« Contrairement aux mots de passe, le code Mobile Connect est stocké uniquement sur la carte SIM, dans un coffre-fort qui a le même niveau de sécurité qu’une carte bancaire. »
Serge Llorente, Directeur du projet Mobile Connect chez Orange, fait le point sur l’état de l’art en matière d’authentification et d’identification d’un client ou d’un utilisateur sur une plateforme de services. Mots de passe complexes, identification à deux facteurs, biométrie, clés physiques… Chaque technologie a ses forces et ses faiblesses. La solution Mobile Connect, qui conjugue le secret du code PIN et la possession du « coffre-fort » qu’est la carte SIM du téléphone, possède des atouts majeurs dans la course à la méthode préférée d’authentification.
Dans un monde qui est maintenant presque totalement numérisé, il est indispensable de trouver une alternative absolument fiable au face-à-face qui fondait la relation entre un organisme avec un client ou un utilisateur. Comment trouver la meilleure façon de s’identifier sans se voir ni s’entendre ? Prouver qu’on est la bonne personne pour le service demandé. La confiance est le nœud gordien du développement harmonieux des échanges, et pour la garantir, la solidité de l’identité numérique est primordiale.
Il y a actuellement trois façons de s’authentifier, c’est-à-dire de prouver que l’on est bien la personne habilitée à accéder à un service. En donnant une preuve de ce que l’on sait, de qui l’on est, ou encore de ce que l’on a. « Ce que je sais », c’est un secret connu de moi seul, classiquement le mot de passe. Mais un mot de passe est relativement facile à usurper de nos jours. On peut rendre de telles attaques plus difficiles en ajoutant un facteur supplémentaire d’authentification. Par exemple « qui l’on est », c’est la biométrie. Le dernier levier est « ce que l’on a », c’est un objet physique en sa possession, comme un smartphone, qui peut permettre de s’authentifier.
Orange travaille sur cette solution, mais elle doit être considérée comme une facilité offerte à certains clients ‒ ceux qui sont déjà équipés d’un lecteur biométrique ‒, et non pas comme une solution universelle. Ceci pour deux raisons : d’une part, l’identité de l’empreinte digitale ou de l’iris peut être piratée ‒ on a vu très vite les « faux pouces » ouvrir les premiers smartphones biométriques ‒, et d’autre part, la biométrie suppose que l’utilisateur investisse dans un lecteur spécifique. La fluidité de l’identification est essentielle. Les gens ne sont pas prêts à se déplacer avec un appareil supplémentaire comme un lecteur biométrique ou une clé USB spécifique. Autre aspect problématique de la biométrie, le vol d’identité. Cela a un prix pour le hacker, mais si l’enjeu est intéressant, l’empreinte biométrique sera volée et les conséquences seront dramatiques pour la personne qui sera privée de son identité.
L’authentification à deux facteurs des solutions de paiement conjugue un mot de passe et un numéro unique envoyé sur le téléphone, non codé et donc piratable. Avec Mobile Connect, l’authentification ne vient pas d’un message texte. Le client qui effectue un achat ou qui doit s’authentifier auprès d’une administration va se voir invité, depuis le site où il se trouve, à cliquer sur l’icône Mobile Connect. Un pop-up s’ouvre alors sur son téléphone dans lequel il va entrer un code secret qu’il a défini une fois pour toutes et qui est enregistré de façon cryptée sur sa carte SIM. L’opérateur renvoie au commerçant le résultat de l’authentification afin qu’il ouvre l’accès au service. Contrairement aux mots de passe, même très élaborés, qui se trouvent stockés en base sur une plateforme, le code Mobile Connect n’est stocké que sur la carte SIM, dans un coffre-fort qui a le même niveau de sécurité qu’une carte bancaire. La carte SIM se bloquera après quelques essais infructueux en cas de vol de l’appareil.
Actuellement, les salariés d’Orange utilisent Mobile Connect pour s’authentifier sur leur store mobile. Fin octobre, ce sont tous les clients d’Orange qui pourront l’utiliser pour s’authentifier sur orange.fr. Mais Mobile Connect, c’est aussi depuis novembre 2017, un système d’identification (et non plus seulement d’authentification) à part entière. On passe de l’authentification à l’identification en s’assurant de l’identité du client au sens le plus fort qui soit, c’est-à-dire à partir du scan (une fois et une seule) d’une pièce d’identité et d’un « selfie ». Ce système d’identification est d’ores et déjà proposé aux usagers des 378 administrations qui participent au programme gouvernemental FranceConnect. La plateforme numérique FranceConnect, qui met en relation les utilisateurs/citoyens avec les services publics, leur permet de s’identifier par la méthode de leur choix, dont Mobile Connect et moi. Un décret publié depuis le 15 novembre 2018 permet à présent à des acteurs comme les banques, les assurances et les sociétés de services de proposer l’identification via FranceConnect. Enfin, des discussions sont bien avancées avec les autres opérateurs afin qu’ils proposent eux aussi la technologie de Mobile Connect. C’est la condition clé pour que cette solution devienne un standard.
