Le principe de « connexion » est depuis longtemps associé à la saisie d’un mot de passe. L’utilisation d’un mot de passe que l’on mémorisait et tenait secret était alors considérée comme totalement fiable jusqu’à ce que les hackers parviennent à le deviner ou le pirater. Nous avions par ailleurs tendance à choisir des mots de passe extrêmement simples à pirater comme « mot de passe », le nom du chat ou de notre progéniture, ou encore notre date d’anniversaire. Nous avions également tendance à garder le même mode passe pour chacun des comptes créé. Certes, il est plus long et plus fatigant de mémoriser plusieurs mots de passe que d’en avoir un seul valable partout. Mais en nous facilitant la vie, nous avons aussi facilité celle des hackers.
C’est de là qu’est née l’idée d’imaginer de nouveaux moyens de s’authentifier. Au lieu de se connecter avec « quelque chose que l’on connaît », pourquoi ne pas se connecter avec « ce que l’on est » (biométrie) ou « ce que l’on fait » (données comportementales) ? Ces quelques réflexions ont présidé au développement de la gestion des identités et des accès – la technologie IAM (Identity and Access Management).
Des entreprises comme Meontrust facilitent l’implémentation de l’authentification biométrique pour les services en ligne en s’appuyant sur les fonctionnalités biométriques de votre terminal. L’utilisation d’une solution IAM permet par ailleurs de combiner facilement la méthode biométrique avec d’autres méthodes.
Dans les grandes entreprises, il n’est pas rare aujourd’hui que les utilisateurs accèdent au réseau à l’aide d’une carte à puce ou d’un lecteur d’empreintes digitales associé à un mot de passe. Dans le monde de la grande consommation, l’utilisation de nouvelles méthodes d’authentification se développe également, comme la prise d’empreintes digitales sur vos terminaux mobiles. Il suffit de penser à l’iPhone et à sa fonctionnalité innovante « Touch ID ».
Est-il vraiment sûr de se connecter avec ses empreintes digitales ?
Il faudrait vraiment considérer les identifiants biométriques comme des noms d’utilisateur et pas comme des mots de passe. L’utilisation d’une empreinte digitale seule pour se connecter à un compte présente des risques. Avant d’équiper votre entreprise ou de vous équiper d’un dispositif d’authentification biométrique, plusieurs points devront être étudiés.
Les identifiants biométriques ne sont pas à l’abri d’un vol
Ne vous a-t-on jamais dit de ne jamais conserver de trace écrite de tous vos mots de passe de crainte qu’ils soient volés ? Mais, vous laissez vos empreintes digitales partout. Et elles sont tout aussi faciles à voler. Vous ne me croyez pas ?
Jetez un œil à cette vidéo du club informatique Chaos en train de pirater la fonction Touch ID sur un iPhone5s.
On pourrait penser que la sécurité a été améliorée sur l’iPhone6, alors qu’en fait rien n’a été fait pour résoudre ce problème.
Naturellement, pour que votre téléphone soit piraté ainsi, il faudrait également qu’il soit volé. Mais la technologie est facile à utiliser. En clair, votre terminal pourrait être compromis dès la minute où il vous est subtilisé.
On s’est également aperçu qu’une empreinte digitale pouvait être volée à l’aide de photos. Ce qui signifie que vous n’avez même pas besoin de toucher quelque chose pour être en danger. Il suffit d’une image haute résolution de votre empreinte digitale stockée quelque part en ligne.
Les identifiants biométriques sont difficiles à réinitialiser
Des études sur la sécurité ont démontré l’existence de méthodes permettant d’intercepter à distance des données biométriques tel un enregistreur de frappe qui intercepte les frappes sur un clavier. Si ces données biométriques sont compromises, les conséquences peuvent être très lourdes. Lorsqu’un mot de passe est compromis, vous pouvez toujours le réinitialiser. Si vos empreintes digitales sont compromises, la réinitialisation ne peut se faire qu’avec un couteau pointu – ce qui n’améliore pas vraiment l’expérience client. D’autres indicateurs biométriques, comme la configuration des vaisseaux sanguins, de la rétine, et de l’électrocardiogramme sont plus difficiles à modifier, voire impossibles.
La biométrie est « une partie de vous » et pas « une chose que vous savez »
D’autres considérations juridiques sont également à prendre en compte lorsque l’on utilise la biométrie comme méthode d’authentification mono-facteur. Ces considérations varient d’un pays à l’autre. Ainsi, aux États-Unis, si vous êtes interpellé sur la voie publique, le Cinquième amendement vous protège et vous évite d’avoir à révéler le mot de passe de votre téléphone. En revanche, si vous utilisez un lecteur d’empreintes digitales sur votre téléphone, le Cinquième amendement ne vous protège pas et vous pouvez être forcé à débloquer votre téléphone à l’aide de vos empreintes digitales. Cela tient aux différences juridiques qui existent entre « ce que l’on sait » par rapport à « ce que l’on est ».
La biométrie génère des taux d’acceptations erronées
Dans le domaine de la biométrie, il y aura toujours un taux d’acceptation erronée ou un taux de rejet erroné. Le taux d’acceptation erronée indique la fréquence à laquelle une personne qui n’aurait pas dû être reconnue a en fait été reconnue. La plupart des systèmes biométriques revendiquent des taux d’acceptations erronées dans une fourchette comprise entre 1 sur 10 000 et 1 sur 1 million.
Un hacker peut utiliser la copie des caractéristiques biométriques d’un utilisateur recueillies par le système pour produire de faux indicateurs biométriques qui lui permettront de se connecter. C’est ce que l’on appelle l’usurpation physique (physical spoof attack) que l’on peut comparer à un pirate en train de recopier le mot de passe noté par son propriétaire.
Si le hacker n’a pas accès aux caractéristiques biométriques, à savoir votre empreinte digitale, il a toujours moyen d’y accéder en créant une fausse caractéristique biométrique. Il utilise pour cela des algorithmes complexes pour essayer de les deviner intelligemment ou un échantillon réel d’utilisateurs non valides. Un peu comme si l’on utilisait un dictionnaire pour essayer de deviner votre mot de passe.
Recommandations pour l’utilisation de la biométrie
Malgré les points précédemment évoqués, la biométrie n’en a pas moins sa place dans la gestion des identités et des accès. Cette technologie représente un facteur supplémentaire pratique pour authentifier votre identité ou accéder à des informations sécurisées comme votre clé privée. Vous pourriez, de la même manière, utiliser un certificat pour authentifier votre identité ou même un téléphone mobile. Dans un monde idéal, le système que vous mettriez en œuvre ressemblerait à ceci :
- Le système démarre sur un écran d’accueil, il n’affiche aucun identifiant utilisateur. Cela réduirait la probabilité de deviner un nom d’utilisateur.
- La lecture de votre empreinte digitale ou le scan de votre rétine ne vous connecterait pas à votre système, mais « appellerait » seulement votre identifiant utilisateur. Là encore, les identifiants biométriques sont votre identité. Vous pourriez également inclure ici des certificats comme forme d’identifiants. Pour en savoir plus, découvrez notre livre blanc sur l’authentification au moyen de certificats.
- Maintenant que votre identifiant utilisateur s’affiche à l’écran, vous pouvez vous authentifier avec « quelque chose que vous savez » ou « que vous possédez » dans le cadre d’une authentification renforcée. Le masquage de l’identifiant utilisateur crée une couche de sécurité supplémentaire.
La biométrie est pratique et il existe quantité de cibles plus faciles pour une personne malintentionnée. Avant de mettre en œuvre la biométrie dans le cadre d’une authentification mono facteur, assurez-vous de bien comprendre les implications juridiques et les facteurs de risques associés à cette méthode. Les méthodes biométriques sont généralement simples pour l’utilisateur final et peuvent améliorer l’expérience client. Avec une solution IAM, vous pouvez sélectionner la méthode d’authentification utilisateur appropriée, depuis l’authentification à partir des identités sociales jusqu’aux cartes à puce; la biométrie pouvant représenter l’une de ces alternatives ou intervenir comme facteur de sécurité supplémentaire en association avec d’autres méthodes.
Pour en savoir plus sur la gestion des identités et des accès pour l’entreprise étendue, téléchargez notre livre blanc (en anglais).