La problématique d’une authentification forte

 

 Le “cambrioleur numérique”

Pour améliorer la protection de l’internaute et conserver sa confiance, les institutions bancaires ont souhaité renforcer le niveau d’identification de leur client, Je suis moi, en développant des techniques d’authentification, je le prouve, plus élaborées : présentation du certificat électronique.

Le paiement par carte bancaire sur Internet et la banque en ligne figurent parmi les services qui subissent le plus grand nombre d’infractions cybernétiques. Des techniques nouvelles de préhension des données bancaires des clients sont apparues au niveau international, grâce aux techniques de :

Phishing ou hameçonnage qui consiste à envoyer une série de messages aux internautes pour leur proposer des marchandises sur des faux sites de commerce en ligne ;

Loterie internationale qui consiste à solliciter des internautes, des informations à caractère personnel, du genre l’identité de l’individu, son numéro de compte bancaire,… au motif qu’ils ont gagné d’importantes sommes d’argent par simple tirage au sort, grâce aux jeux organisés par de grandes firmes comme Coca-Cola, Microsoft ou Bill Gates Foundation, que vous n’avez jamais joué. Une fois ces informations recueillies sur l’individu, elles serviront plus tard à des fins criminelles ;

Pharming c’est le détournement d’une transaction vers un faux site ;

et autres techniques de piratage constituent la panoplie des techniques du “cambrioleur numérique”. Le phénomène est connu. Il a d’ailleurs poussé les banques à adopter de nouvelles méthodes de protection.

Un terme nouveau est apparu : l’authentification forte. L’un de ses objectifs principaux est d’améliorer, voire de rétablir la confiance des internautes. C’est un vaste programme partagé par plusieurs continents. Le couple “identifiant/mot de passe”, jugé trop vulnérable cède la place à une combinaison technologique plus élaborée et nettement plus sécurisée : le certificat électronique.

Des actions sur le plan international

Aux États-Unis, le 12 octobre 2005, le FFIEC (Federal Financial Institutions Examination Council) émet une directive demandant à ce qu’avant fin de l’année 2006, il devient obligatoire, pour des établissements financiers de mettre en place un système d’authentification forte.

L’association “Liberty Alliance”, créée en 2001, regroupe plusieurs organisations et entreprises. Son objectif est de définir un ensemble de spécifications de protocoles de fédération d’identité et de communication entre services web. En novembre 2005, l’association met en place un groupe d’experts dans le domaine de l’authentification forte, le SAEG (Strong Authentication Expert Group).

Enfin, “l’Anti-Phishing Working Group” (APWG) une organisation américaine recommande l’utilisation de l’authentification forte. L’APWG considère que l’Internet n’a jamais été aussi dangereux. Et de citer une progression de 585 % du nombre de logiciels malveillants au cours du premier semestre 2009. Le nombre de sites pratiquant le Phishing frôle le chiffre de 50 000 sites en juin 2009.

Des paiements à distance, par téléphone et par Internet, pour lesquels le taux de fraude apparaît nettement plus élevé que pour les paiements de proximité est sur automate.

Force est de constater ici que les dispositifs de sécurité au sein des organismes devraient être renforcés. Et de souhaiter que les solutions implémentant une authentification renforcée dans les établissements puissent être rapidement déployées voire généralisée.


Le processus vers la sécurité apportant plus de confiance aux internautes est en marche dans le monde en général et au Cameroun en particulier. Mais les mesures prises doivent être accompagnées de la vigilance des internautes. La sécurité est aussi une affaire de comportement.

La solution industrielle

Dans l’univers des transactions électroniques sécurisées, trois modes sécuritaires sont pris en compte. On identifie un individu par ce qu’il sait : un identifiant, un code confidentiel… ; parce qu’il détient : un token, une carte à puce… ; parce qu’il est : technique biométrique.

L’authentification forte, appelée aussi authentification à deux facteurs, utilise d’une façon combinée deux de ces modes.

D’autres modes sont utilisés pour identifier un internaute ou la provenance d’un message. Par exemple, le système CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) se présente sous différentes formes. La plus employée consiste à demander à l’internaute de saisir des signes graphiques, lettres, chiffres, souvent déformés et sur fond de couleur avant d’être autorisé à lire ou envoyer un texte ou un formulaire ou accéder à une information. Il s’agit de faire la différence entre l’envoi de mails par un robot et par un individu.

Conclusion

En définitive, le système PKI permet de sécuriser des applications, afin d’obliger tous ceux qui désirent les utiliser de se faire identifier au préalable, grâce à la présentation du certificat électronique.

Le certificat électronique permet de vous identifier formellement dans le monde virtuel, de chiffrer et de déchiffrer vos transactions en ligne et de signer puis de vérifier la signature électronique dans vos échanges avec les autres internautes. Tout cela se fait sous la supervision du tiers de confiance qu’est l’autorité de certification.

Il est donc nécessaire de faire confiance à une autorité de certification comme celle de l’ANTIC, la Cameroon Government Certification Authority (CamGovCA) qui a une base légale au Cameroun pour sécuriser vos applications en ligne. Plus besoin d’utiliser des réseaux de type VPN ou des lignes spécialisées car ces réseaux ne vous assurent que la confidentialité alors que le système PKI vous garantit la confidentialité, l’authentification, l’intégrité et la non répudiation.

En plus, l’ANTIC est dotée d’une équipe d’ingénieurs, experts dans le domaine de la sécurité qui maîtrise bien leur outil de travail. Faites nous confiance, vous ne regretterez pas.

joomla templatesjoomla template