En reprenant les fondamentaux pour essayer d’expliquer certains concepts et idées de base sur les façons d’authentifier les utilisateurs en ligne, je me suis dit qu’il serait intéressant de se pencher sur l’authentification biométrique. Pourquoi ? Selon une enquête réalisée par Visa, deux tiers des Européens souhaiteraient utiliser l’authentification biométrique pour les paiements/transactions en ligne. Une proportion importante qui traduit les véritables souhaits d’une majorité des utilisateurs en ligne.
L’authentification multi-facteur désigne l’utilisation de plusieurs facteurs pour établir l’identité d’un utilisateur en ligne. Le code SMS envoyé à un numéro de téléphone enregistré par l’utilisateur (souvent appelé mot de passe à usage unique) représente un facteur d’authentification secondaire courant (le « deuxième facteur »). Cette méthode très répandue a cependant été critiquée pour sa vulnérabilité et son usage est aujourd’hui discrédité par des sociétés comme le NIST(National Institute of Standards and Technology). De manière générale, il existe trois catégories de facteurs :
- Quelque chose que vous connaissez (mot de passe…)
- Quelque chose que vous possédez (jeton, téléphone, carte à puce…)
- Une partie de vous (empreintes digitales…)
La biométrie relève de la 3e catégorie « une partie de vous ». Avec la généralisation des smartphones équipés de lecteurs d’empreintes digitales, l’empreinte digitale est devenue le facteur biométrique le plus courant. On pourrait avoir d’autres facteurs biométriques comme le visage, la rétine de l’œil, les battements du cœur, la voix, un comportement spécifique, etc. Peut-être l’ADN sera-t-il un jour un facteur d’authentification en ligne ? Je n’entrerai pas dans les détails de la biométrie, mais je vous invite à lire l’article « what are biometrics ? »(en anglais) sur le site FindBiometrics.
Utiliser vos empreintes digitales pour accéder à votre banque en ligne ?
On sait désormais que l’on peut utiliser un facteur biométrique pour faciliter le processus d’authentification. Regardons de plus près comment cela fonctionnerait dans la vraie vie.
Votre iPhone ne vous octroie pas automatiquement l’accès à votre compte bancaire. Les systèmes d’Apple et de votre banque sont entièrement distincts. Comment établir un pont pour vous permettre d’accéder à vos ressources du bout du doigt ? Première chose à faire : mettre en place un fournisseur d’identité comme GlobalSign. Le fournisseur d’identité permet à la banque d’accepter d’autres méthodes d’authentification que ses propres générateurs de mots de passe à usage unique, comme ceux qui traînent quelque part chez vous.
Ensuite, il vous faut télécharger une application comme MePin sur votre téléphone. Une fois l’appli téléchargée, votre navigateur lancé et la connexion établie avec votre site bancaire, nous procédons à ce que l’on appelle la « fédération axée sur l’utilisateur ». Cela suppose que lors de l’authentification, vous commenciez par vous authentifier avec vos identifiants bancaires (ce que j’appelle : « le jeton que le chien a mangé »), puis que vous entriez quelque chose comme votre numéro de téléphone. Le fournisseur d’identité de la banque envoie alors une demande d’authentification à l’appli de votre smartphone pour vous demander votre empreinte digitale. En appuyant alors sur le cercle qui s’affiche sur votre iPhone, vous envoyez une réponse au fournisseur d’identité et le tour est joué ! Vous pouvez maintenant utiliser votre empreinte digitale pour vous authentifier auprès de votre banque au lieu d’utiliser le jeton (que le chien a mangé).
Mais est-ce vraiment de la biométrie jusqu’au bout ?
Si l’on reprend le circuit décrit plus haut, on pourrait penser que vos empreintes digitales sont la clé qui a permis de déverrouiller la porte du site web… ce serait faux. Dans le scénario précédent, l’empreinte digitale remplace le code PIN. L’appli contient une clé privée (PKI) qui sert à signer de manière cryptographique le message de réponse envoyé au fournisseur d’identité. Cette clé peut être protégée par un code PIN, des empreintes digitales ou de la reconnaissance faciale. C’est ainsi que l’authentification biométrique doit être implémentée pour les services en ligne. Les informations biométriques ne quittent pas le terminal.
Authentification biométrique : quels avantages ?
Prenons un utilisateur lambda, peu versé dans la sécurité. Il considère que c’est à la banque de s’en charger d’une manière ou d’une autre. Pour lui, c’est surtout le côté pratique et la simplicité d’utilisation qui comptent. Les mots de passe complexes à changer tous les 90 jours sont un vrai cauchemar, personne ne dira le contraire. On peut affirmer, sans risque de se tromper, que les jetons de mot de passe à usage unique qui génèrent des séquences de 6 à 8 chiffres sont un facteur tout sauf pratique. Même sans chien pour avaler ces jetons, vous avez probablement chez vous un mystérieux trou noir où disparaissent à tout jamais tous les jetons et autres petits gadgets. J’en ai au moins un dans mon appartement.
La biométrie, qui peut utiliser un objet que vous tenez dans le creux de votre main des dizaines de fois par jour – soit à cause de Pokémon ou de WhatsApp – offre une solution d’authentification très pratique. Outre cet aspect commode, son taux d’acceptation et sa facilité d’utilisation dépassent également tout ce qui peut exister sur le marché.
Authentification biométrique : quels inconvénients ?
Le caractère immuable de la biométrie est la principale critique que l’on peut formuler à son encontre – on ne peut pas la changer. C’est vrai, à quelques exceptions près. Si pour une raison quelconque, le modèle biométrique de votre pouce fuit, vous pouvez toujours utiliser un couteau pointu pour le déformer (bien entendu, je plaisante...). Il existe aussi ce que l’on appelle la biométrie annulable, qui consiste à déformer les éléments biométriques et à les mapper sur un nouveau modèle.
Autre point sensible : la protection de la vie privée. Certains utilisateurs peuvent être réticents à l’idée de souscrire à un programme biométrique et de révéler des informations personnelles. Ils considèrent cela comme très personnel et une intrusion dans leur vie privée.
Dans le domaine de la sécurité de l’information, rien n’est jamais sûr à 100 %. Les chercheurs en sécurité ont démontré qu’il est assez facile de piéger un capteur biométrique. Les vendeurs de solutions d’authentification biométrique ont naturellement amélioré leurs logiciels pour compliquer l’utilisation, par exemple, d’images statiques d’un visage pour la reconnaissance faciale.
L’aspect pratique est l’argument qui plaide le plus en faveur de l’authentification biométrique. Je vous conseillerais d’utiliser la biométrie pour débloquer un autre élément (comme la clé privée de la PKI) qui servira pour l’authentification. De cette façon, si vous perdez votre terminal, il vous suffira d’effacer votre téléphone et de révoquer la clé PKI, c’est tout. S’appuyer uniquement sur l’authentification biométrique évoque une situation à la Mission Impossible. Tom Cruise pourrait tout simplement se laisser glisser le long du conduit de ventilation pour aller voler tous vos biens.
Nous évoquons plus en détail les points à prendre en compte avant de recourir à l’authentification biométrique dans un précédent billet de blog. Si vous souhaitez approfondir le sujet, jetez-y un œil.
