MobiTOOAL
La Solution MobiTooal® par Mediscs
MEDISCS propose de s’Authentifier et de Signer Electroniquement sur Internet avec son téléphone mobile
Le téléphone mobile est aujourd’hui dans toutes les poches et devient un des moyens
communiquant qui ne quitte plus leurs propriétaires. Il sert à téléphoner bien sûr, mais
aussi d’agenda, de console de jeux, de baladeur musical ou vidéo. La plupart
embarquent une machine virtuelle Java et permettent le téléchargement et l’exécution
de multiples applications.
Utiliser le téléphone comme moyen d’authentification n’est pas nouveau mais c’est en
général pour une authentification asynchrone par SMS ou MMS en OTP (One time
password, mot de passe à utilisation unique limitée dans le temps). Cette implémentation
permet une authentification certes renforcée mais elle ne permet pas la signature
électronique d’actes ou la présentation d’un certificat électronique et reste tributaire
des temps de transfert du SMS OTP.
La solution MobiTooal® permet d’utiliser le téléphone portable comme dispositif d’authentification forte (grâce aux certificats d’identités électroniques qu’il confine). MobiTooal® permet de proposer des services à valeur ajoutée (signature électronique, chiffrement, paiement en ligne...) qui sont basés sur le ou les certificats qui sont embarqués dans le téléphone portable.
Il s’agit essentiellement d’un projet qui concerne l’authentification sur les réseaux Internet avec un dispositif mobile (WAP).
La part de sécurité est primordiale dans le cadre de la MobiTooal®, et les techniques de sécurité utilisées sont stables et connues (cryptographie asymétrique). Le protocole d’authentification de bout-en-bout qui pallie les problèmes de sécurité des protocoles WAP a été breveté par Mediscs en décembre 2007.
C’est un projet qui s’inscrit dans le cadre de l’évolution des systèmes d’authentification et des réseaux mobiles. Les téléphones portables ont évolué très rapidement, ce qui permet d’avoir des technologies compatibles et exploitables par des services tiers (par exemple : sous JAVA). Par ailleurs, les certificats électroniques sont devenus une des technologies de référence pour l’authentification forte. Notre intérêt est de marier ces deux technologies pour avoir un dispositif d’authentification fiable qui permet de développer de nouveaux services.
Le fondement du projet est la capacité de lier deux appareils distincts utilisés par l’internaute (un terminal informatique et un téléphone portable), à une même session sur un serveur WEB.
Le navigateur initie la session sur le serveur, le procédé permet de lier en toute confiance le téléphone à cette session initiée par le navigateur.
Le téléphone contient un (ou plusieurs) certificat et une application dédiée qui connaît l’URL de connexion pour s’authentifier vers le site ou un serveur d’authentification. Le certificat d’authentification, le certificat du serveur et l’URL de connexion pour s’authentifier peuvent être préalablement enregistrés dans le téléphone, ou obtenus par une procédure spécifique automatisée. Le serveur Web est accessible par le WEB et le WAP.
L’utilisateur fait une demande d’authentification sur le site à accéder en authentification forte.
Par l’intermédiaire de l’application dédiée du téléphone, l’utilisateur saisit l’identifiant de session temporaire visualisé dans le navigateur et valide cette opération. En s’appuyant sur les certificats qu’il embarque, le téléphone crée et crypte un pack d’authentification qu’il envoie au serveur.
La mise en oeuvre est très simple puisque la très grande majorité des téléphones mobiles sont compatibles avec le logiciel Java à télécharger. Il s’installe aussi simplement qu’une sonnerie ou qu’un mini-jeu.
L’application Java va confiner les données sensibles comme le ou les certificats électroniques qui permettront l’authentification forte de l’utilisateur ou la signature électronique dans un coffre fort électronique Mediscs.
Cette application est également capable de dialoguer avec un container physique de certificat (puce cryptographique) pour lui déléguer les opérations de cryptage.
Une fois cette opération réalisée, il suffit alors de se connecter au site web auquel on veut accéder pour y être autorisé en authentification forte et réaliser toutes sortes d’opérations avec un niveau de sécurité très élevé.
Utiliser le téléphone comme moyen d’authentification n’est pas nouveau mais c’est en
général pour une authentification asynchrone par SMS ou MMS en OTP (One time
password, mot de passe à utilisation unique limitée dans le temps). Cette implémentation
permet une authentification certes renforcée mais elle ne permet pas la signature
électronique d’actes ou la présentation d’un certificat électronique et reste tributaire
des temps de transfert du SMS OTP.
La solution MobiTooal® permet d’utiliser le téléphone portable comme dispositif d’authentification forte (grâce aux certificats d’identités électroniques qu’il confine). MobiTooal® permet de proposer des services à valeur ajoutée (signature électronique, chiffrement, paiement en ligne...) qui sont basés sur le ou les certificats qui sont embarqués dans le téléphone portable.
Techniques mises en oeuvre
Il s’agit essentiellement d’un projet qui concerne l’authentification sur les réseaux Internet avec un dispositif mobile (WAP).
La part de sécurité est primordiale dans le cadre de la MobiTooal®, et les techniques de sécurité utilisées sont stables et connues (cryptographie asymétrique). Le protocole d’authentification de bout-en-bout qui pallie les problèmes de sécurité des protocoles WAP a été breveté par Mediscs en décembre 2007.
C’est un projet qui s’inscrit dans le cadre de l’évolution des systèmes d’authentification et des réseaux mobiles. Les téléphones portables ont évolué très rapidement, ce qui permet d’avoir des technologies compatibles et exploitables par des services tiers (par exemple : sous JAVA). Par ailleurs, les certificats électroniques sont devenus une des technologies de référence pour l’authentification forte. Notre intérêt est de marier ces deux technologies pour avoir un dispositif d’authentification fiable qui permet de développer de nouveaux services.
Dialogue sécurisé MobiTooal®
Le fondement du projet est la capacité de lier deux appareils distincts utilisés par l’internaute (un terminal informatique et un téléphone portable), à une même session sur un serveur WEB.
Le navigateur initie la session sur le serveur, le procédé permet de lier en toute confiance le téléphone à cette session initiée par le navigateur.
Le téléphone contient un (ou plusieurs) certificat et une application dédiée qui connaît l’URL de connexion pour s’authentifier vers le site ou un serveur d’authentification. Le certificat d’authentification, le certificat du serveur et l’URL de connexion pour s’authentifier peuvent être préalablement enregistrés dans le téléphone, ou obtenus par une procédure spécifique automatisée. Le serveur Web est accessible par le WEB et le WAP.
L’utilisateur fait une demande d’authentification sur le site à accéder en authentification forte.
- Le serveur génère un identifiant de session temporaire qu’il présente à travers le navigateur.
- Le navigateur indique à l’utilisateur de saisir cet identifiant sur son téléphone via l’applicatif embarqué.
- Le serveur (WEB) attend la prise de la session par le téléphone.
Par l’intermédiaire de l’application dédiée du téléphone, l’utilisateur saisit l’identifiant de session temporaire visualisé dans le navigateur et valide cette opération. En s’appuyant sur les certificats qu’il embarque, le téléphone crée et crypte un pack d’authentification qu’il envoie au serveur.
- Le serveur constate la prise de session par le téléphone, et renvoie les informations du certificat vers le navigateur.
- L’utilisateur visualise le certificat dans son navigateur, (*option : saisie d’un défi visualisé sur le téléphone) et le valide.
- Le serveur (WEB) renvoie au navigateur la page prévue après authentification. La réalisation de signature électronique de document est basée sur l’utilisation d’un certificat embarqué dans le téléphone.
- L’utilisateur visualise le document à signer dans le navigateur.
- Le document à signer est retiré par l’application dédiée du téléphone.
- Celle-ci signe ce document et le renvoie au serveur.
Mise en oeuvre
La mise en oeuvre est très simple puisque la très grande majorité des téléphones mobiles sont compatibles avec le logiciel Java à télécharger. Il s’installe aussi simplement qu’une sonnerie ou qu’un mini-jeu.
L’application Java va confiner les données sensibles comme le ou les certificats électroniques qui permettront l’authentification forte de l’utilisateur ou la signature électronique dans un coffre fort électronique Mediscs.
Cette application est également capable de dialoguer avec un container physique de certificat (puce cryptographique) pour lui déléguer les opérations de cryptage.
Une fois cette opération réalisée, il suffit alors de se connecter au site web auquel on veut accéder pour y être autorisé en authentification forte et réaliser toutes sortes d’opérations avec un niveau de sécurité très élevé.
« retour
Mediscs remporte l’Oscar des Paiements Innovants dans la catégorie
L’édition 2009 des Trophées INPI de l’Innovation a distingué la societé MEDISCS pour leur politique dynamique en matière d’innovation et de
propriété industrielle.
MEDISCS est présent au
L’objectif du projet ViSAM est de développer un système qui permet d’exploiter l’IGC dans des
dispositifs portables (téléphone, Smartphone,