IBM Research et VASCO présentent un prototype pour des solutions de banque en ligne plus sécurisées

English | French

Paris-Nord Villepinte, FRANCE—17 Novembre 2009: À Cartes 2009, IBM et Vasco Data Security International, Inc., société leader de logiciels de sécurité, spécialisée dans les produits d’authentification forte et IBM Business Partner, ont fait la démonstration d’un prototype combinant la technologie de sécurité d’IBM avec l’expertise de l’appareil d’authentification de VASCO, augmentant ainsi le niveau de sécurité aux utilisateurs de banque en ligne.

L’appareil est basé sur la technologie Zone Trusted Information Channel (ZTIC) développée par IBM Research – Zurich, qui crée un canal de sécurité direct vers le serveur transactionel de la banque, contournant ainsi le PC qui pourrait être infecté par un software malveillant (malware) et qui est susceptible d’être attaqué par des pirates informatiques. Ce dernier prototype est basé sur le DIGIPASS® 865, un lecteur de carte qui se connecte comme une clé USB, manufacturé et développé par VASCO. Le prototype sera exposé du 17 au 19 Novembre à Cartes 2009 (stand 4L042), salon centré sur la sécurité et les technologies de cartes à puces à Paris. Le prototype sera disponible en quantité réduite pour des pilotes.

Annoncé il y a un peu plus d’un an, le ZTIC original, qui est toujours disponible, est un appareil de petite taille comparable à un memory stick. Ce dernier prototype bénéficie de la plus grande taille du DIGIPASS 865, similaire à une calculatrice. Le DIGIPASS 865 se caractérise par un lecteur de cartes intégré, combiné à la technologie ZTIC, permettant aux utilisateurs de se connecter à leur compte en banque en ligne de façon plus commode et plus sûre, n’importe où et n’importe quand. En utilisant le clavier additionnel, l’écran plus grand et la batterie intégrée pour des transactions hors-ligne, les banques ont également plus de flexibilité pour leurs clients sans que la sécurité ne soit compromise.

Douglas Dykeman, scientifique de Zurich à IBM Research, à la tête de la recherche ZTIC, commente « En parlant avec les clients, nous nous rendons compte que nombre d’entre eux sont à la recherche d’une combinaison entre la sécurité et la facilité d’intégration de ZTIC avec la commodité des larges claviers et des grands écrans des lecteurs de cartes traditionnels. En travaillant avec notre partenaire, VASCO, nous avons développé un prototype de recherche, qui combine le DIGIPASS 865 à nos logiciels et à nos exigences. Avec le nombre de plus en plus élevé de transactions bancaires en ligne, des solutions bancaires plus intelligentes telles que ZTIC deviennent encore plus critiques. Avec ce développement, nous avons désormais deux options formidables. »

Spécifications technologiques

ZTIC utilise le protocole Transport Layer Security/Secure Sockets Layer (TLS/SSL). Le logiciel est configuré avec un engin complet TLS incluant tous les algorithmes cryptographiques requis par les serveurs SSL/TLS d’aujourd’hui, un analyseur syntaxique HTTP pour analyser les données échangées entre le client et le serveur ainsi qu’un logiciel personnalisé implémentant le profil de la mémoire de masse USB et un proxy réseau pour fonctionner sur un PC. Il supporte l’authentification client TLS/SSL ainsi que les protocoles challenge/réponse basés sur la carte à puce. Comme démontré avec ce prototype, le logiciel ZTIC peut être intégré sur différents types d’appareils.

L’utilisation du DIGIPASS 865 ne nécessite pas de personnalisation additionnelle pour le propriétaire du réseau et permet des investissements excitants d’une infrastructure EMV pour les institutions financières. Les EMV sont des puces de 3mm sur 5 intégrés dans de nombreuses cartes bancaires.

La combinaison de ZTIC et du DIGIPASS 865 peut être utilisée avec tous les systèmes opérationnels standards, tels que Windows, Linux et Mac OS. Le ZTIC sur le DIGIPASS 865 utilise deux batteries AAA remplaçables fonctionnant sans connexion à un port USB. Il s’agit d’un clavier 20 touches, consistant en 10 touches numériques et 10 touches de fonction, qui permettent également l’activation de fonctionalité dédiée.