoniel, CEO & CTO thoniel@ntx-research.com Francis Melemedjian, Sales melemedjian@ntx-research.com Marie-Maxence Angleys, Marketing & communication angleys@ntx-research.com * NTX Research SA 111 avenue Victor Hugo 75116 Paris (France) +33 1 47 66 39 85 www.ntx-research.com 25 / 37
Annexe n 1 Le processus d authentification XC 26 / 37
Le processus d authentification XC (1/4) 1 Identification Une simple authentification par identifiant + mot de passe statique (même haché ou chiffré) ne suffit plus. Il faut que ce mot de passe change à chaque transaction pour ne pas pouvoir être rejoué. 27 / 37
Le processus d authentification XC (2/4) Défi 3 Réponse La réception du défi, le calcul de la réponse et son envoi sont effectués automatiquement par la l applet ou la midlet Java 2 Défi Code secret L utilisateur tape seulement son code secret lors de l exécution de l applet (web) ou de la midlet Java (mobile) Le meilleur protocole pour obtenir un mot de passe à usage unique (OTP) est le protocole défi-réponse. Il est très sûr et évite tous les problèmes de synchronisation (temps ou événementiel). 28 / 37
Le processus d authentification XC (3/4) 4 Réponse Vérification de la réponse Réponse : Juste avec la bonne matrice et le bon code secret Fausse sinon 5 Si le téléphone mobile ou la clé USB est emprunté, perdu ou volé, personne ne pourra jamais retrouver le code secret de l utilisateur! 29 / 37
Le processus d authentification XC (4/4) 6 Utilisateur authentifié Pas d usurpation possible d identité avec XC : utilisateur authentifié = accès autorisé ou ordre de paiement validé 30 / 37
Annexe n 2 Initialisation du mobile avec la technologie XC 31 / 37
Initialisation du mobile pour l authentification XC 1. Demande d initialisation du service 2. Téléchargement de la midlet Java non activée (https) Plate-forme centrale de service (*) par courrier, e-mail ou SMS 3. Envoi du code d activation de la midlet (*) Opérateur télécom (**) Alternative : la matrice individuelle peut être pré-installée sur le mobile par l opérateur 4. Activation et personnalisation de la midlet par la saisie du code d activation 5. Envoi de la matrice du client (transfert chiffré du fichier) (**) 6. Modification en local du code confidentiel par l utilisateur sans stockage de ce code sur le mobile ni transfert au serveur! 7. Le module est prêt pour permettre l authentification de l utilisateur en mode défi-réponse Banques 32 / 37
Annexe n 3 Vente en ligne et paiement à distance 33 / 37
Les 2 formes du paiement sécurisé Dans le monde physique, la vente de proximité dans une boutique se conclut par un «paiement de proximité» Dans le monde numérique, la vente à distance sur un site Internet se conclut par un «paiement à distance» + 34 / 37
Les 3 modes modernes de la vente à distance 1. Le mode «web web» : Achat sur le Web (via un PC) - Authentification XC par le Web (applet Java + clé USB dans le PC) 2. Le mode «web mobile» : Achat sur le Web (via un PC) + Achat Authentification + Achat Authentification - Authentification XC par le mobile (midlet Java dans le mobile) + 3. Le mode «mobile mobile» : Achat sur le mobile (via un PDA, mobile) - Authentification XC par le mobile (midlet Java dans le mobile) Achat Authentification 35 / 37
Le téléphone mobile et les smartphones Que trouve-t-on dans ces téléphones mobiles? Une mémoire et une puce amovible spécifique (SIM) qui constitue un environnement semi-scellé. Ils peuvent recevoir des programmes Java. Notre technologie XC est présente depuis longtemps sur ce support détenu par tous. Le mobile de tout un chacun devient : un terminal de paiement individuel un support d authentification forte. Il n est donc plus nécessaire de déployer des lecteurs de cartes à puce coûteux. Car la quasi-totalité des internautes sont déjà équipés de mobiles, l ont constamment avec eux et savent s en servir. 36 / 37
Merci pour votre attention 37 / 37