L’authentification Multi facteur : MFA
C'est quoi ?

S’assurer qu’un utilisateur est bien celui qu’il prétend être, voilà la mission de l’authentification multifacteur, appelée également MFA pour Multi Factor Authentication

Ce processus d’Authentification nécessite la combinaison de plusieurs informations provenant d’au moins l’une des catégories suivantes : un facteur de connaissance, un facteur de possession et un facteur d’héritage.

  • Un facteur de connaissance (ce que l’on connaît) comme un identifiant, un mot de passe, une expression, un code PIN, une réponse à une question… 
  • Un facteur de possession (ce que l’on possède) comme un smartphone, un ordinateur, un badge, une carte RFID, un billet… 
  • Un facteur d’héritage (ce que l’on est) comme une empreinte digitale, l’iris, la reconnaissance vocale ou faciale…

Les facteurs de connaissance constituent une vulnérabilité majeure en matière de sécurité et de compromission de données. Facilement déchiffrable et piratable, c’est l’angle d’attaque favori des hackers et de la cybercriminalité !

Notre Protocole GreenBadg met en œuvre la combinaison Possession + Héritage et finalise l’opération par de l’authentification visuelle garantissant un haut niveau de sécurité aux structures qui déploient notre solution dans leurs infrastructures et écosystèmes.

L’attribution d’un GreenBadg
Quel protocole ?

Pour délivrer un GreenBadg à un futur utilisateur, une vérification rigoureuse de son identité doit être effectuée.

Nous déléguons volontairement cette opération à un acteur reconnu et spécialisé dans ce domaine : ARIADNEXT 

Ce dernier mettra en œuvre pour toute création de compte GreenBadg le référentiel d’exigences PVID publié par l’ANSSI pour une vérification d’identité à distance fiable et robuste. 

Par ailleurs, cette procédure permettra de s’assurer que le titre d’identité présenté par le futur utilisateur est authentique, qu’il en est le détenteur légitime et qu’il est bel et bien vivant.

Le parcours se déroule en deux étapes obligatoires de vérification d’identité à distance :

  • La vérification automatisée : une première étape de capture dynamique (recto-verso) du titre d’identité est demandée à l’usager. Ensuite, il réalise une capture biométrique de son visage. Le service compare et croise les différentes données en temps réel.
  • La vérification hybride : des experts de la fraude prennent le relais pour compléter manuellement la vérification afin de garantir un traitement complet des éléments. Plusieurs procédures sont effectuées : contrôle de la photo du titre d’identité et de la signature, classification du type de document d’identité, contrôle visuel, vérification de l’authenticité de la vidéo, etc. 

La vérification d’identité à distance : PVID
Quelle procédure ?

Lors de la création d’un compte GreenBadg, notre partenaire vous demande de réaliser des captures vidéo de votre pièce d’identité pour certifier son authenticité

Le service identifie le modèle précis du document. Il extrait ensuite grâce à un moteur OCR l’ensemble des informations pour les analyser. Des contrôles de sécurité à base d’IA sont alors appliqués pour détecter les hologrammes et d’éventuelles incohérences pour déceler les doublons et les documents frauduleux. Un processus reconnu dans 208 pays et organisations

Ensuite, notre partenaire vous demande de réaliser 2 Selfies vidéo avec des mouvements pour la détection du vivant et pour la comparer avec la photo figurant sur votre pièce d’identité

Le processus comparatif à base d’IA entre la photo de la pièce d’identité et le selfie vidéo réalisée a pour but de garantir que la personne qui souscrit est bien celle qu’elle prétend être. Cette vérification associée a un protocole de détection du vivant permet également de s’assurer que la personne est bien réelle et présente derrière son terminal. Avec cette double analyse, nous pouvons garantir et certifier de la conformité de la pièce d’identité d’un utilisateur et de son Identité !!!

Hébergé dans un Cloud Souverain Français
Quel acteur et quelles normes ?

La totalité des échanges et du stockage des données nécessaires au bon fonctionnement de notre solution et de son écosystème sont hébergés dans un data center souverain certifié ISO 27001 sur l’ensemble de ses services.  

Crever Cloud est certifié ISO/IEC 27001:2013 sur un périmètre rare, complet et couvrant
l’ensemble de ses activités sensibles Champ d’application : Prestations d’hébergement critique et de services Cloud en Data Center de très haute disponibilité, centre de supervision (Network and Security Operation), administration, innovation, commercialisation.

Conformité et respect des règles RGPD
Concrètement ?

Comme mentionné précédemment, lors de la création d’un GreenBadg c’est notre partenaire ARIADNEXT pendant le PVID qui recueille et qui traite les donnés personnelles (pièce d’identité + selfie) du futur Utilisateur après avoir donné son consentement.

Quand la vérification est validée, ils nous font parvenir un rapport et nous créons une fiche d’identification composée du Nom de famille, des Prénoms et du selfie utilisé lors du PVID.

Notre protocole d’authentification est basé sur ‘’ la Comparaison Faciale ‘’ A ne pas confondre avec la ‘’ Reconnaissance Faciale ‘’ qui implique que vos données biométriques soient enregistrées dans une base de données externe, l'utilisateur n'a pas la maîtrise physique de ses données, avec tous les risques que cela présente.

La CNIL rejette systématiquement sa mise en œuvre qui est :
‘’ Contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD. Particulièrement intrusifs et présentant des risques majeurs d’atteinte à la vie privée et aux libertés individuelles des personnes concernées”

Quel que soit l’usage, physique ou digital, aucune donnée sensible (biométrique, personnelle…) n’est stockée ou transférée dans l’application ou dans le smartphone de l’utilisateur lors d’une authentification !!

Disponible le 07/12/2022 sur les Stores

Inscrivez-vous à notre newletter, et recevez des news sur l’avancement du projet GreenBadg !