Les principes classiques de sécurité informatique sont:
- authentification (l’émetteur du message est connu)
- intégrité (le message est complet)
- confidentialité (le message n’a pas été lu)
- scalabilité (il est possible d’envoyer beaucoup plus de messages, il n’y a pas de risque de saturation)
- disponibilité (le service est toujours utilisable – le sujet est aussi lié à la scalabilité)
- traçabilité (il y a une piste d’audit claire et inaltérable)
- exhaustivité (ce concept introduit plus récemment est relatif à la qualité des données)
Authentification forte
L’Union Européenne avec la directive DSP2 adoptée en novembre 2015 a défini l’authentification forte. Elle sert à authentifier le donneur d’ordre d’une transaction qu’il s’agisse de virement, d’accès à un espace client, ou de changement de coordonnées. Pour cela, il faut utiliser au moins 2 des 3 facteurs suivants :
- un élément de connaissance (que le donneur d’ordre a mémorisé) : mot de passe, code secret, question secrète, etc. Il ne s’agit donc pas d’un code reçu par SMS ou d’un numéro de carte physique.
- un élément de possession (que le donneur d’ordre possède) : un élément secret non mémorisable contenu dans un objet physique qui protège cet élément : téléphone portable, montre connectée, clé USB, carte à puce, etc.
- un élément d’inhérence (lié aux caractéristiques physique et indissociable du donneur d’ordre : une caractéristique biologique (ADN), morphologique (empreinte digitale, empreinte rétinienne) ou comportementale (voix, frappe au clavier)
Il faut évidemment que ces éléments restent indépendants. La compromission de l’un ne doit pas remettre en question la fiabilité des autres. A lire : le guide de l’ANSSI sur le sujet.