Avec l’intensification du commerce électronique, les solutions de paiement en ligne sécurisé se multiplient. Après les (trop rares) lecteurs Cyber-comm (voir édition du 12 avril 2000), le cryptogramme visuel (voir édition du 29 décembre 2000) ou encore le récent CVD (voir édition du 14 février 2001), Elva, société franco-américaine d’ingénierie, apporte, avec VocaliD, sa pierre à l’édifice de l’authentification des transactions en ligne. Cette carte à puce au format traditionnel (0,76 x 85,5 x 54 mm) repose sur le principe d’identification et d’authentification sécurisées à partir d’une… empreinte sonore. En effet, l’effleurement d’une touche sensitive déclenche un son qui permet au serveur d’identifier la carte de manière unique.
Une séquence sonore couplée à un code PIN
L’authentification est assurée par un cryptogramme variable calculé, à chaque connexion, à la fois par le serveur et par la puce de la carte de façon synchrone. Le calcul du cryptogramme s’appuie sur une clé secrète et sur la séquence émise lors de l’utilisation précédente (sauf pour la première utilisation qui utilise uniquement la clé secrète). Ce nouveau calcul systématique met ainsi en échec l’utilisation éventuelle d’une séquence interceptée précédemment. Une fois l’authentification effectuée, l’utilisateur tape un code secret (code PIN) qui peut être modifié en ligne. Une sécurité supplémentaire qui interdit toute utilisation de la carte en cas de vol (sauf si le « voleur » contraint l’utilisateur à lui communiquer le code, mais on se retrouve dans le même cas que pour une carte bancaire classique). Quant à la séquence sonore, qui ressemble à l’émission d’une porteuse de fax ou de modem, elle dure moins d’une seconde et est émise en boucle sur une modulation FSK (Frequency Shift Keying) à 250 bits/s, plus rapide et moins sensible aux nuisances environnantes que le DTMS (Dual Tone Multifrequency Signaling), selon Elva.
Concrètement, le porteur d’une carte VocaliD compose le numéro de téléphone du serveur, déclenche la séquence sonore de la carte, tape son code PIN et effectue ses transactions. Dans le cadre d’un achat en ligne, il faut bien sûr avoir été identifié auprès d’un tiers de confiance, qui sert de lien entre le commerçant et l’acheteur dont il possède les coordonnées bancaires (sur une plate-forme qu’on espère sécurisée). Outre le renforcement de la sécurité (puisque le numéro de carte bancaire à 16 chiffres ne circule pas en ligne), VocaliD présente l’avantage de pouvoir être utilisé à partir d’un téléphone, fixe ou mobile, comme d’un ordinateur, équipé cependant d’un micro. Le serveur ne nécessite aucune autre modification que l’installation des logiciels VocaliD (réunis sous l’appellation AXS). Côté client, l’utilisateur doit simplement installer le plug-in VocaliD sur son navigateur. La carte est alimentée par une pile spéciale d’une durée de vie de 3 000 utilisations ou 3 ans. La solution VocaliD ne requiert pas de changement d’infrastructure ni de lecteur spécifique et peut donc se déployer rapidement sur toute la planète. Elva commencera ses tests publics en avril prochain avant de commencer la commercialisation massive en 2002, simultanément en Europe, aux Etats-Unis et en Asie.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…