lundi 30 juillet 2012

SAPPhire

SAPPhire n'est pas une application SEPAmail malgré son nom de pierre précieuse.
SAPPhire est une proposition fonctionnelle simplifiée autour de l'authentification.
SAPPhire dépasse donc largement le projet SEPAmail même si :
  • SAPPhire utilise dans son échange d'information des messages SEPAmail,
  • SEPAmail peut utiliser SAPPhire (plutôt en extension de norme) pour permettre l'authentification à distance d'un utilisateur sur une interface, par exemple depuis son smartphone.

SAPPhire concrètement, ce sont des niveaux pour simplifier la compréhension

SAPPhire propose trois niveaux différents :
  • SAPPhire 1 est une authentification simple à un facteur SAPPhire
  • SAPPhire 2 est une authentification forte à deux facteurs SAPPhire
  • SAPPhire 3 permet les conditions de la signature numérique présumée fiable
Ainsi :
  • SAPPhire 1 permet la consultation de messages
  • SAPPhire 2 permet des actions qui engage le client (par exemple un virement ou l'envoi d'un courriel)
  • SAPPhire 3 permet de signer un document
Les facteurs SAPPhire ne sont pas nombreux  mais pourront dans le futur augmenter en nombre :
  • un certificat logiciel installé sur l'environnement local de confiance protégé par un PIN
  • un certificat matériel en présence de l'environnement local de confiance
  • un certificat matériel protégé par un PIN
Bref, l'idée derrière SAPPhire, c'est qu'au delà de la complexité portée par la cryptographie et l'authentification, une ergonomie utilisateur est possible tout en respectant l'état de l'art, les directives nationales et européennes.
Il devient possible, en adoptant SAPPhire massivement, de dire le niveau SAPPhire de chacune des fonctions demandées par un service métier.
L'infrastructure, la sécurité et, plus généralement, les services informatiques des entités économiques pourraient alors proposer le support des niveaux SAPPhire plutôt que de devoir inventer à chaque nouveau projet le cadre d'intervention de l'authentification.

La petite histoire

Voici la petite histoire, celle qui explique la confusion pour certains autour de SAPPhire.
SAPPhire a été décrit au début comme l'application SEPAmail permettant d'échanger des éléments de sécurité, notamment des clés publiques.
L'eco-système secure a été inventé et associé à SAPPhire puisqu'il contient les messages d'échange d’éléments de sécurité.

Le premier démonstrateur

Dans le cadre de SEPAmail, un premier démonstrateur smartphone a été mis en œuvre par le groupe BPCE et les sociétés AriadNext et StreamMind démontrant qu'un utilisateur de smartphone pouvait s'authentifier à un service bancaire sans à avoir à passer par l'agence et sans forcément devoir recevoir un certificat matériel personnalisé.
Ce démonstrateur repose sur une application Android téléchargeable depuis son dépôt certifié. L'application :
  1. s'installe
  2. génère un biclé logiciel,
  3. génère un code PIN protégeant l'accès et le stockage de ce certificat
  4. envoie la clé publique à un serveur bancaire à l'aide d'un message SEPAmail sur le réseau IP (non sécurisé)
  5. cette clé n'est activée que lorsque l'utilisateur demande cette action sur un DAB/GAB avec une authentification forte grace à sa carte de retrait ou sa carte bancaire et elle ne l'est que pour le téléphone enregistré
  6. le biclé peut alors être utilisé dans le cadre d'une authentification à distance
SAPPhire 1 était ainsi né et une idée assez originale et élégante est venu de la rencontre entre les différents métiers de la banque (juridique, flux, authentification, moyens de paiement : utiliser le DAB et son authentification pour valider, par rebond et sur un autre canal, le niveau d'authentification de la carte bancaire.

Le deuxième démonstrateur

Les possibilités de trouver sur le marché des jetons cryptographiques matériels se connectant facilement à un smartphone et peu cher ont donné l'idée du deuxième démonstrateur, réalisé par le groupe BPCE et la société AriadNext : connecter l'application déjà développée avec un certificat matériel pour augmenter le niveau de sécurité et permettre deux nouveaux niveaux : SAPPhire 2 et SAPPhire 3.
Le démonstrateur a été réalisé avec des cartes NFC dont une de paiement et à démontré l'ergonomie possible pour l'utilisateur final des niveaux SAPPhire.
Les trois premières étapes du démonstrateur précédent ont donc été adaptées à un biclé matériel.

SAPPhire : quel avenir ?

SAPPhire est une simplification réelle d'un domaine devenu trop technique et trop complexe pour être réellement utilisé correctement par les éditeurs, les développeurs et les concepteurs de solutions logicielles utilisant largement de l'authentification à distance.
Si SAPPhire est compris et adopté comme un standard fonctionnel de spécification de l'authentification, alors les discussions vont aussi devenir plus simples autour de tous les standards utilisant l'authentification.
Gageons qu'un des géants du web ou une communauté amenée à s'imposer internationalement comme SEPAmail comprendra et utilisera SAPPhire.

Aucun commentaire: