L'entreprise américaine Ping Identity aide de grands établissements bancaires et organismes de crédits à protéger l'accès des clients et salariés aux services financiers, par définition très sensibles. Et ce n'est pas un long fleuve tranquille.
Sur le chemin de la sécurité informatique et de la protection de l'authentification, Ping Identity compte à son tableau de chasse quelques grands noms comme Repsol, Chevron, HP ou Canon. En France et dans huit autres pays, l'entreprise basée à Denver, dans le Colorado, aide une grande banque française ainsi qu'un organisme de crédits à protéger les accès des clients finaux. Une activité qui n'est pas sans risque, face aux nombreuses menaces cyber.
À Monaco, à l'occasion des Assises de la sécurité, nous avons pu rencontrer Alexandre Cogné, expert d'identité numérique chez Ping Identity, pour décortiquer le processus d'authentification (qui n'est pourtant pas sans failles) des mouvements financiers et les menaces qui pèsent sur ces derniers.
De la double authentification à la future identité dématérialisée
Quand on a en charge la protection de l'identité d'un client d'une banque à stature nationale ou d'un établissement de crédit, l'enjeu est de vérifier que lorsqu'une personne se connecte à une application depuis son smartphone, elle est bien celle qu'elle prétend être. Les pirates animés d'intentions frauduleuses ne sont jamais loin. Alors, comment protéger les consommateurs ? Aujourd'hui, le mot d'ordre : c'est la double authentification.
« Le plus simple, c'est de se baser sur la biométrie. Avec les téléphones d'aujourd'hui, on scanne son empreinte digitale ou son visage, qui nous permet déjà de nous authentifier pour débloquer le smartphone. C'est simple, rapide, sûr et quasi inviolable », explique Alexandre Cogné.
Ping Identity travaille aussi sur une identité décentralisée, appelée à devenir très bientôt réglementaire. La Commission européenne et l'État français veulent que les citoyens aient une identité numérique, de sorte que la carte d'identité, le passeport, le permis de conduire, mais aussi les dossiers médicaux, les diplômes universitaires et autres soient décentralisés dans un coffre-fort personnel. « Le tout sera approuvé par l'organisme qui fournit le document, par exemple l'État, l'université, l'Assurance maladie ou l'établissement bancaire », ajoute Alexandre Cogné, senior account executive.
Simplicité et sécurité : la biométrie au service d'une authentification sans effort
Lorsque vous vous rendrez chez votre médecin, il vous suffira de tendre le téléphone, et de quitter le cabinet. « Ce sont les personnes qui feront le geste de donner leur consentement pour que leur identité soit partagée ». On peut d'ailleurs faire le lien avec le fameux QR code du passe vaccinal pendant la pandémie de COVID-19. Et notre expert de poursuivre. « C'est la même chose : on passe d'un système où, avant, ce sont des entreprises qui identifiaient et stockaient les données, avec les risques que ça pouvait être de vol de données. Bientôt, à chaque fois qu'on réalisera une opération, on pourra montrer un QR code ou équivalent, en sachant bien à qui on partage nos données cette fois ».
Vous l'avez compris, l'idée de Ping Identity et de ses clients reste d'opérer la biométrie, et de n'imposer le processus qu'une fois par action. « Il y a un vrai aspect pratique, insiste Alexandre Cogné. Parce que si on ne l'a pas, il faut le faire via un code reçu par SMS ou e-mail, et ça équivaut à retaper des choses, à perdre du temps, avec le risque, qui plus est, de se tromper. C'est certes de la double authentification, mais le système est bien moins sécurisé et rapide que la biométrie ».
Où sont hébergés les data centers de Ping Identity, et comment s'harmonisent ses services avec ceux de ses clients ?
L'entreprise, qui ne voit aucune donnée personnelle des clients finaux, possède des data centers en Europe, à Dublin et à Francfort.
Lorsque vous vous connectez à une application bancaire, Ping Identity prend la forme d'une brique qui va ajouter une authentification forte au particulier. Le reste est construit par la banque, à laquelle Ping vient s'intégrer. Concernant les employés, ils disposent d'une application créée par l'entreprise, peut-être moins « sexy », mais qui apporte un peu plus de choses.
Quelles sont les menaces contre la double authentification, et quelle réaction en cas d'activité suspecte ?
Le secteur bancaire dans sa globalité reste soumis aux menaces cybercriminelles désormais historiques, comme le ransomware, le phishing ou les attaques DDoS. « Mais il y a de plus en plus de robots, de hackers qui créent de faux profils et qui essaient d'attaquer les comptes », ajoute Alexandre Cogné.
Des solutions existent contre la fraude. Ping Identity est par exemple capable d'analyser les menaces, pour comprendre d'où elles viennent et comment elles se manifestent, dans ce processus d'authentification. « On fait plusieurs choses : on vérifie d'où vient la demande, depuis Tor ou autre ; on analyse les mouvements de souris, la vitesse et l'endroit du clic, mais aussi s'il y a des hésitations ; la vitesse de frappe des touches du clavier », décrit l'expert d'identité numérique. Pour lui, tout le travail consiste à séparer les hésitations d'un client des mouvements de hackers. « Par exemple, si les pirates veulent se faire passer pour un nouveau client, pour ouvrir un crédit et qu'ils s'enregistrent en moins d'une minute, ça veut dire qu'ils ont déjà tenté de le faire beaucoup de fois avant ».
À la moindre suspicion ou comportement anormal, Ping Identity fait déclencher une nouvelle authentification forte. « Mais si l'on s'aperçoit qu'il s'agit d'un robot ou d'un réseau de pirates, on met immédiatement dehors la "personne" dès le début de la session, sans attendre que la transaction se fasse. C'est ce qui fait la différence », ajoute Alexandre. « Une fois que les utilisateurs sont enregistrés et que l'on connaît un peu leurs habitudes de connexion, on ne va pas leur demander de se réauthentifier automatiquement ».
L'authentification ne se déclenche ainsi que si la personne se connecte (ou s'il y a une tentative de connexion extérieure) en pleine nuit, en dehors des heures habituelles, ou dans des pays trop éloignés du lieu régulier de connexion. En somme donc, Ping Identity s'affaire à alléger l'expérience et le nombre d'étapes d'authentification, sans alléger la sécurité, faisant du secteur bancaire l'un des mieux protégés.