Direct Autonomous Authentication
Direct Autonomous Authentication (DAA) est une plateforme de cybersécurité développée par Averon[1], une entreprise de technologie basée à San Francisco[2] - [3].
La plateforme DAA permet l’authentification sécurisée d’un utilisateur mobile, tout en préservant sa confidentialité[4] - [5].
La technologie a été développée en toute discrétion dès la fin de l’année 2015, introduite publiquement par Averon en 2018 puis présentée au Consumer Electronics Show de 2018 en tant qu’une nouvelle technologie qui permet de combattre les menaces croissantes liées à la cybercriminalité et au piratage de compte client[6].
Contexte historique
Les méthodes traditionnelles de cybersécurité ont entrainé des conséquences involontaires, notamment la perte des données privées de l’utilisateur, en raison des méthodes qui nécessitent la divulgation d’informations personnelles, y compris l’identité de l’utilisateur (nom, date de naissance, données biométriques), quelque chose qu’il connait (mot de passe, nom d’utilisateur, question/réponse secrète) ou quelque chose qu’il possède (clé d’authentification, appareil, document d’identité). Ces formes d’identification de l’utilisateur s’avèrent de plus en plus souvent volées ou usurpées. Une fois ces informations d’identification compromises, par exemple à la suite d’un piratage, ces identifiants ne peuvent plus jamais être utilisés en toute sécurité[7].
Les autres méthodes traditionnelles de sécurité mobile, telles que les mots de passe à usage unique (OTP), l’infrastructure à clés publiques (ICP) et la mise en place de l’authentification à deux facteurs par des codes SMS, nécessitent des efforts supplémentaires de la part de l’utilisateur. Cela entraine une diminution notable de l’adoption, et des surfaces moins sécurisées, limitant ainsi l’objectif de ces différentes méthodes.
De nombreuses offres d’authentification multi-facteurs basées sur le téléphone exigent que les utilisateurs finaux saisissent un identifiant et un mot de passe. Ensuite, l’utilisateur doit saisir dans un champ de données les codes générés et envoyés par SMS, ou appuyer sur un bouton pour se connecter à un compte ou autoriser une transaction.
Néanmoins, le cyber-braquage de la banque centrale du Bangladesh en 2017 prouve que le SMS ne représente pas un réseau sécurisé de messagerie. De nombreuses initiatives tendent vers l’abandon des codes SMS. Le National Institute of Standards and Technology (NIST), en 2016 et 2017, recommandait l’abandon de l’authentification à deux facteurs par SMS, à cause des risques sécuritaires, car les atteintes à la technologie SMS ne cessent d’augmenter.
Ces méthodes traditionnelles de cybersécurité, y compris les SMS, émergent en raison de l’absence sur Internet d’une couche identitaire native. Au départ, certains recommandaient l’anonymat sur Internet, pour contacter n’importe quels serveurs ou individus depuis n’importe où. Une telle facilité, sans validation de l’identité, a entrainé une croissance des activités frauduleuses sur Internet, car elle a permis à n’importe quel individu, où qu’il se trouve, de se faire passer pour quelqu’un d’autre. Par conséquent, les entreprises, les gouvernements et les particuliers ont souffert de la montée en puissance de la cybercriminalité, année après année. Bien que le protocole HTTPS sécurise les paquets de données Internet, il ne peut pas vérifier l’identité réelle des expéditeurs de ces paquets de données.
Présentation
Contrairement aux méthodes traditionnelles de cybersécurité, la plateforme DAA contourne les actions de l’utilisateur final. Plutôt que de se concentrer sur l’authentification du périphérique de l’utilisateur, DAA fournit une authentification autonome du numéro de portable d’un utilisateur. En effet, le numéro de portable reste associé à l’utilisateur, même lorsqu’ils perdent, détruisent ou améliorent leur téléphone portable[8].
La méthode DAA utilise une combinaison exclusive de technologies mises au point par Averon. Elles fonctionnent dans l’ensemble de données du réseau mobile sécurisé, conjointement avec une technologie cryptée déjà présente dans chaque smartphone. Les analystes de recherche considèrent que la combinaison de ces méthodes autonomes d’authentification s’avère plus rapide, plus sécurisée et plus performante que les méthodes traditionnelles de cybersécurité[9].
Blockchain et confidentialité
La technologie blockchain intégrée à la plateforme DAA assure la protection de la vie privée des utilisateurs finaux. Aucune donnée personnelle identifiable n’est conservée sur la plateforme, donc la divulgation publique d’une identité authentique (par exemple, les interactions vérifiées liées aux réseaux sociaux) se veut volontaire. La technologie DAA permet à l’utilisateur de contrôler entièrement la divulgation de son identité dans toute interaction en ligne donnée. L’utilisateur final peut la contrôler à divers degrés : soit entièrement anonyme, soit entièrement identifiable de manière publique[10]. Dans des situations qui impliquent un besoin d’anonymat lié à la sécurité de l’utilisateur final, par exemple du chantage ou des militants politiques, la technologie blockchain de la plateforme DAA offre une méthode d’anonymat complète. Elle offre aussi la possibilité de vérifier volontairement des données limitées, mais souvent indispensables (par exemple, l’emplacement général d’un utilisateur anonyme). La technologie DAA permet de réduire les difficultés associées à la protection de la vie privée de l’utilisateur et au besoin d’authentification[9].
Cas d’utilisation
La plateforme technologique DAA s’adopte facilement et s’utilise auprès d’un grand nombre de secteurs et de cas d’utilisation où l’identification mobile des utilisateurs se montre nécessaire[11] - [9].
Identification
Depuis son introduction sur le marché en 2018, la plateforme DAA s'est vue récompensée par plusieurs groupes industriels pour son caractère innovant. Elle a notamment remporté le premier prix des Edison Awards 2018, un prix d’excellence de cybersécurité, et le prix d’innovation BIG en 2018[12] - [13] - [14] - [15].
Voir Ă©galement
Notes et références
- (en) « Bloomberg Research », sur Bloomberg.com, (consulté le )
- (en) Polina Marinova, « Term Sheet Monday », sur Fortune.com, (consulté le )
- (en) Mike Butcher, « TechCrunch: The Key to ID Online », sur techcrunch.com, (consulté le )
- (en) Garrett Bekker, « 451 Research Analyst Report », sur 451 Research, (consulté le )
- (en) Andrew Kellet, « Ovum Report: On The Radar », sur ovum.com, (consulté le )
- (en) Kyle Alspach, « 10 Coolest Products at CES 2018 », sur CRN, (consulté le )
- (en) Webster, Karen, « Mobilizing the Wireless Identity Network », Pymnts,‎ (lire en ligne)
- (en) Sean Williams, « UX Now Crucial Element in Cybersecurity », sur redherring.com, (consulté le )
- (en) Garrett Bekker, « Averon offers frictionless mobile authentication », sur 451 Research, (consulté le )
- (en) « Salesforce CEO Marc Benioff Invests in Mobile Identity Startup Averon », sur martechseries.com, (consulté le )
- (en) Dan Elitzer, « Digital Identity Is Broken, But We Can Fix It », sur Medium, (consulté le )
- (en) « Edison Awards 2018 Winners », sur tmcnet.com, (consulté le )
- (en) « Gold Edison Award 2018 », sur tmcnet.com, (consulté le )
- (en) « BIG Innovation Winners 2018 », sur bintelligence.com, (consulté le )
- (en) « Cybersecurity Excellence Awards », sur oneworldidentity.com, (consulté le )