mars 2nd, 2012

RSA Conference, San Francisco : Pindrop Security était, cette année, l’un des participants remarqués de l’Innovation Sandbox durant la RSA Conference 2012. Alors que les principaux participants étalaient des offres Cloud (outils d’administration, de filtrage et autres compléments de sécurité) Pindrop ne montrait que l’écran d’administration de son outil d’authentification de ligne téléphonique.

Techniquement parlant, l’outil de Pindrop effectue une série de mesures capables de caractériser une ligne téléphonique depuis le terminal du correspondant concerné : bande passante, dynamique, trous de réponses en fréquence (notchs), analyse dans le domaine temporel, niveau d’écho, temps de réponse moyen… près de 170 points particuliers dressent ainsi une sorte de profil de la ligne et l’associe au numéro de téléphone client. L’analyse elle-même ne prend qu’une quinzaine de secondes, et ses résultats sont stockés dans une base de données. Par la suite, tout appel semblant provenir du correspondant en question seront comparés au profil spectral de la ligne, et pourront constituer un « second facteur » intéressant dans le cadre d’une procédure d’authentification.

A qui s’adresse cette technologie ? Aux banques et compagnies financières, aux administrations, aux call-centers techniques… chaque fois qu’il est nécessaire d’établir avec certitude que l’on a bien affaire à l’appareil avec un correspondant précis. Si le doute était peu permis à l’époque bénie des lignes 100% terrestres, la chose devient bien plus complexe sur une ligne VoIP, plus simple à détourner qu’un antique S63 branché sur un véritable conjoncteur mural, lui-même directement raccordé sur un boîtier d’abonné.

Ce procédé ne doit pas être confondu avec une technique similaire, qui consiste à dresser un profil spectral de la voix, et qui peut être assimilé à une forme d’identification biométrique. Dans le cas de Pindrop, il s’agit d’une reconnaissance de l’équipement télécom utilisé, non de la personne située au bout de la ligne.