Direct Autonomous Authentication

Direct Autonomous Authentication (DAA) est une plateforme de cybersécurité développée par Averon^[1], une entreprise de technologie basée à San Francisco^[2],[3].

La plateforme DAA permet l’authentification sécurisée d’un utilisateur mobile, tout en préservant sa confidentialité^[4],[5].

La technologie a été développée en toute discrétion dès la fin de l’année 2015, introduite publiquement par Averon en 2018 puis présentée au Consumer Electronics Show de 2018 en tant qu’une nouvelle technologie qui permet de combattre les menaces croissantes liées à la cybercriminalité et au piratage de compte client^[6].

Contexte historique

Les méthodes traditionnelles de cybersécurité ont entrainé des conséquences involontaires, notamment la perte des données privées de l’utilisateur, en raison des méthodes qui nécessitent la divulgation d’informations personnelles, y compris l’identité de l’utilisateur (nom, date de naissance, données biométriques), quelque chose qu’il connait (mot de passe, nom d’utilisateur, question/réponse secrète) ou quelque chose qu’il possède (clé d’authentification, appareil, document d’identité). Ces formes d’identification de l’utilisateur s’avèrent de plus en plus souvent volées ou usurpées. Une fois ces informations d’identification compromises, par exemple à la suite d’un piratage, ces identifiants ne peuvent plus jamais être utilisés en toute sécurité^[7].

Les autres méthodes traditionnelles de sécurité mobile, telles que les mots de passe à usage unique (OTP), l’infrastructure à clés publiques (ICP) et la mise en place de l’authentification à deux facteurs par des codes SMS, nécessitent des efforts supplémentaires de la part de l’utilisateur. Cela entraine une diminution notable de l’adoption, et des surfaces moins sécurisées, limitant ainsi l’objectif de ces différentes méthodes.

De nombreuses offres d’authentification multi-facteurs basées sur le téléphone exigent que les utilisateurs finaux saisissent un identifiant et un mot de passe. Ensuite, l’utilisateur doit saisir dans un champ de données les codes générés et envoyés par SMS, ou appuyer sur un bouton pour se connecter à un compte ou autoriser une transaction.

Néanmoins, le cyber-braquage de la banque centrale du Bangladesh en 2017 prouve que le SMS ne représente pas un réseau sécurisé de messagerie. De nombreuses initiatives tendent vers l’abandon des codes SMS. Le National Institute of Standards and Technology (NIST), en 2016 et 2017, recommandait l’abandon de l’authentification à deux facteurs par SMS, à cause des risques sécuritaires, car les atteintes à la technologie SMS ne cessent d’augmenter.

Ces méthodes traditionnelles de cybersécurité, y compris les SMS, émergent en raison de l’absence sur Internet d’une couche identitaire native. Au départ, certains recommandaient l’anonymat sur Internet, pour contacter n’importe quels serveurs ou individus depuis n’importe où. Une telle facilité, sans validation de l’identité, a entrainé une croissance des activités frauduleuses sur Internet, car elle a permis à n’importe quel individu, où qu’il se trouve, de se faire passer pour quelqu’un d’autre. Par conséquent, les entreprises, les gouvernements et les particuliers ont souffert de la montée en puissance de la cybercriminalité, année après année. Bien que le protocole HTTPS sécurise les paquets de données Internet, il ne peut pas vérifier l’identité réelle des expéditeurs de ces paquets de données.

Présentation

Contrairement aux méthodes traditionnelles de cybersécurité, la plateforme DAA contourne les actions de l’utilisateur final. Plutôt que de se concentrer sur l’authentification du périphérique de l’utilisateur, DAA fournit une authentification autonome du numéro de portable d’un utilisateur. En effet, le numéro de portable reste associé à l’utilisateur, même lorsqu’ils perdent, détruisent ou améliorent leur téléphone portable^[8].

La méthode DAA utilise une combinaison exclusive de technologies mises au point par Averon. Elles fonctionnent dans l’ensemble de données du réseau mobile sécurisé, conjointement avec une technologie cryptée déjà présente dans chaque smartphone. Les analystes de recherche considèrent que la combinaison de ces méthodes autonomes d’authentification s’avère plus rapide, plus sécurisée et plus performante que les méthodes traditionnelles de cybersécurité^[9].

Blockchain et confidentialité

La technologie blockchain intégrée à la plateforme DAA assure la protection de la vie privée des utilisateurs finaux. Aucune donnée personnelle identifiable n’est conservée sur la plateforme, donc la divulgation publique d’une identité authentique (par exemple, les interactions vérifiées liées aux réseaux sociaux) se veut volontaire. La technologie DAA permet à l’utilisateur de contrôler entièrement la divulgation de son identité dans toute interaction en ligne donnée. L’utilisateur final peut la contrôler à divers degrés : soit entièrement anonyme, soit entièrement identifiable de manière publique^[10]. Dans des situations qui impliquent un besoin d’anonymat lié à la sécurité de l’utilisateur final, par exemple du chantage ou des militants politiques, la technologie blockchain de la plateforme DAA offre une méthode d’anonymat complète. Elle offre aussi la possibilité de vérifier volontairement des données limitées, mais souvent indispensables (par exemple, l’emplacement général d’un utilisateur anonyme). La technologie DAA permet de réduire les difficultés associées à la protection de la vie privée de l’utilisateur et au besoin d’authentification^[9].

Cas d’utilisation

La plateforme technologique DAA s’adopte facilement et s’utilise auprès d’un grand nombre de secteurs et de cas d’utilisation où l’identification mobile des utilisateurs se montre nécessaire^[11],[9].

Identification

Depuis son introduction sur le marché en 2018, la plateforme DAA s'est vue récompensée par plusieurs groupes industriels pour son caractère innovant. Elle a notamment remporté le premier prix des Edison Awards 2018, un prix d’excellence de cybersécurité, et le prix d’innovation BIG en 2018^{[12],[13],[14],[15]}.

Voir également

• La cybersécurité
• La technologie Blockchain
• Cryptographie

Notes et références

1. (en) « Bloomberg Research », sur Bloomberg.com, 29 novembre 2017 (consulté le 16 octobre 2018)
2. (en) Polina Marinova, « Term Sheet Monday », sur Fortune.com, 30 octobre 2017 (consulté le 16 octobre 2018)
3. (en) Mike Butcher, « TechCrunch: The Key to ID Online », sur techcrunch.com, 28 octobre 2017 (consulté le 16 octobre 2018)
4. (en) Garrett Bekker, « 451 Research Analyst Report », sur 451 Research, 30 janvier 2018 (consulté le 16 octobre 2018)
5. (en) Andrew Kellet, « Ovum Report: On The Radar », sur ovum.com, 21 mars 2018 (consulté le 16 octobre 2018)
6. (en) Kyle Alspach, « 10 Coolest Products at CES 2018 », sur CRN, 11 janvier 2018 (consulté le 16 octobre 2018)
7. (en) Webster, Karen, « Mobilizing the Wireless Identity Network », Pymnts,‎ 26 mars 2018 (lire en ligne)
8. (en) Sean Williams, « UX Now Crucial Element in Cybersecurity », sur redherring.com, 2 novembre 2017 (consulté le 16 octobre 2018)
9. (en) Garrett Bekker, « Averon offers frictionless mobile authentication », sur 451 Research, 28 janvier 2018 (consulté le 16 mars 2018)
10. (en) « Salesforce CEO Marc Benioff Invests in Mobile Identity Startup Averon », sur martechseries.com, 22 mars 2018 (consulté le 16 octobre 2018)
11. (en) Dan Elitzer, « Digital Identity Is Broken, But We Can Fix It », sur Medium, 11 avril 2017 (consulté le 16 mars 2018)
12. (en) « Edison Awards 2018 Winners », sur tmcnet.com, 17 avril 2018 (consulté le 16 octobre 2018)
13. (en) « Gold Edison Award 2018 », sur tmcnet.com, 17 avril 2018 (consulté le 16 octobre 2018)
14. (en) « BIG Innovation Winners 2018 », sur bintelligence.com, 7 février 2018 (consulté le 16 octobre 2018)
15. (en) « Cybersecurity Excellence Awards », sur oneworldidentity.com, 3 mai 2018 (consulté le 16 octobre 2018)

•   Portail du logiciel
•   Portail des entreprises