Atelier EESTEL: « Le RGPD – deux ans après »

Atelier EESTEL:
« Le RGPD – deux ans après »

Atelier EESTEL : « Le RGPD – deux ans après »

RGPD – Règlement général sur la protection des données.
Cet atelier permettra d’échanger à propos de l’état de l’art en mouvement relatif à la gestion des données personnelles, deux ans et demi après la publication du Règlement Européen, et à l’heure où les confinements et le télétravail engendrent un nombre sans cesse croissant de données personnelles en jeu.

Les angles d’approche du sujet sont les suivants :

– Les usages avec des exemples dans trois secteurs et métiers : IoT, données de santé, hôtellerie,
– Les enjeux généraux et spécifiques,
– Le cycle de vie de la gestion des données personnelles et l’évolution continue de l’activité,
– Les métiers impactés par le processus et les difficultés d’une approche transverse multi-métiers.

Pierre CREGO

Pierre CREGO

ingénieur microélectronique

Pierre CREGO est ingénieur microélectronique, Co-fondateur de l’association EESTEL, fondateur de Mercury Technologies, société d’ingénierie en applications des transactions électroniques.
Pierre est expert reconnu des Paiements Bancaires, du sans contact (lecteurs et applications), du e / m-Commerce, des technologies des cartes multi-applicatives et de signature électronique. Il a travaillé à la conformité DSP2 SCA et monté des dossiers d’agrément d’établissements de paiements.
Il effectue des audits de sécurité et de protection des données IoT.
Il est « Lead auditor DPO « diplômé.

  • Etat du marché des IoT par grandes applications,
  • Architectures de service,
  • Enjeux de cybersécurité et de traitement des données,
  • Démarches de type sécurité by design,
  • Option : Référentiels génériques de certification type ANSSI

Me Nathalie Damiano, avocate spécialisée en données personnelles
et DPO déléguée de plusieurs structures
« Les données de santé : une mise en conformité difficile ! »

Me Nathalie Damiano

Me Nathalie Damiano

Avocate spécialisée en données personnelles

Maître Nathalie Damiano, Avocat depuis 1997, a co-fondé la société d’avocat Osiotès en 2013. Elle exerce son activité principale en droit des technologies de l’information, de la protection des données à caractère personnel, du travail, des contrats et de la responsabilité.
Elle est aussi déléguée à la protection des données externe pour certains de ses clients.
Elle est titulaire du mastère professionnel en management des données à caractère personnel de l’ISEP.
Elle enseigne, notamment, la protection des données personnelles à l’université Panthéon Assas, en Licence III.
L’expertise de Maître Damiano est sollicitée dans le cadre de missions de mise en conformité au RGPD, l’intégration du respect des droits des personnes, la validation de contrats, intégration de clauses spécifiques, la documentation dans le cadre de l’accountability.

  • L’explosion des IOT dédiés au « quantified self » a vu naître des données dont la qualification est aujourd’hui imprécise.
  • Requièrent-elles une attention particulière au regard du RGPD à l’instar des données de santé ?
  • Comment analyser leur sensibilité pour une mise en conformité ?

Jean-Michel Owono, expert EESTEL
« Retour d’expérience : le cas d’Accor Hotels »

Jean-Michel Owono

Jean-Michel Owono

Expert EESTEL, consultant

dans les domaines de la monétique et des moyens de paiement, Jean-Michel OWONO-NDI dispose d’une riche expérience. Il a pu contribuer à diverses missions dans la gestion et la mise en œuvre de projets stratégiques au sein de grandes entreprises bancaires (entre autres BNP, Natixis, Crédit Agricole, HSBC), et du retail (ACCOR Hotels).

1/ Problématique

Le RGPD ne vise pas uniquement l’aspect traitement des données au sein de l’entreprise, mais comportant en sus un volet crucial sur l’information communiquée aux clients lors de l’enregistrement des données personnelles, c’est bien toute la fonction et la procédure du check- in client qu’il convient d’auditer afin qu’elle intègre les informations obligatoires.

  • une multitude d’acteurs : salariés, emplois saisonniers, filiales, franchises, prestataires
  • un nombre important de données personnelles recueillies lors d’un check in
  • le nom, le prénom, l’adresse, l’adresse e-mail, le téléphone, le téléphone portable, le fax, l’âge, la nationalité, la situation de famille, le nombre de personnes composant le foyer, la nature de la réservation professionnelle ou personnelle, l’entreprise, etc. 

Une nouvelle approche clientèle : standardisation vs. personnalisation et l’utilisation des données personnelles pour permettre d’améliorer la personnalisation de l’offre hôtelière

 

2/ Enjeux

  • Le RGPD impose de sécuriser en interne les données personnelles des clients
  • Comment arriver à concilier ces ambitions contraires tout en étant en conformité avec le RGPD ?

3/ Quelles sont les réponses apportées par Accor Hotels aux défis auxquels sont confrontés les groupes hôteliers?

Eric Nizard, Expert EESTEL, LIC

“Axes méthodologiques de conduite d’une activité de mise et de maintien en conformité
d’une entreprise avec le RGPD »

Eric NIZARD

Eric NIZARD

Ingénieur ENSEEIHT

Eric NIZARD, Ingénieur ENSEEIHT, fait carrière dans le logiciel chez Thalès puis dans l’informatique chez PSA.
En 1990 il fonde LIC, société de conseil en systèmes et technologies du numérique, qu’il dirige aujourd’hui.
Eric a aussi présidé EESTEL de 2005 à 2019. Aujourd’hui il est administrateur du syndicat CINOV Numérique, Président de la FFSCN, Member of the Board du G9+.

  • Comment répartir et articuler le travail d’acteurs très différents ?
  • L’activité : conception et planification, mise en œuvre, vie quotidienne, audit

L’organisation de la matinée sera la suivante :

}

10:00 – 10:30

Vie de l’association,
réservé aux membres EESTEL
}

10:30 – 12:00

Présentations
}

12:00 – 12:30

Questions, débats,…

« La réunion aura lieu le 24 Novembre 2020, de 10:00 à 12:30 sous forme de visioconférence

Pour les non-membres d’EESTEL, nous proposons de participer gratuitement à une réunion thématique. Ensuite, nous proposons : soit d’adhérer à l’association, soit la participation payante à nos réunions ultérieures.
Merci de vous inscrire ici , pour recevoir les informations de connexion.

 info@eestel.com

 

Inscription réunion du 24 Novembre

11 + 8 =

La eSIM

La eSIM

La eSIM

L’évolution de la SIM vers la eSIM (Embedded SIM) a été le sujet de la plénière EESTEL du 14 octobre 2020 et a fait l’objet de trois présentations.

La eSIM

Après des décennies de vie de la carte SIM, la eSIM (Embedded SIM) est présente dans de plus en plus de smartphones et d’objets dans le contexte de l’IoT. L’évolution de l’industrie de la carte SIM classique à la eSIM a des conséquences sur toute la chaine de valeur des télécoms comme des transactions sécurisées.

Introduction de Thierry Spanjaard, Expert EESTEL  
« La eSIM, une transformation de l’industrie des transactions sécurisées »

Thierry Spanjaard

Thierry Spanjaard

Intelling, Expert EESTEL

Thierry Spanjaard dirige la société Intelling, une société de conseil spécialisée dans l’industrie des transactions sécurisées. Il fournit ses services dans les domaines de la communication, du marketing, de la stratégie et de l’intelligence économique à une clientèle internationale de petites et grandes sociétés. Il est également l’éditeur du blog Smart Insights.

Les premières cartes SIM datent des années 90. Historiquement, la carte SIM est le seul objet qui appartient à l’opérateur et qui lui permet de revendiquer son rôle et sa valeur ajoutée.
N’oublions pas que la carte SIM a été le principal vecteur de croissance du marché de la carte à puce sur plusieurs décennies.
La première démonstration de la Embedded SIM, un chip de carte SIM installé dans le handset et supportant des changements d’opérateur, a eu lieu au salon Cartes 2006.

C’est une réponse à plusieurs évolutions de nature différentes :

  • Miniaturisation et fiabilisation du matériel,
  • Réduction des coûts de production,
  • Faciliter le changement d’opérateur (sans changer de carte SIM).

L’arrivée de la eSIM induit des bouleversements pour les acteurs de la chaîne de valeur :

  • Arrivée des fournisseurs de handsets,
  • Changement de métier des encarteurs,
  • Perte de la relation client pour les opérateurs

Les opérateurs sont peu moteurs. Ceux qui poussent sont les fournisseurs de handset.
Le besoin étant plus facilement avéré et moins conflictuel dans le domaine de l’Internet des Objets, la normalisation GSMA s’est d’abord intéressé au cas des IoTs, avant le eSIM end user.
Dans la durée, les perdants sont les encarteurs et les opérateurs téléphoniques, alors que les gagnants sont les fournisseurs de handset ou de solutions d’IOT.
A noter le métier d’encarteur qui évolue vers celui d’opérateur gérant le provisioning des abonnements.

Jean-Christophe Tisseuil, consultant et ancien responsable du projet eSIM à la GSMA – eSIM : technologie et marchés

Jean-Christophe Tisseuil

Jean-Christophe Tisseuil

Consultant Ex-responsable du projet eSIM à la GSMA :

Jean-Christophe Tisseuil était jusqu’à très récemment Responsable du projet eSIM à la GSMA qu’il a mené avec succès puisque la technologie est disponible chez de nombreux industriels de premier plan. Avant cela, Jean-Christophe était Vice-Président de la branche télécom d’Idemia en charge de la stratégie, de l’innovation et du business développement. Jean-Christophe a également été responsable de la stratégie et du marketing produit de la SIM au sein du groupe Orange.
Aujourd’hui, Jean-Christophe est consultant et offre sa connaissance de l’écosystème, sa compréhension du marché et son professionnalisme reconnu à des entreprises leaders dans leur activité.
A l’origine, la eSIM est une initiative d’Apple et Gemalto en 2010.
Le marché se répartit entre les deux cas d’usages différents de la carte eSIM :

  • Machine to Machine (ou IOT).
  • End User.

M2M :

Dans le monde de l’internet des objets, la GSMA a publié la spécification en 2010. Les principaux drivers sont :

  • Fiabilisation / résistance physique du form factor.
  • Cas d’usage de l’automobile.

Dans ce contexte, la eSIM est opérée en mode dit Push : l’abonnement est géré à distance sans intervention humaine, dans la plupart des cas.

End User / consumer :

Dans le monde des utilisateurs de téléphones mobiles, où la spécification de la GSMA date de 2017, l’utilisateur est responsable de la gestion de son abonnement, c’est le mode dit Pull.
Aujourd’hui 160 opérateurs dont 3 français et des industriels de premier rang supportent la eSIM.
Pour l’instant solution mono SIM / un seul abonnement.
Évolution des spécifications  pour supporter la multi SIM.
Fonctionne sur la 5G
L’évolution vers la eSIM entraine une redistribution des cartes ; c’est un challenge pour tous les acteurs.

  • Les encarteurs deviennent prestataires de sécurité.
  • Les opérateurs perdent la relation client mais gardent la propriété du profil utilisateur chargé dans la carte eSIM.

Selon GSMA Intelligence, l’adoption à grande échelle de la eSIM va prendre encore deux à trois ans. 60% des Smartphones seront eSIM et 2.5 Milliards de Smartphones seront connectés par l’eSIM en 2025 (35% du total des smartphones connectés).

Pierre Lassus, Valid – eSIM : écosystèmes et retours d’expériences

Pierre Lassus

Pierre Lassus

Pierre Lassus – Global Directeur Software & Services – Valid S.A.

Pierre Lassus est directeur global des Software & Services pour Telecom & Paiement chez Valid. Il a rejoint Valid en Octobre 2016, après avoir oeuvré durant plus de vingt ans dans différents domaines technologiques au sein de sociétés comme Gemalto, Dassault AT, & Matra Sécurité.
Pierre dirige chez Valid une équipe en charge de développer et promouvoir des solutions digitales innovantes auprès d´institutions financières, d´opérateurs mobiles et d´acteurs clés des marches IoT et automotive.

La société Valid est fournisseur de plates-formes réalisant la gestion / téléchargement d’abonnements.

  • Le marché de la eSIM a représenté un CA de US$ 214 million en 2018, et est en croissance de 40% annuellement. Le marché est divisé en deux grands segments :
    • Consumers,
    • IOT / M2M.

    Ces segments correspondent à deux spécifications de la part de GSMA.
    En pratique :

    • Encore peu d’usage de la eSIM,
    • Réservée plutôt aux terminaux haut de gamme,
    • A noter l’apparition de smartphones supportant seulement la eSIM (ex. Motorola RZOR).

    Comment déjà mentionné précédemment, l’opérateur perd le contrôle du client final qui commandera ce que propose le fournisseur de smartphones.

Mode IOT :

Dans le mode IoT, il est nécessaire de mettre en œuvre une plate-forme qui gère les profils operateurs. La gestion des utilisateurs et des profils dans la eSIM est le fait du Subscription Management, divisé en deux parties : SM-DP (Data Preparation) et SM-SR (Secure Routing)

Toutes des décisions de connectivité sont prises de façon automatique (mode Push).
Forte problématique d’intégration et d’interopérabilité, ce qui a pour conséquence un ticket d’entrée élevé. La solution est adaptée à des acteurs importants de l’IoT (automobile) ou des déploiements nationaux.
A noter la nécessité d’un opérateur de boot-strap pour fournir la connectivité initiale.

Monde consumer :

L’utilisateur gère son abonnement en se connectant sur une plateforme de provisioning. La gestion des relations avec les réseaux est assurée par le Subscription Management, le SM-DP+ (Data Preparation +) gère la création et le stockage des profils, et la eUICC supporte un mécanisme normalisé pour charger ces profils (remote provisioning).
Pas de nécessité d’opérateur télécom de bootstrap – un accès internet, en Wifi par exemple, suffit.
La solution est simple à déployer.

Aujourd’hui, le parcours client a encore peu évolué. Les opérateurs ont mis en place le même schéma que l’on soit en SIM ou eSIM. Avec la généralisation de la carte eSIM, on peut anticiper la refonte des parcours clients vers plus de digitalisation. Cette évolution des parcours clients s’accompagnera de la mise en place d’un eKYC (identification de l’utilisateur) robuste.

Au-delà de la SIM et de la eSIM, supportées par la GSMA, SIMalliance, GlobalPlatform et l’ETSI, on peut envisager une évolution vers la iSIM, c’est-à-dire l’intégration des fonctionnalités de la SIM dans le baseband processor, en cours de normalisation. Au-delà, on peut imaginer une Soft SIM, où les fonctionnalités de la SIM seraient dans le cloud, aucune normalisation de ce concept n’est en cours à ce jour.

Et si l’épidémie covid-19 était le catalyseur du paiement mobile ?

Et si l’épidémie covid-19 était le catalyseur du paiement mobile ?

Et si l’épidémie covid-19 était le catalyseur du paiement mobile ?

Si l’épidémie Covid-19 a eu un impact positif sur l’économie, c’est bien sur le paiement dématérialisé ! Non seulement on se méfie des paiements en espèces potentiellement contaminées par le virus, mais la pandémie a favorisé un usage massif du paiement sans contact dans le Retail.

Dans le même temps, les efforts initiés depuis plusieurs années sur le paiement mobile convergent pour favoriser l’adoption du paiement mobile.

On n’aura rarement vu un tel alignement des planètes pour une adoption massive du paiement mobile par les consommateurs. Il est plus que temps pour les acteurs de s’y préparer !

e Coronavirus a été le déclencheur des nouvelles habitudes de paiement sans contact

En matière de paiements, les habitudes des consommateurs évoluent plutôt lentement. Si la première carte de paiement sans contact a été lancée par Banque Accord (filiale d’Auchan) en 2007[1], il a fallu attendre des années pour voir la part du sans contact passer à 30% en septembre 2019, et seulement quelques mois pour dépasser 65% en juin 2020 (source : étude BRI sur 10 pays européens) !

La guerre des Wallets universels aura bien lieu

Cela fait quelques années que les prédictions tablent sur un déploiement rapide du paiement mobile. Dans un contexte mondial, la puissance des xPay – et particulièrement d’Apple Pay – leur a donné une longueur d’avance sur des offres natives de « Wallet » universel, c’est-à-dire un portefeuille virtuel de cartes dématérialisées utilisable dans le Commerce. En France, les banques ont bien essayé de riposter avec l’offre « Paylib sans contact » mais le succès reste très mitigé…

Sur le plan technique, les xPay s’appuient sur la technologie de tokenisation de Visa et Mastercard. Après un enrôlement, la carte physique du payeur est cryptée pour générer un clone avec son identité propre. Ensuite, les services d’autorisation sont opérés par Visa (VTS) et Mastercard (MDES). Les banques se trouvent donc marginalisées tant sur le Wallet que sur les paiements eux-mêmes.

Pour reprendre la main sur le paiement et le mobile, les banques européennes créent le schéma EPI

En 2020, 16 banques ont annoncé le schéma de paiement EPI. Cette initiative basée sur le virement (SEPA Credit Transfer) se déclinera sous forme de cartes associées à l’IBAN du payeur, compatibles avec les équipements de paiement existants, et d’un Wallet mobile permettant un « Request To Pay » – un mécanisme standardisé permettant d’initier le paiement via l’open banking pour un transfert d’argent direct du payeur vers le bénéficiaire.

EPI pourrait voir le jour dans quelques années, offrant ainsi aux banques une alternative pour se repositionner sur l’offre de Wallet universel et les paiements.

En parallèle, les nouvelles obligations d’authentification forte du payeur se dérouleront sur mobile

Le SMS du 3D Secure pour valider un paiement à distance disparaitra fin 2020. En effet, la DSP2 européenne impose aux établissements de paiement de réaliser une authentification forte du payeur en toutes circonstances (sauf cas d’exemption). Les banques en profitent pour renforcer leur application de banque mobile étant donné que le smartphone contient tous les attributs nécessaires pour réaliser l’authentification forte : écran de saisie de code, espace d’exécution sécurisé et fonctions biométriques. Selon la Banque de France, 70% des clients seraient déjà éligibles avec leur smartphone.

Pour le consommateur, si l’épidémie Covid-19 a stimulé de nouvelles habitudes de paiement, tous les signaux sont au vert pour se laisser séduire par le paiement mobile.

La généralisation du paiement mobile transforme l’acte d’achat omnicanal

Les enjeux du paiement mobile sont majeurs puisqu’ils permettent de maitriser l’expérience client des paiements tant dans les magasins physiques que pour la vente à distance, et surtout de créer les expériences phygitales souhaitées par le Commerce.

Cette évolution va, à court terme, créer de nombreuses opportunités autour du Commerce :

Pour les banques et prestataires de services de paiement
Ces acteurs peuvent capitaliser sur les capacités de tokenisation des cartes bancaires sur mobile pour renforcer le lien client / commerçant – par exemple proposer des cartes digitales pour développer le crédit au consommateur (Exemple : Stripe issuing). Ils ont aussi intérêt à se positionner sur le schéma EPI et l’open banking pour préparer leur avenir.

Leur rôle consiste également à accompagner les marchands sur l’acceptance : lutte contre la fraude, interopérabilité des terminaux de paiement (cf. standards nexo), paiements alternatifs et méthodes asiatiques (Alipay/Wechat) afin d’offrir tous les services d’ingénierie de la transaction aux commerçants.

Pour les acteurs du Retail et du e-Commerce
Ces acteurs ont un besoin vital d’intégrer leurs solutions d’encaissements aux nouveaux parcours d’achat omnicanal sur mobile. Dans les commerces de proximité, l’acceptation sans contact est standardisée, mais lorsque le paiement se réalise avec un smartphone, l’outil peut être exploité pour proposer des services intuitu-personae, consentis (au sens RGPD[2])et géolocalisés : avantages fidélité, coupons, offres localisées, garanties, facilités de trésorerie ou de crédit, etc. Le paiement mobile devient le graal de la relation client !

Aussi, dans le monde ouvert du mobile, les marchands font évoluer leur marketing avec le paiement pour tirer parti des données collectées dans la relation d’achat (par exemple, une tokenisation de la carte pour faciliter des achats futurs – Card on File – ou l’intégration d’une carte de fidélité au Wallet du payeur), tout en garantissant la sécurité et en optimisant les coûts de traitement…

L’aventure du paiement mobile est bien lancée, c’est maintenant que l’avenir se prépare…

 

Toutes les marques citées sont la propriété de leur dépositaire respectif.

[1] L’auteur de cet article a accompagné Banque Accord et Mastercard sur le lancement de cette offre innovante.

[2] RGPD : Règlement Général sur la Protection des Données – une obligation réglementaire européenne

François Lecomte-Vagniez

Consultant indépendant Offre Digitale & Paiements 
www.lobary.com

La biométrie

La biométrie

La biométrie

La thématique de la biométrie a été l’objet de la plénière EESTEL du 29 avril 2020, et a fait l’objet de trois présentations :

La Biométrie

La biométrie prend une place grandissante dans l’environnement des transactions sécurisées. Elle apporte nombre d’avantages en termes d’identification et d’authentification. Aujourd’hui, les technologies biométriques les plus fréquemment rencontrées sont les empreintes digitales et la reconnaissance faciale, mais nombre d’autres approches sont également utilisées, par exemple : la voix, l’iris et la rétine, la forme de la paume, la démarche, la signature manuscrite, la frappe au clavier, les mouvements de souris, etc….
La biométrie est utilisée dans nombre de domaines : le contrôle d’accès physique et logique, l’identité, le paiement etc…

Le sujet a été couvert par les présentations suivantes

Introduction de Laurent Charpentier, expert EESTEL

 Laurent Charpentier

Laurent Charpentier

président EESTEL

Laurent Charpentier est banquier, et … évangéliste paiement mobile chez BNP Paribas.

Le panorama suivant est dressé :

Sur les smartphones, la biométrie (empreintes ou visage) devient incontournable car elle simplifie la vie de l’utilisateur. Or on ne peut plus qualifier ces nouvelles fonctionnalités : les Banques n’en ont plus le pouvoir, et même au niveau technique, il est difficile de certifier les TFA ou TVR annoncés de dispositifs intégrés dans un objet aussi complexe qu’un smartphone et sans des jeux de tests conséquents. En revanche ces systèmes ne posent pas de problèmes de « privacy » car locaux au smartphone.

 

Quelqu’un y voie une analogie avec des les systèmes OPT/SMS qui bien qu’imparfaits, se sont imposés !

La biométrie vocale ou comportementale (par exemple, rythme de frappe au clavier) n’avance pas. Cependant il faut noter que des sociétés des GAFA, par la connaissance des usages et habitudes des internautes, sont capables de détecter ou soupçonner des attaques et d’alerter les utilisateurs !

On annonce des cartes au format ISO dotées de capteurs d’empreinte, solution sans doute chère mais qui redonnerait peut être une possibilité de contrôle / certification !

Une autre tendance actuelle est que pour l’enrôlement, phase cruciale de l’ouverture d’un nouveau service, les clients préfèrent des solutions évitant le déplacement en agence, donc valorisent plutôt l’enrôlement virtuel, on-line.

Enfin la CNIL n’apprécie guère les systèmes biométriques centralisés, qui seraient justement utiles pour solutionner l’enrôlement on-line.

Présentation de Bernard Morvant, expert EESTEL

Bernard Morvant

Bernard Morvant

expert EESTEL

Bernard Morvant est consultant senior de la société de conseil Sofie et expert reconnu auprès des autorités gouvernementales pour des missions de programmes d’e gouvernement mettant en œuvre le développement de solutions d’identité digitale numérique et d’inclusion financière. Bernard a mené des missions dans différents pays africains tels que le Kenya, le Tchad, la Cote d’Ivoire, le Burkina Faso, le Gabon et le Mali. Présentement, il est conseiller du cabinet du Premier Ministre de l’état de Jamaïque pour leur programme national d’identité et de croissance économique. Après 30 ans d’implication dans les projets de technologies cartes et systèmes transactionnels appliqués au paiement et à l’identité, Bernard est membre « advisory observer »de la the Secure Identity Alliance Organization depuis décembre 2016.

L’expérience indienne (AADHAR)

est intéressante, car elle s’applique à une population nombreuse et qui part de zéro sur ces dispositifs et techniques biométriques. Il s’agit donc de doter plus d’un milliard de personnes d’une identifiant unique avec possibilité d’authentification par exemple par empreinte digitale (ou iris) plutôt dans une approche centralisée : l’identifiant peut être un code 2D sur une carte papier. Ce projet est devenu une référence mondiale pour les banques de développement telle que la Banque Mondiale pour faire progresser les états dans leur gestion de l’identité civile à travers la mise en place d’un identifiant unique de la personne et des services d’identification et d’authentification biométrique.

Un règlement européen de mai 2019 sur le renforcement (en complément d’eIDAS) concerne plutôt les cartes d’identité nationales et une approche commune de l’amélioration de la sécurité de ces documents en utilisant la technologie smart card et la biométrie. Il donnerait la possibilité d’utiliser les données biométriques ayant servies à la validation de l’identité de la personne et stockées de manière sécurisée en utilisant la PKI telle que définie par ICAO dans le chip de la carte pour initialiser des credentials dérivés dans un smartphone pour un enrôlement à une APP smartphone.

Il existe aussi un règlement international sur la privacy des données biométriques proposée par l’association biometrics institute basée à Londres et composé à la fois d’utilisateurs finaux étatiques et de représentants de l’industrie ; le document « privacy guideline comprend 15 principes et des recommendations d’implémentation pour encadrer la mise en place de solutions biométriques .

Voir les travaux de l’ISO sur le thème de la biométrie https://committee.iso.org/home/jtc1sc37

Une question est posée sur les problèmes liés à la biométrie centralisée, et la nécessité dans certains cas de modifier ou révoquer une donnée biométrique : par exemple après un accident, ou la plainte de quelqu’un dont l’empreinte aurait été imitée sur un faux doigt (attaque classique !).

Présentation de Stéphane Mouille

Société CLR Labs, Cabinet d’audit et de certification biométrie basé à La Ciotat et à Bruxelles.

Stéfane Mouille

Stéfane Mouille

Cabinet Louis Reynaud – CLR Labs

Stéfane est un expert senior international dans les domaines de l’identité numérique, de la cybersécurité, des règlementations européennes et des normes dans le monde numérique. Il est membre de groupes de travail de l’AFNOR, du CEN et de l’ETSI sur les méthodologies d’évaluation de la sécurité, la signature digitale, l’identité numérique, la biométrie et la cyber sécurité.
Stéfane Mouille est également le Chairman du comité sur la cyber sécurité et l’identité numérique de l’association Eurosmart, qui représente l’industrie de la sécurité numérique auprès de l’écosystème Européen. Il est aussi expert pour la Commission Européenne la révision de la directive sur la responsabilité produit et pour le groupe d’experts eCall.
Il travaille aujourd’hui pour le Cabinet Louis Reynaud – CLR Labs.

Il est rappelé que les passeports contiennent depuis 2006 la photo du titulaire dans leur puce.

D’une façon générale, concernant la biométrie, il est rappelé que l’approche biométrie > support > service se répand beaucoup plus que l’approche biométrie+ID>service (cf. le cas de l’Inde) et pose beaucoup moins de problèmes de déploiement et de risques d’atteinte à la vie privée.

La FIDO Alliance a défini un moyen de certification des dispositifs biométriques utilisés : https://fidoalliance.org/certification/biometric-component-certification/

La réglementation :

La société CLR LABS travaille sur ces aspects évaluation de la conformité et certification.

Il est rappelé par ailleurs que le problème de la révocabilité des empreintes digitales dans les systèmes où le contrôle est centralisé est un problème bien réel : une base de deux millions d’empreintes aurait été volée aux USA.

Carrefour a réalisé une expérimentation de la reconnaissance faciale depuis juin 2019 à Massy.

COVID-19 : EESTEL publie une synthèse sur les applications de « Contact tracing »

COVID-19 : EESTEL publie une synthèse sur les applications de « Contact tracing »

 COVID-19 : EESTEL publie une synthèse
sur les applications de «Contact tracing»

EESTEL publie un document de synthèse sur les projets d’app StopCovid, rédigé par Jean-Claude Paillès et Pierre Crego

EESTEL apporte sa contribution à un important débat du moment. Une fois passé le plus fort de la crise sanitaire liées au Covid-19, le gouvernement français a lancé le développement d’une application de traçage des contacts. Motivée par un objectif de santé publique, cette application pose des questions tout à la fois techniques et éthiques. Ces questions sont au cœur de l’action d’EESTEL, spécialisés sur les questions de sécurité et d’identité numérique.

Le document fait une synthèse des diverses pistes envisageables pour le développement d’une application de suivi de contacts dans le cadre de la pandémie de Covid-19. Il explore les deux approches : centralisée et décentralisée, et traite en particulier des aspects liés à la sécurité des données et à la vie privée. Le document a été réalisé par Jean-Claude Paillès et Pierre Crego, experts EESTEL.

Jean-Claude Paillès

expert EESTEL, ex-ingénieur R&D ORANGE-Labs dans les domaines monétique et sécurité, a mis à profit sa retraite pour mener des activités d’enseignement et recherche à l’université de Caen, de consultance, de développement logiciel et de participation à ces divers sujets aux groupes de travail EESTEL.

Pierre Crego,

expert EESTEL, directeur de Mercury Technologies, dispose d’une longue expérience dans les domaines des transactions EMV, du paiement mobile, de l’internet des objets, de HCE et BLE, et des applications pour les objets nomades. En tant que fondateur d’EESTEL, il est particulièrement actif dans les groupes de travail. » 

Le document est téléchargeable en utilisant le formulaire ci dessous :

Les champs sont obligatoires.
Toute saisie incomplète empêchera le traitement de votre demande, merci pour votre compréhension.

Formulaire - synthèse sur les applications de « Contact tracing »

11 + 6 =

La sécurité des téléphones mobiles

La sécurité des téléphones mobiles

La sécurité des téléphones mobiles

Le présent article est basé sur les présentations faites lors de la plénière EESSTEL du 11 mars 2020.

Aujourd’hui, le smartphone a pris une place centrale dans nombre d’aspects de nos vies.

il remplace en particulier les applications de la carte à puce. Les applis sont on-line en permanence et font transiter des volumes de données importants, ce qui donne à leurs opérateurs des capacités de monitoring des activités des utilisateurs.

La question se pose : comment sécuriser le téléphone mobile ? Depuis son origine, le téléphone mobile contient une carte SIM, qui est un élément de sécurité. On lui a désormais adjoint un Secure Element (SE) dans un certain nombre de smartphones, et on peut aussi considérer les solutions de sécurité basées sur des TEE ou du logiciel.

Jean-Claude Paillès,

Expert EESTEL, fera une présentation introductive, qui brossera les grandes lignes du sujet, ses opportunités et ses contraintes.

Stéphanie El Rhomri

Vice-Présidente Testing Service chez FIME, est intervenue en tant que board member de GlobalPlatform. Sa présentation a permis un tour d’horizon des solutions de sécurité GlobalPlatform dans les mobiles et donné des exemples de déploiement de solution sécurisée, y compris dans le domaine de l’IoT.
Stéphanie El Rhomri est Vice-Présidente Testing Service chez FIME. Elle est responsable de 10 laboratoires accréditées répartis dans le monde, laboratoires qui fournissent des services de test pour les industries du paiement, des télécoms et du transport. Auparavant Stéphanie a été responsable de nombreuses initiatives au sein de FIME dont les plus importantes ont été la création d’une équipe avant-vente internationale et le développement du portefeuille de solutions de test pour les secteurs du paiement et des télécoms. Elle est experte en test et certification, et elle contribue activement dans des groupes de standardisation et des schémas de certification, elle est membre du conseil d’administration de GlobalPlatform depuis 2015 et a été élue trésorière en 2017. Stéphanie est ingénieure diplômée de l’ENSEIRB Bordeaux et possède un advanced certificat en gouvernance d’entreprise de l’ESSEC Business School Paris.

Au cours des évolutions technologiques, les besoins en sécurité des smartphones ont évolué,
en particulier avec l’arrivée de la technologie NFC.

Pour la mise en place d’applications NFC, le besoin de Secure Element (SE) s’est fait sentir, soit dans le smartphone, soit dans la SIM, mais cela pose des problèmes de logistique. Une alternative a été proposée avec HCE, solution purement logicielle. Aujourd’hui, se développent les solutions de type TEE (Trusted Execution Environment) qui apportent une sécurité matérielle.

Le besoin de sécurité est de plus en plus complexe, du fait de la complexité des smartphones eux-mêmes, avec des OS représentant des millions de lignes de code, et des périphériques, la diversité des operating systems et des microprocesseurs. L’approche de type TEE permet de séparer la sécurité des applications de celle du baseband processor.

Des questions supplémentaires sont posées par l’évolution des OS, sous la forme de mises à jour. Et enfin, il convient de mettre en évidence pour l’utilisateur quand il est dans une environnement sécurisé et quand il ne l’est pas. Ceci mène à l’identification du besoin de certification de sécurité.

GlobalPlatform est une association crée en 1999, dont le rôle est de publier des spécifications de sécurité, qui s’est tout d’abord concentrée sur l’identité et le paiement. Depuis 2007, elle produit des spécifications sur le mobile, en particulier sur le Secure Element et le TEE. A partir de 2015, l’association a publié des spécifications pour les véhicules connectés, les weareables, etc. et, depuis 2019, sur tous les aspects de l’IoT. L’association compte 4 task forces : IoT, sécurité, Chine, Japon, ainsi que 4 comités et 20 workgroups, soit au total 2600 personnes, pour plus de 90 sociétés membres. Parmi les membres, on compte American Express, Apple, arm, Cisco, DNP, Gemalto, G+D, NXP, UL, Visa, Valid, Kaspersky, Alibaba, Feitian, Toppan, Rambus, etc….

Pour les service providers, la sécurité des téléphones mobiles signifie une complexité croissante : de plus en plus de devices, des acteurs nouveaux, les choix de SE, de processeurs, etc.

GP est impliqué dans la certification des composants sécuritaires, en montant un schéma de certification. L’approche qui prévaut aujourd’hui est « du secure component au device », considérant que le secure component est sous le contrôle du fournisseur d’application alors que le device est choisi par l’utilisateur.

Grâce à cette approche, toutes les cartes SIM aujourd’hui sont conformes aux spécifications de GP. A ce jour, 35 milliards de cartes SIM conformes aux spécifications de GP ont été produites.

Le principe du TEE connaît lui aussi le succès. Un milliard de TEE ont été déployés depuis 2018. Ce sont Knox, de Samsung (sur base Trustonic), Apple, Arm, Trustonic, Huawei, Qualcomm, … Le TEE apporte un niveau de sécurité intermédiaire : il utilise le processeur du mobile qui a plus de capacité de calcul que le SE. Lorsque GlobalPlatform considère un Secure Component, il s’agit de la combinaison hardware (SE ou TEE) et firmware et root of trust. Le management du TEE est plus complexe que celui du SE, il existe un TEE management framework. Le Root of Trust reflète le fait que le composant est produit de manière sécurisée, ainsi que l’injection de clés initiales.
Ceci met en évidence le besoin de certification. Aujourd’hui, 12 labos sont accrédités, il existe 20 test suites et 196 produits qualifiés.

L’évolution du eSE au integrated SE (chipset remplissant les fonctions de SE intégré dans le baseband processor), ouvre de nouvelles problématiques de production et d’utilisation. Un integrated SE (iSE) a le même niveau de sécurité qu’un SE, mieux qu’un TEE. IL n’existe pas à ce jour d’implémentation commerciale de iSE.

Le TEE peut être utilisé pour des applications biométriques, on peut considérer un TEE pour identification biométrique sous la forme d’API pour les développeurs d’applications.
GP propose une certification de sécurité, sur la base de l’ISO 15408, basé sur les critères communs, centré sur les attaques et les vulnérabilités. GP produit également une architecture de référence : Device Trust Architecture, qui s’appuie sur un SE ou un TEE.

La sécurité des téléphones mobiles