Mobile Connect vers la fin du mot de passe ?

Après Google Connect, Facebook Connect ou encore Linkedin Connect (pour ne citer que les plus répandu), voici Mobile Connect proposé par GSMA.

Qui est GSMA ?

GSMA (Groupe Speciale Mobile Association) est une association qui représente 850 opérateurs de téléphonie mobile à travers 218 pays du monde. De plus, elle compte parmi ses membres 200 fabricants et autres industriels du secteur travaillant sur la famille des standards de réseau mobile GSM et dérivés (UMTS et LTE).

Aussi, voici les grands sujets sur lesquels elle travaille ainsi que ses objectifs:

Les données personnelles
- Devenir le « gardien » des données des consommateurs
  - Développer un système d’authentification global (utilisable à l’échelle mondiale) basé sur la carte SIM et les technologies du Web.
- L’internet des objets
  - Connecter le monde numérique au monde physique
    - Développer une SIM pour l’internet des objets
    - Définir les exigences du réseau pour l’internet des objets
  - Le commerce numérique
    - Construire et rendre disponible un écosystème de commerce numérique
  - Le réseau de demain
    - Créer un réseau pour des services sécurisés et intelligents
      - Mettre en œuvre une norme de QoS
      - Faire que les communications IP soit un service « natif » des opérateurs

De quoi on parle avec Mobile Connect ?

« Mobile Connect est conçu pour simplifier la vie des consommateurs en offrant une solution d’authentification, basée sur le téléphone mobile, unique et de confiance qui résout les problèmes de vulnérabilité des mots de passe en ligne, tout en respectant également la vie privée en ligne », a déclaré Anne Bouverot, directrice générale de la GSMA. « Le secteur a réalisé d’importants progrès dans le déploiement du service sur l’ensemble du pays, donnant ainsi aux utilisateurs un contrôle sur leurs propres données et permettant aux consommateurs, aux entreprises et aux gouvernements d’interagir et d’accéder à des services en ligne, dans un environnement pratique, privé et de confiance »

Mais encore ?

Mobile Connect a pour objectifs :

D’utiliser les téléphones mobiles comme facteur d’authentification
De répondre à de nombreux cas d’usages
D’adapter le niveau de sécurité en fonction du cas d’usage
De laisser l’utilisateur maitre de ses données
De mettre en place un système cohérent à travers les opérateurs et les régions du monde
D’être un point unique d’intégration entre les fournisseurs de services et les utilisateurs

Quels sont les cas d’usage adressés par Mobile Connect ?

Voici quelques exemples de cas d’usage pour bien percevoir l’étendue des possibilités que peut offrir Mobile Connect :

S’authentifier à des services en ligne ou mobile (comme des divertissements, les réseaux sociaux et bien d’autres)
Accords et permissions en ligne (e-commerce, voyage, … [Accorder des transactions, autoriser des transferts])
La sécurité en entreprise (S’authentifier pour l’ouverture d’un VPN ou pour accéder à des applications)
Au niveau bancaire (s’authentifier, approuver des transferts et des paiements en ligne)
eGourvernement (s’authentifier sur des services publics)

Les bénéfices ?

Après la présentation de Mobile Connect qui vient d’être faite, certains bénéfices sont évidents mais prenons le temps de les lister.

Les bénéfices pour les consommateurs :

L’utilisation des mots de passe n’est pas la meilleure solution pour l’expérience utilisateur
- Sur notre blog, nous parlons souvent des moyens d’éviter de se souvenir de tous les mots de passe
Le mot de passe n’est pas un mécanisme d’authentification sûre
- Il existe bien trop d’exemples pour tous les citer.
De plus, les consommateurs se sentent concernés par l’utilisation qui est faites de leurs données personnelles
- Aujourd’hui qui veut se vanter d’avoir la main sur ses informations personnelles exposées sur le Web.
- Il existe un vrai manque de transparence sur la manière dont sont stockées et utilisées nos informations personnelles sur les services en ligne

Les bénéfices pour les fournisseurs de service :

Moins de frustration de l’utilisateur sur la nécessité d’un nouveau mot de passe à chaque nouveau service
Plus de sécurité, le fournisseur de service n’a plus besoin de stocker les mots de passe
Moins de faux comptes. Il doit y avoir une vraie personne derrière son téléphone
Implémentation de beaucoup de cas d’usage possible
Utilisation simple via des API et des standards

Et sinon comment ça marche ?

Tout cela semble prometteur mais l’article ne pouvait se terminer sans une présentation de ce qui se cache derrière tout cela.

Le schéma suivant permet d’avoir une première idée des piliers sur lesquels reposent Mobile Connect :

Un « module » nommé Identity GateWay permet les interactions entre le fournisseur de service et l’opérateur mobile (MNO : Mobile Network Operator). Le standard OpenID Connect est utilisé pour ces interactions (Pour plus d’informations sur ce standard rendez-vous ici).
Un « module » nommé Authentication Server permet les interactions entre l’opérateur mobile et le consommateur avec son mobile. Les standards développés Fido Alliance sont utilisés pour la partie authentification (Pour plus d’informations sur ces standards rendez-vous ici)

En conclusion, Mobile Connect semble prometteur et est en phase pilote dans de nombreux pays dont la France avec les opérateurs Oranges et Bouygues Telecom. Reste à voir si la solution sera adoptée par les fournisseurs de services et les consommateurs.

http://www.gsma.com/

http://www.w3.org/2012/webcrypto/webcrypto-next- workshop/papers/webcrypto2014_submission_39.pdf

http://www.gsma.com/oneapi/wp-content/uploads/2014/06/David-Pollington-OneAPI-seminar-MAE-June141.pdf

Aurélien

Consultant Sécurité

Vous devriez également aimer

Audits, Pentests, Open Source Intelligence…Découvrez David, expert cybersécurité, Tech Lead Auditor

Sign&go Mobility Center

SYNETIS Afterwork Paris

Comment identifier, classifier, et sécuriser vos données sensibles ?