S’identifier en toute sécurité avec son téléphone mobile… C’est la promesse d’itsme, cette application mobile d’identité numérique belge dévoilée en grande pompe ce 30 mai 2017. Avec itsme, apprend-on, il est désormais possible de s’identifier partout à l’aide d’un mot de passe unique et de son téléphone mobile. Cette promesse n’est pas sans rappeler celle de la solution Mobile Connect, qui existe déjà à l’étranger depuis 2013 et qui a également pour vocation d’offrir à l’utilisateur un moyen d’authentification universel sécurisé à partir du téléphone de l’utilisateur.

À l’ère où le consommateur considère de plus en plus le lecteur de cartes comme un outil qui a fait son temps et où le marché est de plus en plus inquiet face aux risques de fraudes et de piratage, il n’y a rien de surprenant à voir émerger plusieurs réponses similaires aux besoins de simplicité et de sécurité. En revanche, il est intéressant de constater que l’opérateur mobile qui implémente Mobile Connect en France est également l’un des membres-fondateurs de Belgian Mobile ID (1) (voir note de bas de page), la société derrière… itsme. Les deux solutions semblent bel et bien liées… Mais quelles similarités et quelles différences peut-on donc faire entre elles ?

Une question de “profondeur” de communication

Les deux solutions mettent en avant l’utilisation de la carte SIM du téléphone comme une valeur ajoutée à la sécurité. Cependant, Mobile Connect et itsme sont de natures différentes. itsme est une application mobile capable de communiquer via Internet avec des serveurs applicatifs et la carte SIM, tandis que Mobile Connect est une applet qui tourne exclusivement dans la carte SIM – avec laquelle les partenaires de Mobile Connect peuvent communiquer mais sans interagir avec une application locale. Cette différence fondamentale a de nombreuses conséquences, tant du point de vue de l’expérience utilisateur que de celui de la sécurité.

Tout d’abord, parce qu’elle “tourne” dans la carte SIM, Mobile Connect ne peut communiquer qu’avec la SIM et n’a pas de véritable accès au système d’exploitation.

itsme étant une application mobile internet, elle peut communiquer naturellement avec le système d’exploitation et en retirer des informations impactant la sécurité : sommes-nous toujours sur le même appareil que celui où le compte a été créé, le téléphone est-il “rooté/jailbreaké” (c’est-à-dire sommes-nous dans la configuration sécurisée par défaut ou non), la version du système d’exploitation présente-t-elle des failles de sécurité répertoriées, y a-t-il une cohérence entre les données et l’état de l’application, etc. ?

C’est principalement pour compenser ce manque d’interaction avec les applications et le système d’exploitation que l’interface utilisateur de Mobile Connect est supposée être gérée entièrement en dehors du système d’exploitation du smartphone. Cependant, il appartient aux fournisseurs de smartphones d’implémenter cela ou non, ce qui n’est pas vérifié dans la pratique. En l’état actuel, cette interface ne contient donc aucune sécurité additionnelle par rapport au système d’exploitation. Ce manque de standardisation diminue le contrôle sur les vulnérabilités et fragilise la sécurité de l’interface dans laquelle l’utilisateur rentre son PIN.

De son côté, l’interface d’itsme contient un grand nombre de mesures de sécurité additionnelles – développées en étroite collaboration avec Approach et Gemalto qui est l’un des fondateurs et le premier fournisseur de technologie de Mobile Connect. Elle est en outre adaptée en permanence selon les évolutions des attaques et de la technologie.

Eviter les mauvaises surprises

En particulier, ce contrôle sur l’interface permet de contextualiser en temps réel ce qui s’affiche sur l’écran où l’on rentre son PIN. Sur cet écran, itsme indique non seulement à l’utilisateur qui lui demande de s’authentifier et dans quel contexte, mais aussi quelles informations d’identité il est sur le point de partager.

Ce principe, appelé WYSIWYS (pour “What You See Is What You Sign”), apporte la garantie que l’utilisateur peut prendre connaissance de ce qu’il approuve au moment précis où il le fait, et s’inscrit entièrement dans l’esprit de la future réglementation européenne en matière de protection des données (GDPR).

Mobile Connect doit, elle aussi, proposer une interface utilisateur la plus uniforme possible, indépendamment du téléphone et du fournisseur. Cependant, les SIM applets (voir note de bas de page) ont très peu de marge de manœuvre sur la manière dont s’affichent les informations, précisément parce que c’est le système d’exploitation qui contrôle cet affichage. Avec tous les modèles de smartphones et autres anciens GSM d’ancienne génération en circulation (en particulier ceux qui présentent de petits écrans), il devient impossible de garantir l’uniformité d’une interface un tant soit peu détaillée.

Pour ces raisons, sans doute, l’interface de Mobile Connect est réduite à sa plus simple expression: un champ pour rentrer sans PIN. Si cela permet de s’assurer que l’utilisateur s’y retrouve, quel que soit le téléphone et le fournisseur, l’utilisateur n’a pas conscience de ce qu’il approuve en entrant son PIN et ceci introduit un risque d’approbation d’une action non consentie.

D’un point de vue plus technique, la plupart des cartes SIM déployées ont des limitations très fortes quant aux algorithmes de chiffrement. itsme souffre nettement moins de cette limitation puisque l’utilisateur saisit son code PIN dans l’application mobile qui, elle, a accès à toute la panoplie d’algorithmes possibles et utilise les algorithmes les plus reconnus et les mieux adaptés.

Enfin, l’application itsme peut évoluer beaucoup plus rapidement que l’applet Mobile Connect parce que la taille importante de cette dernière empêche les mises à jour à travers le réseau GSM. Aucun opérateur n’ayant implémenté l’accès Internet depuis l’application Mobile Connect, une mise à jour à travers le réseau de données cellulaires n’est pas possible.

Et de surcroît, une mise à jour de l’applet effacerait toutes les données et nécessiterait une réinscription du propriétaire.

Rendons à César ce qui est à César: la solution Mobile Connect était indéniablement une avancée dans la sécurisation de notre monde digitalisé. Le niveau de protection élevé de la carte SIM, même limité au niveau des interactions avec les applications, était réel.

Le nouveau venu itsme l’a compris et tire également parti de cet élément de sécurité, tout en rajoutant le confort et la sécurité propres aux applications mobiles.

Article signé par Marc Stern, Cyber Security Consulting Director chez Approach (avec la participation de Stéphane Vercouillie, Cyber Security Consultant chez Approach)

A lire également ces deux articles parlant des deux solutions dont il est question plus haut:

• Approach: l’un des acteurs derrière Itsme

• Elegio: vote sécurisé via… smartphone

__________

1. Le consortium Belgian Mobile ID constitué de 4 banques (Belfius, BNP Paribas Fortis, KBC et ING) et de 3 opérateurs (Proximus, Orange, Base/Telenet)  [ Retour au texte ]
2. Applets: mini-applications tournant dans une carte à puce [ Retour au texte ]