10 mai 2011 Biométrie et authentification SI Mythes et réalités
Qui sommes-nous? Cabinet indépendant de conseil en management et système d information coté sur NYSE Euronext 20 ans d existence Dans le top 5 des cabinets de conseil SI Près de 1 000 collaborateurs selon une étude Pierre Audoin Consultants 2010 Notre mission? Notre cible : le top 200 des grandes entreprises et administrations porter l innovation au cœur des métiers, cibler et conduire les transformations créatrices de valeur, faire du SI un actif au service de la stratégie des entreprises 2
Nos savoir faire Stratégie & management Mobiliser l entreprise sur ses clients et son développement Transformation SI Aligner le SI sur la stratégie d entreprise et les besoins métiers Gouvernance SI Améliorer la performance économique et opérationnelle Télécoms & innovation Apporter de la valeur grâce aux nouveaux services de communication Architecture SI Rendre le SI performant par une approche orientée services Sécurité & risk management Manager les risques et mettre le SI en conformité réglementaire 3
Practice Sécurité & risk management Qui sommes-nous? Notre mission : Accompagner les grands comptes dans la maîtrise des risques et la conduite des projets de sécurité au bénéfice de leurs métiers Nos convictions : Prioriser et traiter les risques en fonction des enjeux métiers Adopter une approche facilitatrice et innovante pour permettre les nouveaux usages Centrer la protection sur l information pour faire face aux transformations du SI et respecter les exigences réglementaires CA de 20 M 150 consultants dédiés Capacité à mobiliser des expertises sectorielles Certification ISO 27001 sur les prestations d audits de sécurité Implication forte dans la normalisation et les organismes de partage (AFNOR, Club 27001, CLUSIF, Forum des Compétences ) Nombreuses publications (livres blancs, web, conférences ) L'association des meilleures expertises du marché pour une approche bout en bout des risques et de la sécurité www.solucominsight.fr Sécurité & Risk Mgt. La Lettre Sécurité La newsletter des RSSI 124 4
Biométrie Définition du Petit Robert «La biométrie est la science qui étudie, à l aide des mathématiques, les variations biologiques à l'intérieur d'un groupe déterminé» Dans le domaine des technologies de l information, la biométrie est l utilisation automatisée des caractéristiques physiologiques et comportementales afin de déterminer ou de vérifier une identité 5
Biométrie Différentes méthodes d analyse des échantillons biométriques Analyse morphologique Morphologique et comportementale Analyse comportementale Basée sur des caractéristiques ou des mesures physiques : empreintes digitales, géométrie de la main, reconnaissance faciale, iris, rétine Reconnaissance vocale Basée sur les actions réalisées par un individu : signature dynamique, frappe au clavier Analyse biologique Basée sur des fragments biologiques des individus : ADN, salive, sang, odeur 6
La Biométrie Une histoire semée d innovations (1/3) 1858 1870 Eviter l usurpation d identité Criminilogie : Identifier les récidivistes 1960 Reconnaissance faciale 1 er prototype 1892 1935 1960 1936 Empreintes digitales, 1 ère classification Rétine, concept Iris, concept Voix, 1 ère modélisation 7
La biométrie Une histoire semée d innovations (2/3) Contrôle des accès physiques et des horaires 1 ère commercialisation en géométrie de la main 1974 1 er standard pour empreintes digitales 1986 1975 Empreintes digitales, prototype automatique 1976 Voix, prototype 1981 Rétine, prototype et commercialisation 1965 1991 Signature dynamique, concept et recherche Visage temps réel, concept 8
La biométrie Une histoire semée d innovations (3/3) 1 ère Carte biométrique (frontière USA) 1994 1 er passeport biométrique (Malaisie) 1998 1993 2006 Iris, prototype et commercialisation Biométrie veineuse, commercialisation 2000 Biométrie veineuse, concept 9
Des concepts simples La biométrie ne fonctionne pas par magie Enrôlement La première fois, enregistrement de l échantillon biométrique Appareils de stockage Extraction Traitement Stockage Ou Ou Utilisateur Echantillon biométrique 011001101 Gabarit Reconnaissance Les autres fois, l utilisateur veut s identifier ou s authentifier Comparaison Extraction Traitement Comparaison Décision Utilisateur Echantillon biométrique 011001101 Gabarit 011001101 10
La biométrie n est pas une science exacte (1/2) Utilisateurs Rejetés Utilisateurs acceptés Imposteurs Utilisateurs légitimes False Acceptance Rate (FAR) 15% 20% 1% False Rejection Rate (FRR) 10% 25% 15% SEUIL SENSIBILITE Le seuil de sensibilité défini deux taux. qui dépendent l un de l autre 11
ERREUR La biométrie n est pas une science exacte (2/2) FAR : FALSE ACCEPTANCE RATE FRR : FALSE REJECTION RATE Equal Error Rate (EER) Valeurs types EER < 0,1 % FAR ~ 0,01%, équivalent à un code à quatre chiffre Ergonomie SEUIL Sécurité SENSIBILITE La biométrie n est jamais exacte, elle dépend de : la qualité de la solution et de la sensibilité choisie = Ergonomie VS sécurité 12
La biométrie n est pas la solution d authentification idéale 1. Identification : «Qui est-ce?» 2. Authentification : «Est-ce bien M. Dupont?» Reconnaître l identité d un utilisateur Demander à l utilisateur une preuve de son identité Il y a 3 catégories de facteurs d authentification : 1 vs N 1 vs 1 Ce que je sais : des secrets Ex : Mot de passe Ce que j ai : Objets de sécurité Ex : Carte / token OTP N comparaisons N pouvant être grand (plusieurs millions) Une double problématique de sensibilité (pour identifier un seul individu) et de performance Ce que je suis : Biométrie 1 comparaison et un problème de précision pour la Biométrie 3. Authentification forte Demander à l utilisateur au moins deux facteurs de preuves de son identité (ce que je sais, ce que j ai, ce que je suis) 13
La biométrie dans le cadre de l authentification SI Un marché morcelé De nombreuses alliances commerciales et technologiques. Y aura-t-il une consolidation? 14
La biométrie dans le cadre de l authentification SI Critères de choix de solutions Qualité / performance du dispositif biométrique Performance des capteurs et algorithmes (FAR et FRR effectifs) Ergonomie et performances perçues par les utilisateurs Interopérabilité Localisation des données et traitements biométriques Localisation du stockage des empreintes (Store On Card, Store On PC, Store On Server) Sécurisation du transfert des données biométriques Localisation du traitement de vérification : (Match On Server, Match On PC, Match On Card) Sécurité du service d authentification Modalité du transfert du résultats de la vérification au serveur d authentification Validation de l intégrité des algorithmes Biométrique (vulnérabilité de type YES CARD) Les critères de choix de solutions doivent être guidés par les usages, les exigences opérationnelles 15
Un déploiement à risques Une crainte «légitime?» des utilisateurs Perte du droit à l oubli Les risques : Les données biométrique ne sont pas révocables Perte de la vie privée Les risques : Traçabilité Sécurité des données Mauvaise fiabilité de la biométrie Les risques : La sécurité du passeport biométrique avec puce RFID a déjà été compromise Les risques : Les caractéristiques biométriques évoluent : vieillissement, cicatrices Et si ce n était pas moi? 16
Un déploiement à risques Une réglementation très contraignante Un usage extrêmement encadré par la CNIL Contrôle d accès physique Salariés/Visiteurs Autres usages La demande d autorisation est de rigueur pour tous les usages SI Contour de la main Contrôle d accès, d horaires, et restauration Demande d autorisation L autorisation n est généralement pas accordée pour les biométries à traces* utilisant des bases centrales Empreinte digitale Biométrie veineuse Accès au locaux, stockage sur support individuel Accès au locaux Demande d autorisation Demande d autorisation * La distinction entre une technologie avec ou sans traces repose sur la possibilité ou non de récupérer une donnée biométrique à l insu de la personne, susceptible d'être utilisée à des fins étrangères à la finalité recherchée par le responsable du traitement Technologies avec traces : Empreintes digitales, ADN Technologies sans traces : Géométrie de la main, Iris, Visage, Réseau vasculaire, Rétine, Voix Autres types de biométrie Demande d autorisation Demande d autorisation 17
L enrôlement : un moment d appropriation clé qui conditionnera la qualité perçue? 1 L enrôlement est le premier contact entre l utilisateur est l appareil 2 L enrôlement est aussi une étape complexe, Pour l empreinte digitale, la qualité de la mesure dépend de La position du doigt L humidité du doigt La pression du doigt (capteurs capacitifs) 3 Enfin, l enrôlement est une étape clé pour avoir une bonne qualité de mesure, et de bons taux de reconnaissance Le processus d enrôlement nécessite une attention spécifique et une formation préalable de l utilisateur 18
La biométrie Les usages (1/4) Déjà 10 ans de recul en usage SI Technologies variées Empreinte digitale et carte Biométrie veineuse Biométrie vocale Usages variés Authentification poste de travail Signature électronique Déblocage help desk Déploiements réussis et avortés Fiabilité de la solution technique Acceptation Industrie 2001-2002 Sécurisation des virements fournisseurs en devises Triple objectif : sécurité, ergonomie, support Déploiement international : 300 utilisateurs VIP sur 100 sites Solution innovante : carte à puce biométrique Un déploiement réussi et toujours novateur 19
La biométrie Les usages (2/4) Banque 2003 Accès poste de travail Cible initiale de 300 personnes Solution à base de carte à puce biométrique Difficultés de mise au point : deux fournisseurs jettent l éponge Pilote peu convaincant : lenteur, taux de rejet Généralisation avortée Industrie automobile 2004 Accès poste de travail Cible VIP Solution basée sur la biométrie avec un stockage des empreintes sur le PC Pilote peu convaincant : taux de rejet, ergonomie limitée Pas de déploiement généralisé 20
La biométrie Des usages (3/4) Banque 2008-2009 Sécurisation des postes traders Besoin de sécurisation suite au rapport Lagarde (c.f. affaire kerviel) Des utilisateurs exigeants : l ergonomie passe avant tout Un contexte technique compliqué : multi-poste Une solution novatrice «sortie du chapeau» : biométrie veineuse et base centralisée Accord de la CNIL obtenu après plusieurs mois d efforts Transport 2008-2009 Vitrine technologique Badge unique biométrique Vitrine pour la DSI Accès au poste de travail avec badge a puce biométrique Multi services : accès physique, cantine Déploiement réussi pour les 1000 collaborateurs de la DSI Une solution fonctionnelle mais un taux d usage limité 21
La biométrie Des usages (4/4) Energie et Automobile 2010 Authentification au Help desk Biométrie vocale permettant la réinitialisation du mot de passe Energie : prototype en cours Automobile : déploiement à 50% pour une cible de 20 000 utilisateurs, des taux de faux rejets plus importants en langue espagnole (5 ~ 10%) Energie 2009 Sécurisation des accès TMA Prototype basé sur une technologie de biométrie veineuse Un prototype fonctionnel non industrialisé Assurance 2010 PC Big Bang Objectif ergonomie et sécurité Solution de biométrie et carte à puce Déploiement international 4 sites majeurs 2000 utilisateurs Bon retour utilisateur 22
La biométrie, mythes, réalités, que faut-il en retenir? Une technologie arrivant à maturité Normalisée, et déjà déployée à très grande échelle Les usages se démocratisent Les freins culturels sont partiellement levés qui doit être déployée à bon escient en sécurité SI Couverture d un risque effectif Niveau de sécurité apporté Acceptabilité en prenant en compte l utilisateur final Lors du choix de la solution Via la conduite du changement Sans sous estimer les limites 23
www.solucom.fr Contacts Benoît TANGUY Directeur Practice Sécurité et Risk Management Tel : +33 (0)1 49 03 23 33 Mail : benoit.tanguy@solucom.fr