+
-

Rencontre avec Alain Martin, coprésident du groupe de travail européen de l’Alliance FIDO

« FIDO montre sa pertinence en facilitant le parcours client et en étant conforme à la DSP2 »

Alors que l’Alliance FIDO a sorti en avril dernier son standard FIDO2, Alain Martin, qui codirige le groupe de travail européen en plus de ses activités au sein de Gemalto, revient sur le rôle de l’alliance dans la standardisation d’outils d’authentification au-delà du simple couple identifiant-mot de passe et sur son intérêt pour les banques, dans un monde financier toujours plus ouvert.

Le 29/10/2018

Pourriez-vous nous rappeler le rôle de l’Alliance FIDO ?

L’Alliance FIDO est une association d’industriels, de prestataires de service, dont des banques et des acteurs du paiement, mais aussi des gouvernements, des professionnels de la santé et des fournisseurs de technologie. La France en tant qu’État n’en fait pas partie. Cette association a plusieurs buts :

  • créer des standards d’authentification, un travail qui est très avancé avec l’arrivée de FIDO 2 ;
  • créer des programmes de certification ;
  • promouvoir et faciliter les déploiements de l’approche FIDO. C’est d’ailleurs l’origine des groupes de travail régionaux qui existent en Europe, en Asie…

Qu’apporte le standard FIDO 2 par rapport au précédent ?

FIDO a démarré avec une approche assez simple et pertinente qui consiste à remplacer les mots de passe. Le premier standard FIDO (UAF – Universal Authentification Framework) vise à remplacer le mot de passe par des moyens plus sûrs. C’est une solution où vous vous identifiez vis-à-vis de l’appareil, par exemple avec un code porteur, une solution que l’on connaît très bien avec la carte bancaire… On peut également utiliser une donnée biométrique, comme un selfie ou une empreinte digitale. L’UAF implique une vérification locale et ensuite, pour authentifier l’appareil lui-même, un mécanisme cryptographique.

Ensuite, un deuxième standard est apparu, poussé, je pense, par de nouveaux acteurs comme Google. L’idée de ce celui-ci est de renforcer un mot de passe existant avec un facteur de possession sans changer cette habitude : c’est le standard U2F (Universal Second Factor).

FIDO 2 est un standard issu d’un besoin qui a été exprimé d’intégrer l’authentification directement dans les navigateurs. Auparavant, dans les deux standards que je viens de vous décrire, il fallait des implémentations propriétaires dans les plateformes de type Windows ou Android pour atteindre l’appareil authentificateur. C’est assez compliqué à faire et peu compatible avec la démarche ouverte de FIDO. FIDO 2 est un standard en deux parties. Il y a une partie qui a été démarrée par FIDO et ensuite confiée au W3C. Le W3C s’est chargé de standardiser le Web Authentication API que l’on retrouve nativement dans les dernières versions des navigateurs Edge, Chrome ou Firefox.

Et Safari également ?

Pas encore Safari, mais Apple y travaille. Apple n’est pas dans FIDO, mais ce serait compliqué pour eux si les applications web ne tournaient pas dans Safari. Il faudrait faire des implémentations spécifiques. Nous savons que le groupe de travail du W3C comprend des acteurs d’Apple. Il est donc vraisemblable que dans le futur, Safari supportera ces API web…

Et la deuxième partie de FIDO 2 ?

L’autre approche, plus spécifique à FIDO, est la partie CTAP (Client-to-Authentication Protocol), le protocole qui permet d’accéder à un appareil. Si vous êtes sur votre PC sur une application web, à un moment donné, pour vous authentifier, vous allez insérer une clef USB ou taper une carte sans contact, voire atteindre un téléphone en Bluetooth. Il y a différentes modalités d’échange entre la plateforme web et l’appareil qui utilisent ce protocole CTAP.

FIDO 2 a été adopté en avril dernier. Où en est le déploiement ?

Les dernières versions des trois navigateurs que je vous citais intègrent ces API. Pour la deuxième partie du protocole, il y a des sessions d’interopérabilité qui donnent lieu ensuite à une certification. Il y a eu une première session en août et un certain nombre d’appareils de différents vendeurs vont avoir leur certification.

Quand se retrouveront-ils dans les mains du public ?

Quand les prestataires de services, pour rester général, et les banques, en particulier, les adopteront. Il faut que le prestataire ait mis en place un serveur d’authentification. Ce qui va être intéressant dans FIDO et être facilité encore par FIDO 2, c’est qu’un prestataire de type banque n’a pas nécessairement besoin de déployer d’authentificateur. Ainsi, vous allez pouvoir retrouver dans votre téléphone un authentificateur FIDO, nativement.

Peut-on imaginer qu’il soit embarqué dans l’application mobile de la banque ?

Tout à fait. Mais ce sera plutôt le standard UAF, qui se prête bien à une intégration dans une application mobile, bancaire en particulier. FIDO 2, c’est plus une approche « navigateur ». De ce point de vue, on peut tout à fait envisager qu’une banque utilise les deux standards : dans son application mobile, elle va intégrer la fonctionnalité FIDO UAF qui va permettre de faire une authentification forte ; pour l’interface web, le développeur de l’application bancaire va utiliser les API Web FIDO 2, pour finalement délivrer le même résultat. Le serveur derrière sera le même.

Cela peut-il faciliter le déploiement de la prochaine version de 3D Secure ?

VISA et MasterCard ont annoncé et commencent à déployer une version 2 de 3DSecure qui va grandement améliorer le parcours client et en particulier, permettre de mettre en place les exemptions DSP2, notamment celles liées à l’analyse du contexte dans lequel s’est déroulée la transaction, pour permettre à la banque de se passer d’une authentification forte de son client. Mais 3DSecure n’est pas adapté au monde mobile. Finalement FIDO devient très pertinent puisque de l’application commerçant, au moment de payer, vous êtes redirigé automatiquement sur l’application de votre banque pour authentifier et accepter cette transaction en utilisant FIDO. Regardez les détails, mettez votre doigt, prenez un selfie, c’est tout. C’est très simple. De même pour l’autre cas d’usage que permet 3D Secure V2.0 avec une transaction sur deux écrans. Dans ce cas, vous êtes sur votre PC, et au moment de payer vous utilisez l’application bancaire de votre téléphone mobile où vous verrez les détails de la transaction s’afficher et vous allez vous authentifier pour accepter ces paiements [1]. À nouveau, FIDO montre sa pertinence en facilitant le parcours client et en étant conforme à la DSP2.

Où en est-on du côté des banques pour FIDO 2 ?

Sur l’adoption ? Non, pas encore, c’est trop tôt. D’autant qu’en Europe, FIDO est très peu adoptée. FIDO rencontre du succès en Amérique du Nord, aux États-Unis et en Asie – Japon, Corée, Chine –, où il y a énormément de déploiement. En Europe, il n’y en a quasiment pas. Je n’en connais même pas qui soit publics.

Pensez-vous réellement que FIDO va permettre de supprimer le mot de passe ou assure-t-il juste une couche supplémentaire de protection ?

Cela va prendre longtemps pour remplacer le mot de passe. Une banque qui fait le choix de FIDO conservera-t-elle les mots de passe ? FIDO ne le préconise pas. Garder le mot de passe, c’est garder le maillon faible. En revanche, que se passe-t-il quand j’ai perdu mon appareil FIDO de manière générale et plus particulièrement mon téléphone portable ? FIDO travaille sur des messages de récupération pour recouvrer l’accès au compte qui ne diminue pas l’authentification forte apportée par le standard client. Au final, cela restera le choix de la banque. FIDO est focalisé sur l’authentification, mais il y a une autre couche avant, qui est l’identification de la personne. FIDO ne standardise pas l’identification de la personne. Or, au préalable de l’enrôlement du client, de l’utilisateur avec son appareil FIDO, il faut le connaître. Si le client a changé de téléphone, il devra se réenrôler auprès de la banque en rejouant le mécanisme de KYC. C’est une méthode plus sûre que d’utiliser le mot de passe, mais le choix final reste celui de la banque.

Vous avez un système de certification des produits FIDO. Combien d’entre eux sont certifiés ?

Sur le site, nous en annonçons environ 450. Il y a plusieurs niveaux de certification. Le premier concerne la fonctionnalité et l’interopérabilité de la solution. Autrement dit, est-ce qu’un authentificateur fourni par ce vendeur interagit correctement, est-ce qu’il est interopérable avec les autres solutions ? En fin d’année, nous avons introduit une certification sécuritaire, avec six niveaux différents. Le niveau 1 reprend la certification fonctionnelle avec quelques questions de sécurité. Nous travaillons sur un niveau 1+, qui très intéressant pour les banques parce qu’il se déploie très facilement. Il va certifier la robustesse de l’implémentation logicielle, avec l’utilisation de techniques particulières, comme l’obfuscation de code, qui peuvent freiner un hacker qui essaie de rentrer dans ce code pour retrouver des clefs. Vous avez un niveau 2 et un niveau 2+ qui correspondent à des implémentations dans des TEE (Trusted Execution Environment) et les TPM (Trusted Platform Module) que l’on retrouve dans beaucoup de téléphones aussi (NDLR comme le Samsung Galaxy note 9 testé dans Revue Banque n° 823). Les niveaux 3 et 3+ correspondent à une implémentation dans un « secure element » de type carte à puce. Pour ce programme, FIDO s’appuie sur des méthodologies existantes de type Common Criteria. Ce programme de certification sécuritaire existe. Les niveaux 1, 2, 3 et 3+ sont publiés. Le travail est encore en cours pour les niveaux 1+ et 2+. Il devra être finalisé l’an prochain. L’autre programme de certification qui a été annoncé en même temps concerne la biométrie. Or, dans le grand public, cela n’existe pas. C’est-à-dire que FIDO apporte un gage d’objectivité au travers de ce test. À nouveau nous nous appuyons sur des laboratoires indépendants. C’est tout, mais ce n'est déjà pas mal. Nous testons les taux de faux positif et le taux de faux négatif, l’imposture. Pour l’instant d’ailleurs, pour ce critère-là, le niveau de test est de 20 %, soit 1 cas d’imposture sur 5. Il n’est pas très haut, mais je pense qu’il va déjà éliminer un certain nombre d’implémentations.

En parlant d’interopérabilité, comment un particulier va-t-il pouvoir s’y retrouver dans les différentes implémentations FIDO qu’il sera amené à utiliser ?

Il y a plusieurs réponses à votre question. Si vous prenez l’exemple de « j’ai enregistré ma carte chez PayPal », la DSP2 apporte des réponses à ce cas d’usage : PayPal, de fait, devient une tierce partie qui initie le paiement, à la fin de la journée, c’est la banque qui authentifie, en invoquant ou non des cas d’exemption. Il y a peut-être une autre réponse qui est dans la fédération d’identité, par exemple France Connect. Nous avons déjà travaillé et publié des documents sur la façon dont FIDO peut s’intégrer dans les systèmes de fédération d’identité.

Comment expliquez-vous le retard de l’Europe par rapport à l’Asie ?

En Asie, vous avez un déploiement massif du téléphone mobile pour des usages de type bancaire ou de paiement. Tandis qu’en Europe, nous sommes très OTP (One Time Password), soit pour confirmer un paiement à distance avec 3DSecure soit pour confirmer un virement par exemple. Nous avons été très surpris de ne pas voir plus d’engouement pour l’approche FIDO à l’occasion de la DSP2. En pratique, nous constatons que les banques cherchent coûte que coûte à être prêtes pour la partie Open API de la DSP2, prévue pour mars prochain. L’authentification n’est pas le sujet du moment, mais je pense qu'elle le deviendra très vite après.

 

[1] Certaines applications bancaires françaises le permettent déjà sans forcément utiliser FIDO, ndlr.

Sur le même sujet