Cette interview a été réalisée par Alain Establier lors du Forum InCyber 2025**

SDBR News: Qu’est-ce que DAON* ?

Bertrand Saby** : DAON a été créée en l'an 2000 par un homme d'affaires irlandais, Dermot Desmond, qui a eu la vision que la biométrie allait devenir importante pour vérifier les personnes dans les interactions physiques et surtout dans le monde digital. Donc il a travaillé avec des consultants pour embaucher les meilleurs développeurs du marché pour développer l'entreprise. Bien sûr, en 2000, il n'y avait pas encore de Smartphone. L'activité de DAON a commencé avec des projets gouvernementaux (aéroports, contrôle des frontières) de plusieurs pays : Inde, États-Unis et Japon. En 2000, ces projets s'appuyaient sur la convention d'Ottawa qui a donné les premières réglementations en termes de contrôle aux frontières.

SDBR News: Et le Smartphone est arrivé…

Bertrand Saby : En effet ! Avec l'arrivée du Smartphone, DAON a commencé à se développer dans le secteur privé - notamment les banques et autres institutions financières - sur l'authentification multifacteurs. Et DAON a participé à l'établissement de l’alliance industrielle nommée FIDO - Fast IDentity Online - pour essayer de remplacer les mots de passe d'origine par des mécanismes d'authentification plus sécurisés et plus faciles à utiliser. La gestion de mots de passe est devenue très compliquée, d’où l’apparition de systèmes de gestion automatisée.

SDBR News: Qu’entendez-vous par authentification multifacteurs ?

Bertrand Saby : Il s’agit de solutions de reconnaissance à l’aide de différents facteurs. Il existe trois types de facteurs :

• Ceux que vous connaissez, comme un mot de passe ou le code PIN de votre Smartphone.

• Ceux que vous possédez, comme un dispositif d'identification cryptographique ou un jeton reçu.

• Et ceux qui vous constituent, comme vos empreintes digitales ou votre reconnaissance vocale et qui permettent une vérification biométrique.

Tout cela peut permettre de rétablir une identité, donc le mécanisme a été déployé par de grandes institutions financières. Certaines d’entre elles nous ont demandé de rajouter la partie documentaire au mécanisme, donc d'être capable de vérifier des documents d'identité en ligne. Et aussi de vérifier que la personne connectée au portail bancaire est la bonne personne : par exemple, en faisant un selfie pour le comparer à la photo du document d'identité et nous permettre de dire que c'est la bonne personne qui est connectée, et que le document d'identité a l'air authentique.

SDBR News: Est-ce que la première étape oblige à un enrôlement ?

Bertrand Saby : Oui en quelque sorte. L'enrôlement, c'est la vérification d'identité initiale. Ensuite, nous utilisons la reconnaissance faciale, qui est la plus pratique pour la comparaison avec la photo d'identité. Mais il existe aussi la biométrie vocale, qui est une autre manière de s'identifier. Le gros défi sur les canaux de voix, c'est qu'il y a maintenant beaucoup de softwares qui sont capables d'imiter votre voix. Donc, pour compléter le dispositif, nous avons développé une plateforme capable de reconnaître que la « personne » qui parle est une voix enregistrée, générée par ces softwares de génération de voix synthétiques. Et nous sommes capables de reconnaître plus de 25 softwares, qui ont été testés sur nos mécanismes de détection.

SDBR News: Quelles sont les applications opérationnelles de votre technique ?

Bertrand Saby : Aujourd'hui, c'est appliqué sur les services d'appel du call center. Nous travaillons à développer une application pour détecter les fraudes au CFO. Si je reçois un appel, je dois être capable de détecter que ce n'est pas une vraie personne qui m’appelle. Nous pouvons faire fonctionner ce moteur a minima et d'une manière indépendante, pour seulement détecter que c'est une voix synthétique qui appelle.

SDBR News: Le cœur de votre métier est-il la reconnaissance ou la validation ?

Bertrand Saby : La vérification est le cœur de notre métier mais nous ne travaillons pas sur l'identification. Nous n’allons pas chercher l'image de quelqu'un dans une grande base de données pour savoir que c’est bien lui ; ce ne sont pas des applications de police. Il s’agit d’un enregistrement volontaire à un service, une banque, un service téléphonique, un service gouvernemental, une plateforme de jeux vidéo, etc. pour ensuite pouvoir utiliser le web ou le call center pour réaliser une opération. Il s’agit ensuite d’une vérification. C'est donc toujours une démarche volontaire qui ne heurte pas la protection de la vie privée. Tout le principe de la RGPD est basé sur le consentement à des choses précises. Par exemple, ce n’est pas un consentement générique qu’ont obtenu de ma part Les Galeries Lafayette ; j’ai accepté que Les Galeries Lafayette génèrent un « patron biométrique » qui va être utilisé pour m'authentifier quand je me connecte à leur application. Il s’agit de consentement à des choses très précises et non d’un consentement générique.

SDBR News: Et concernant la sauvegarde de ces données ?

Bertrand Saby : La sauvegarde des données est régie par des normes ISO : les normes ISO 27001 et des déclinaisons plus spécifiques pour les données privatives. Elles doivent être extrêmement bien protégées à l’aide de clés de chiffrement, de manière à être inviolables en cas de piratage de données. C'est la confiance qui est en jeu. Il y a la sécurité et il y a la confiance. Un patron biométrique est représenté par une chaîne de 2000 caractères cryptés. Avec ces caractères cryptés, vous ne pourrez pas revenir à l’image créée par un selfie. Un ordinateur quantique, qui récupèrerait cette chaîne de 2000 caractères, pourrait recréer un visage qui ressemblerait un peu mais qui ne résisterait pas à un algorithme biométrique de contrôle.

SDBR News: Votre présence au Forum InCyber 2025 marque t’elle la volonté de DAON de pénétrer le marché français ?

Bertrand Saby : La France est un marché assez nouveau pour DAON, qui s’est plutôt développé sur des pays anglo-saxons : Angleterre, Irlande, Afrique du Sud, Singapour et Australie. Nous avons ouvert depuis 4 ans des filiales en Europe Occidentale et nous commençons à travailler en vérification d’identité sur les marchés télécom, bancaire, gaming et crypto-monnaie. Depuis 2021, une initiative européenne, qui s'appelle EUDIW (European Digital Identity Wallet), va progressivement permettre de vérifier en ligne les titres d’identité depuis tous les pays de l'Union Européenne. C'est la prochaine évolution.

* https://www.daon.com

** Bertrand Saby est VP Sales Western Europe de DAON