Dans le contexte de la digitalisation croissante de notre monde, utiliser la biométrie à des fins d’authentification est devenu essentiel pour optimiser et renforcer la sécurité digitale. Mais la biométrie pourrait-elle prochainement remplacer les mots de passe ?
Cet article s’intéresse au domaine actuel de l’authentification biométrique et évalue son potentiel pour remplacer de manière viable les mots de passe traditionnels.
Comprendre la biométrie comportementale
Lorsqu’on identifie visuellement une personne, notre cerveau analyse son apparence physique à la recherche de caractéristiques discernables qui font d’elle une personne unique. Les technologies qui utilisent la biométrie comportementale ont un fonctionnement similaire, à ceci près qu’elles analysent les comportements et les activités physiques. Chaque utilisateur a ses propres manières d’interagir avec un ordinateur ou un autre système, et ce, tant sur les plans cognitif que physique. La biométrie comportementale analyse ces manières d’interagir pour créer un profil détaillé du comportement de l’utilisateur en ligne et dans un cadre numérique. Les entreprises peuvent également mettre à profit ces profils de biométrie comportementale pour détecter et prévenir les cas d’usurpation d’identité ou encore renforcer l’authentification par mot de passe, entre autres.
Face aux diverses manières dont les utilisateurs d’aujourd’hui interagissent avec les ordinateurs et les autres systèmes, la biométrie comportementale revêt différentes formes :
La dynamique de frappe
La dynamique de frappe analyse les comportements de frappe au clavier, notamment les schémas récurrents de frappe, le rythme ou encore la vitesse. Cette modalité biométrique a été proposée pour la première fois en 1980 par le chercheur R.S. Gaines, dont les expériences menées sur des dactylographes ont démontré que tout le monde avait une signature de frappe unique qui pouvait servir d’identifiant distinct. Depuis, la dynamique de frappe est devenue un outil incontournable au sein des solutions de sécurité basées sur l’analyse comportementale des utilisateurs et des entités.
Les mouvements de la souris
Tout comme le comportement de frappe, les mouvements de la souris sont également propres à chaque utilisateur. La dynamique de mouvement de la souris – schémas et cadence uniques caractérisant les interactions d’une personne avec une souris ou un pavé tactile – peut également servir de mécanisme pour le profilage des utilisateurs.
La gestuelle tactile
En termes de biométrie comportementale, l’analyse de la gestuelle tactile se rapproche de l’analyse des mouvements de la souris : les utilisateurs d’écrans tactiles peuvent effectuer des mouvements de doigts vers le haut ou vers le bas, tapoter l’écran une ou deux fois avec différents niveaux d’intensité, zoomer ou dézoomer sur les images ou encore faire défiler l’écran de différentes façons, entre autres.
Des caractéristiques biométriques peuvent être extraites à partir de tous ces gestes à des fins de profilage et d’identification d’utilisateurs.
La reconnaissance vocale
La reconnaissance vocale permet d’authentifier les personnes grâce à leurs caractéristiques vocales uniques. Contrairement à la reconnaissance automatique de la parole, qui consiste uniquement à convertir des paroles en texte écrit, la biométrie vocale analyse les caractéristiques distinctives propres à la signature vocale d’une personne (ex. : ton, hauteur et résonance) pour vérifier son identité.
Avantages de la biométrie comportementale
La biométrie comportementale améliore la sécurité et l’expérience utilisateur en remplaçant potentiellement les mots de passe traditionnels par une analyse automatique de schémas comportementaux uniques extrêmement difficiles à reproduire. Cette méthode d’identification permet aux organisations de procéder à un contrôle continu en temps réel tout en éliminant les frais de gestion de mots de passe.
Praticité pour l’utilisateur
La biométrie comportementale crée une expérience de sécurité fluide en authentifiant automatiquement les utilisateurs d’après leur comportement naturel. Elle permet d’étendre le périmètre sécurisé, puisque des analyses peuvent être réalisées plus souvent en back end pour assurer une vérification continue des utilisateurs.
Sécurité optimisée
La biométrie comportementale renforce la sécurisé en analysant des schémas comportementaux propres aux utilisateurs, qui sont quasiment impossibles à reproduire ou à voler, contrairement aux mots de passe. Ces profils comportementaux distincts permettent d’assurer une surveillance en temps réel et de détecter rapidement toute activité suspecte.
Réduction des risques de hameçonnage et de bourrage d’identifiants
La biométrie comportementale assure une protection efficace contre le hameçonnage et le bourrage d’identifiants, puisqu’elle est impossible à compromettre de la même manière que les mots de passe conventionnels. En se servant de la biométrie comportementale pour surveiller en continu le comportement des utilisateurs et pour les authentifier en temps réel, les entreprises peuvent réduire leurs points de vulnérabilité et ne donner aux hackers que peu de possibilités – voire aucune – en termes de piratage.
Problématiques et limites
Malgré ses avantages, la biométrie comportementale n’est pas non plus la panacée pour remédier à tous les problèmes d’authentification. Voici quelques exemples de situations dans lesquelles il serait idéal d’adopter la biométrie comportementale dans le cadre d’une stratégie d’authentification complète plutôt qu’en tant que solution isolée.
Précision et fiabilité
La biométrie comportementale peut produire des faux positifs et des faux négatifs, étant donné que les comportements des utilisateurs peuvent varier considérablement face à des facteurs externes comme le stress, une blessure ou une maladie. Par exemple, un utilisateur qui a un doigt cassé changera forcément de schéma de frappe pour s’adapter à cette situation.
Acceptation des utilisateurs
Les utilisateurs peuvent présenter des obstacles qui limitent l’efficacité de la biométrie comportementale. Ils peuvent en effet s’opposer au profilage de leur schéma de frappe ou de leur voix, ou résister à l’adoption de nouvelles technologies intégrant la collecte de données comportementales et biométriques à des fins d’authentification/validation. L’adoption de la biométrie donne lieu à toute une série de problématiques liées à la collecte de données et aux questions de vie privée.
Coûts techniques et de déploiement
Mettre en place la biométrie comportementale est difficile pour les entreprises qui n’ont pas le savoir-faire technique adéquat. Aussi, même avec un personnel technique compétent accessible, l’intégration au sein des systèmes/infrastructures existants et leur maintenance continue peuvent être coûteuses et difficiles à suivre.
Futures évolutions et avancées
Alimentés par des algorithmes d’apprentissage automatique dernier cri, les systèmes modernes de biométrie comportementale sont de plus en plus précis et fiables, ce qui renforce la confiance des entreprises et leur disposition à y recourir. Et ce phénomène fait qu’ils sont de plus en plus intégrés à d’autres méthodes biométriques et d’authentification pour renforcer la sécurité. En réponse à l’adoption de la directive sur les services de paiements (PSD2) révisée de l’UE, certaines banques optent pour la biométrie comportementale dans une démarche potentielle d’élimination progressive des mots de passe.
Or, des préoccupations croissantes concernant le respect de la vie privée et la sécurité des données ont poussé à l’adoption de règlementations existantes et émergentes pour régir l’utilisation de la biométrie comportementale. Par exemple, le règlement général de protection des données (RGPD) et la loi américaine California Consumer Privacy Act (CCPA) imposent tous deux des règles particulières pour la collecte, l’utilisation et la conservation des données biométriques, bien que leurs approches de ces questions diffèrent. Le RGPD considère que les données biométriques relèvent de « catégories particulières de données », ce qui les soumet à un degré de protection plus strict.
Les mots de passe sont (pour le moment) bien partis pour rester dans nos pratiques, c’est pourquoi il faut les sécuriser.
Malgré ses promesses, la biométrie comportementale devrait vraisemblablement rester une forme secondaire de validation plutôt que de devenir une méthode d’authentification de premier plan. Pour la majorité des entreprises, les mots de passe continueront d’assurer la première ligne de défense, en particulier face à la complexité et au coût d’une transition vers des systèmes sans mot de passe. Les administrateurs Windows doivent ainsi privilégier la création de mots de passe forts et veiller à ce que des mécanismes soient en place pour empêcher l’utilisation de mots de passe compromis.
Specops Password Policy peut vous y aider en vérifiant en continu que vos identifiants Active Directory ne figurent pas parmi les plus de 4 milliards de mots de passe compromis connus : essayez-le gratuitement dès aujourd’hui !