Rémi Pifaut est le responsable du département avant-vente de la société Keynectis, spécialisée dans la certifications de documents à la fois fixes et mobiles. Elle officie entre autres dans la gestion de certificats pour les citoyens français qui ont déclaré en ligne leurs impôts.
Alexandre Habian : Rémi Pifaut bonjour, plus d'un milliard de mobiles sont mis sur le marché chaque année. Combien sont compatibles avec les options de certification électronique que vous proposez ?
Rémi Pifaut : Quand nous parlons de certificats, pour arriver à ouvrir de nouveaux services comme l'authentification et la signature numérique sur mobiles, tous les terminaux du marché peuvent nativement les intégrer. Il n'y a pas besoin d'ajouter des besoins particuliers pour les prendre en compte mais il faut en revanche avoir une puce dédiée avec une capacité cryptographique pour les exploiter pleinement.
Il ne faut pas forcément disposer du dernier cri en matière de téléphone mobile. Cela se passe plutôt au niveau de la carte SIM. Aujourd'hui, nos solutions sont donc tout à fait compatibles avec des téléphones datant de plusieurs années : j'ai un collègue qui se sert d'un Ericsson T29 pour les démonstrations et pour ma part j'utilise un Palm Tréo 650. Les nouveaux téléphones du marché savent logiquement en faire de même.
Nos solutions exploitent de plus un canal qui a toujours existé par le grand public. C'est un moyen d'authentifier les utilisateurs et les propriétaires de mobiles à tout moment. Cela peut aller jusqu'à offrir de nouveaux services comme remplacer l'identifiant et le mot de passe nécessaires pour accéder à une page web par exemple.
La plupart des opérateurs mobiles veulent empêcher l'exécution de programmes non officiels sur leurs téléphones mobiles. Serait-il possible via ce moyen d'effectuer une telle action sur des mobiles d'entrée de gamme plutôt que sur des mobiles plus évolués comme des smartphones ?
Si nous voulons proposer un système de signature numérique à proprement parler, il faut rapprocher la signature de la personne qui l'a réalisée. Pour que cela puisse se faire, il faut utiliser un certificat numérique au nom du propriétaire de la carte SIM. C'est l'équivalent d'une carte d'identité numérique. Pour prendre un cas concret, si l'on se connecte sur un site Internet, je vais pouvoir recevoir la transaction à laquelle on me demande de m'authentifier, signer et ajouter à cette signature le certificat correspondant. La traçabilité entre le signataire et l'objet qui est signé se fait par le certificat. C'est ce que nous proposons notamment avec nos offres qui permettent de générer des certificats lorsque vous payez vos impôts sur le revenu sur Internet.
Vous avez lancé avec Experian et Valimo Wireless une expérimentation permettant de sécuriser les échanges de données de mobiles avec des fournisseurs de service en ligne (banques, entreprises). Quels sont les enjeux de cette expérimentation ? Comment fonctionne aujourd'hui la sécurité des services mobiles proposés par les banques ?
Dans l'expérimentation de Valimo en Turquie, nous utilisons le mobile comme un moyen d'engagement et de non répudiation pour les virements ou retraits d'argent. En fonction des différents pays du monde, la démocratisation des mobiles est également plus ou moins rapide. En France, si nous avons un parc de mobile très déployé, nous restons assez conservateurs au sujet des nouveaux services proposés. Aujourd'hui, le rôle du téléphone est d'arriver à renforcer les authentifications pour passer d'une authentification classique à la réalisation d'opérations plus sensibles : virement, signature, accord ou engagement d'achats.
Concernant l'usage bancaire sur mobile via notre expérimentation, on nous envoie par SMS un code de session pour authentifier un utilisateur sur une période donnée. Avec notre solution, l'utilisateur se connecte sur la page d'accueil du site bancaire puis reçoit un SMS ; il signe ce SMS pour valider son acceptation de la transaction ou connexion et dans la foulée accède aux services bancaires en ligne. Si je me fais voler mon téléphone, il faut d'une part le terminal physique et connaître le mot de passe de la carte à puce qui est un code PIN secondaire. C'est un degré supérieur en terme de sécurité.
Vous avez récemment proposé une solution pour certifier des documents Adobe PDF. Sera-t-elle prochainement disponible pour les mobiles ?
Oui dans l'absolu car avec notre nouveau système, nous sommes sûrs de l'engagement du porteur de la puce pour réaliser des opérations. Techniquement parlant, il est donc tout à fait possible de certifier de tels documents sur mobiles pour être sûr de la personne qui l'a rédigé.
Dans un premier temps, nous avons choisi un usage avec d'un côté le titulaire du téléphone et de l'autre des entreprises via un système C2B - consumer to business -. Éventuellement, nous proposerons cette solution également aux administrations qui ont des applications qui permettent d'utiliser ce genre de services.
Vous travaillez entre autres avec l'administration française pour gérer la certification électronique permettant l'accès à leur service en ligne. Des options comme des paiements ou alertes par SMS sont-elles également envisagées ? Dans ce cas, comment être sûr de l'expéditeur et de la validité des messages reçus ?
Comme cinématique d'usage pour répondre à cela, je verrais : mon mobile ou mon PC portable avec lesquels je me connecte sur un site Internet pour réaliser une opération. Et une fois connecté, je valide le paiement via la réception d'un SMS, ce qui n'empêche pas de recevoir un SMS d'information préalable pour penser à régler sa facture.
Comment percevez-vous le besoin des entreprises en matière de sécurité et de certification électronique sur des mobiles ? A partir de quand est-on passé d'un besoin d'application mobile à un besoin d'application "sécurisée" mobile ?
Dans le courant de l'année dernière, nous avons réfléchi à notre positionnement. Si nous faisons un point sur Keynectis qui est un opérateur de service de confiance nous pouvons fabriquer des certificats pour les impôts sur le revenu ou les télé déclarations. C'est une activité au delà de laquelle nous avons souhaité conforter notre positionnement par des services connexes. Comment simplifier les certifications de signature électronique ? Par la simple fourniture du service mais on nous avons travaillé surtout sur l'usage des certificats. Et nous avons vu que le mobile pouvait représenter une alternative pour répondre aux exigences d'authentification fortes à mettre en place sans équiper l'utilisateur avec du matériel spécifique.
Ces solutions pourront-elles à terme à être appliquées à d'autres produits comme des GPS autonomes ou des baladeurs multimédia ?
Pour l'instant, ça n'a pas été identifié comme un besoin important par nos services. Mais nous pouvons imaginer une complémentarité entre ces différents appareils. D'une manière ou d'une autre, ils pourraient de plus être équipés à plus ou moins long terme d'une carte SIM, ce qui les rendraient potentiellement compatibles avec nos solutions.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
