La biométrie

La biométrie

mardi, mai 19, 2020 | Articles 2020

La biométrie

La thématique de la biométrie a été l’objet de la plénière EESTEL du 29 avril 2020, et a fait l’objet de trois présentations :

La Biométrie

La biométrie prend une place grandissante dans l’environnement des transactions sécurisées. Elle apporte nombre d’avantages en termes d’identification et d’authentification. Aujourd’hui, les technologies biométriques les plus fréquemment rencontrées sont les empreintes digitales et la reconnaissance faciale, mais nombre d’autres approches sont également utilisées, par exemple : la voix, l’iris et la rétine, la forme de la paume, la démarche, la signature manuscrite, la frappe au clavier, les mouvements de souris, etc….
La biométrie est utilisée dans nombre de domaines : le contrôle d’accès physique et logique, l’identité, le paiement etc…

Le sujet a été couvert par les présentations suivantes

Introduction de Laurent Charpentier, expert EESTEL

Laurent Charpentier

Laurent Charpentier

président EESTEL

Laurent Charpentier est banquier, et … évangéliste paiement mobile chez BNP Paribas.

Le panorama suivant est dressé :

Sur les smartphones, la biométrie (empreintes ou visage) devient incontournable car elle simplifie la vie de l’utilisateur. Or on ne peut plus qualifier ces nouvelles fonctionnalités : les Banques n’en ont plus le pouvoir, et même au niveau technique, il est difficile de certifier les TFA ou TVR annoncés de dispositifs intégrés dans un objet aussi complexe qu’un smartphone et sans des jeux de tests conséquents. En revanche ces systèmes ne posent pas de problèmes de « privacy » car locaux au smartphone.

 

Quelqu’un y voie une analogie avec des les systèmes OPT/SMS qui bien qu’imparfaits, se sont imposés !

La biométrie vocale ou comportementale (par exemple, rythme de frappe au clavier) n’avance pas. Cependant il faut noter que des sociétés des GAFA, par la connaissance des usages et habitudes des internautes, sont capables de détecter ou soupçonner des attaques et d’alerter les utilisateurs !

On annonce des cartes au format ISO dotées de capteurs d’empreinte, solution sans doute chère mais qui redonnerait peut être une possibilité de contrôle / certification !

Une autre tendance actuelle est que pour l’enrôlement, phase cruciale de l’ouverture d’un nouveau service, les clients préfèrent des solutions évitant le déplacement en agence, donc valorisent plutôt l’enrôlement virtuel, on-line.

Enfin la CNIL n’apprécie guère les systèmes biométriques centralisés, qui seraient justement utiles pour solutionner l’enrôlement on-line.

Présentation de Bernard Morvant, expert EESTEL

Bernard Morvant

Bernard Morvant

expert EESTEL

Bernard Morvant est consultant senior de la société de conseil Sofie et expert reconnu auprès des autorités gouvernementales pour des missions de programmes d’e gouvernement mettant en œuvre le développement de solutions d’identité digitale numérique et d’inclusion financière. Bernard a mené des missions dans différents pays africains tels que le Kenya, le Tchad, la Cote d’Ivoire, le Burkina Faso, le Gabon et le Mali. Présentement, il est conseiller du cabinet du Premier Ministre de l’état de Jamaïque pour leur programme national d’identité et de croissance économique. Après 30 ans d’implication dans les projets de technologies cartes et systèmes transactionnels appliqués au paiement et à l’identité, Bernard est membre « advisory observer »de la the Secure Identity Alliance Organization depuis décembre 2016.

L’expérience indienne (AADHAR)

est intéressante, car elle s’applique à une population nombreuse et qui part de zéro sur ces dispositifs et techniques biométriques. Il s’agit donc de doter plus d’un milliard de personnes d’une identifiant unique avec possibilité d’authentification par exemple par empreinte digitale (ou iris) plutôt dans une approche centralisée : l’identifiant peut être un code 2D sur une carte papier. Ce projet est devenu une référence mondiale pour les banques de développement telle que la Banque Mondiale pour faire progresser les états dans leur gestion de l’identité civile à travers la mise en place d’un identifiant unique de la personne et des services d’identification et d’authentification biométrique.

Un règlement européen de mai 2019 sur le renforcement (en complément d’eIDAS) concerne plutôt les cartes d’identité nationales et une approche commune de l’amélioration de la sécurité de ces documents en utilisant la technologie smart card et la biométrie. Il donnerait la possibilité d’utiliser les données biométriques ayant servies à la validation de l’identité de la personne et stockées de manière sécurisée en utilisant la PKI telle que définie par ICAO dans le chip de la carte pour initialiser des credentials dérivés dans un smartphone pour un enrôlement à une APP smartphone.

Il existe aussi un règlement international sur la privacy des données biométriques proposée par l’association biometrics institute basée à Londres et composé à la fois d’utilisateurs finaux étatiques et de représentants de l’industrie ; le document « privacy guideline comprend 15 principes et des recommendations d’implémentation pour encadrer la mise en place de solutions biométriques .

Voir les travaux de l’ISO sur le thème de la biométrie https://committee.iso.org/home/jtc1sc37

Une question est posée sur les problèmes liés à la biométrie centralisée, et la nécessité dans certains cas de modifier ou révoquer une donnée biométrique : par exemple après un accident, ou la plainte de quelqu’un dont l’empreinte aurait été imitée sur un faux doigt (attaque classique !).

Présentation de Stéphane Mouille

Société CLR Labs, Cabinet d’audit et de certification biométrie basé à La Ciotat et à Bruxelles.

Stéfane Mouille

Stéfane Mouille

Cabinet Louis Reynaud – CLR Labs

Stéfane est un expert senior international dans les domaines de l’identité numérique, de la cybersécurité, des règlementations européennes et des normes dans le monde numérique. Il est membre de groupes de travail de l’AFNOR, du CEN et de l’ETSI sur les méthodologies d’évaluation de la sécurité, la signature digitale, l’identité numérique, la biométrie et la cyber sécurité.
Stéfane Mouille est également le Chairman du comité sur la cyber sécurité et l’identité numérique de l’association Eurosmart, qui représente l’industrie de la sécurité numérique auprès de l’écosystème Européen. Il est aussi expert pour la Commission Européenne la révision de la directive sur la responsabilité produit et pour le groupe d’experts eCall.
Il travaille aujourd’hui pour le Cabinet Louis Reynaud – CLR Labs.

Il est rappelé que les passeports contiennent depuis 2006 la photo du titulaire dans leur puce.

D’une façon générale, concernant la biométrie, il est rappelé que l’approche biométrie > support > service se répand beaucoup plus que l’approche biométrie+ID>service (cf. le cas de l’Inde) et pose beaucoup moins de problèmes de déploiement et de risques d’atteinte à la vie privée.

La FIDO Alliance a défini un moyen de certification des dispositifs biométriques utilisés : https://fidoalliance.org/certification/biometric-component-certification/

La réglementation :

La société CLR LABS travaille sur ces aspects évaluation de la conformité et certification.

Il est rappelé par ailleurs que le problème de la révocabilité des empreintes digitales dans les systèmes où le contrôle est centralisé est un problème bien réel : une base de deux millions d’empreintes aurait été volée aux USA.

Carrefour a réalisé une expérimentation de la reconnaissance faciale depuis juin 2019 à Massy.

Le cadre légal du paiement sans contact

Le cadre légal du paiement sans contact

mercredi, octobre 9, 2019 | Articles 2019

Le cadre légal du paiement sans contact

Le volume de transactions par carte sans contact croît de façon exponentielle : en France, de 1 milliard en 2017, il est passé à 2 milliards en 2018 et franchira la barre des 3 milliards en 2019, soit le cinquième des transactions de paiement.

Il est intéressant de revenir sur la sécurisation de ces transactions et leur cadre contractuel. Aujourd’hui ces transactions sont hors périmètre DSP2. Mais qu’arrive-t-il en cas de litige ?

Lors d’un paiement, il convient de distinguer plusieurs éléments qui contribuent à la sécurité de celui-ci :

  • L’authentification du payeur préalable à la transaction,
  • La sécurisation financière de la transaction,
  • La preuve de la transaction.

Authentification du payeur

L’authentification du payeur préalable à la transaction est destinée à s’assurer que c’est bien le payeur légitime qui réalise la transaction.

Pour un paiement réalisé au moyen d’instruments papier, elle peut être réalisée en contrôlant une pièce d’identité (chèque, virement papier remis au guichet) ou en comparant la signature apposée par le payeur avec une signature de référence (carte dans certains cas d’utilisation de la piste magnétique).

Pour un paiement faisant appel à un dispositif électronique (carte à puce, téléphone portable, terminal de paiement), l’authentification est faite en vérifiant un code confidentiel, en contrôlant un mot de passe à usage unique ou encore en faisant appel à la biométrie.

NB :

W
  1. Certains paiements peuvent ne pas donner lieu à authentification du porteur, par exemple le paiement de péages d’autoroute ou l’utilisation d’un porte-monnaie électronique.
  2. L’authentification du support seul (par exemple en calculant un certificat prouvant que la carte a été utilisée) ne suffit pas pour authentifier le payeur : la carte peut avoir été perdue ou volée sans que le porteur en ait connaissance ; dans le cadre de la réglementation actuelle, un tribunal considérera qu’il n’y a pas de preuve que c’est le payeur légitime qui a réalisé la transaction.

Sécurisation financière de la transaction

La Sécurisation financière de la transaction permet de s’assurer que le moyen de paiement est valide (qu’il n’a été ni falsifié, ni volé) et que les fonds sont disponibles pour payer le bénéficiaire

Un calcul algorithmique permet de réaliser cette authentification pour une carte à puce (authentification off-line ou on-line en vérifiant un certificat). Il est possible de vérifier que le moyen de paiement figure sur la liste des moyens de paiement autorisés via une demande d’autorisation.

De plus, des dispositifs de limitation d’utilisation du moyen de paiement permettent de limiter le risque financier : montant maximum de la transaction, plafond maximum d’utilisation sur une période, vérification que la transaction ne met pas le compte à découvert, non-dépassement du nombre maximum de transactions off-line autorisé.

L’authentification du porteur peut être demandée toutes les n transactions (paiement sans contact), ce qui contribue à diminuer le risque.

Nature du compte

Enfin la nature du compte à partir duquel les fonds vont être prélevés pour réaliser le paiement joue un rôle important.

S’il s’agit d’un compte de monnaie électronique, comme c’est le cas pour les porte-monnaie-électroniques (Moneo), le payeur a été averti que l’argent qui se trouve sur ce compte ne bénéficie pas des mêmes garanties de sécurité que sur un compte courant et que cet argent peut être utilisé pour réaliser des paiements sans authentification du payeur.

S’il s’agit d’un compte courant (ou compte de dépôts), le teneur de compte a l’obligation de pouvoir justifier chaque opération qu’il passe sur le compte. En particulier, il doit pouvoir prouver que l’opération a été initiée par un payeur autorisé. Cela évite une répudiation après coup de la transaction par le titulaire du compte.

Cette preuve peut se matérialiser de différentes manières :

W
pour un chèque, un paiement carte utilisant la piste magnétique ou un virement initié au guichet de la banque, c’est la signature du payeur autorisé qui fait foi ;
W
pour un paiement carte EMV c’est le certificat figurant sur le ticket qui fait foi ; il atteste – et la jurisprudence existe – que la transaction a été effectuée par la carte, que le titulaire a tapé un code confidentiel correct, qu’elle a eu lieu chez le commerçant identifié parle numéro, tel jour à telle heure et pour le montant indiqué. Ce certificat a la même valeur juridique que les éléments figurant sur un chèque ;
W
pour un paiement carte sur Internet réalisé en utilisant 3D secure, la trace de la saisie du mot de passe à usage unique prouve que celui qui a réalisé le paiement était en possession du téléphone qui l’a reçu ;
W
enfin dans le cas du virement initié sur la banque à domicile, une convention de preuve existe entre la banque et son client, selon la directive DSP2 : par exemple un certificat calculé par le serveur de la banque à domicile une fois que le client s’est authentifié et a validé l’opération.

Dans les autres cas la transaction est répudiable par le titulaire du compte : par exemple pour l’avis de prélèvement (core SDD) ou en cas de paiement carte sur Internet avec simple saisie numéro (hors 3D secure).

Paiement sans contact

Dans le cas du paiement sans contact, on se trouve dans la situation où le payeur n’est pas authentifié et le paiement est signé par la seule carte, sans qu’il y ait authentification du payeur. Ce paiement mouvemente un compte courant.

Juridiquement on est donc dans la même situation que pour un paiement carte avec simple saisie du numéro (hors 3D-Secure) ou un débit direct

La transaction est donc révocable en cas de contestation du porteur.

Un fossé est en train de se creuser entre le monde des transactions à contact, en proximité, bien sécurisé et réglementé, et le monde des transactions sans contact où la situation réglementaire est plus floue. Cela s’explique par leur genèse :

W
les transactions à contacts ont été conçues à l’origine d’EMV, avec un souci de sécurisation ‘pur et dur’,
W
les transactions sans contacts ont été conçues outre-Atlantique, en partant des transactions ‘pistes magnétiques’. D’un point de vue sécuritaire, elles constituent une amélioration des transactions pistes, mais elles sont un net recul par rapport aux transactions EMV à contacts.
L’engouement pour le sans contact est probablement dû au succès incontestable des transactions sans contact dans le monde du transport, que l’on a voulu transposer au monde des paiements ; mais on semble avoir oublié que réaliser un paiement est un acte qui engage plus son auteur que de franchir un tourniquet dans le métro…

Aujourd’hui, il y a peu de cas de jurisprudence dans le domaine des paiements sans contact ; un jugement a été rendu à Briey (le Républicain lorrain du 8 septembre 2019)

lire l'article

Etant donné que le coût de traitement d’une réclamation est la plupart du temps largement supérieur au montant de la transaction (qui ne peut dépasser 30€), il est probable qu’en cas de litige, l’agence bancaire fera un geste commercial vis-à-vis de son client et prendra à sa charge le sinistre.

Toutefois, si les litiges venaient à se multiplier, cela finirait par poser un problème :

W
le coût de traitement des litiges pourrait devenir démesuré comparé au montant des pertes (le montant de chaque transaction est limité à 30€),
W
il y a un risque d’écorner l’image du paiement sans contact, avec perte de confiance du public dans ce mode de paiement.

Une évolution du système ou une réglementation plus sévère, par exemple en responsabilisant davantage le titulaire en cas de perte ou de vol de sa carte (mais ce serait contraire à l’esprit des DSP1 et 2, qui va dans le sens de la protection du payeur), serait alors à étudier.

Auteur : François Brion, expert EESTEL