L’authentification sans mot de passe ?
Il s’agit d’un système qui élimine le besoin ou l’obligation de générer un mot de passe traditionnel. Concrètement, des méthodes de sécurité renforcée sont appliquées. On peut trouver une empreinte digitale, un lien magique, un jeton secret, etc., transmis via un SMS ou un e-mail.
Les avantages de l’authentification sans mot de passe sont au moins trois :
-Les utilisateurs ne sont désormais plus obligés de mémoriser leurs informations de mot de passe, ce qui mène à une excellente expérience de temps d’écran. Qu’il s’agisse des mails professionnels ou de la consultation d’une application sur son portable.
–Sans mots de passe à exploiter, les utilisateurs n’auront aucun problème pour utiliser des applications. Ce qui annihile le risque d’une attaque par la force brute, ou autre.-Plus de commodité en accédant ou en obtenant des informations partout et à tout moment.
Il y a plusieurs types d’authentification sans mot de passe :
– Par Email =) il faut entrer son adresse e-mail pour obtenir un lien ou un code unique pour pouvoir se connecter.
–Par SMS =) il faut saisir un numéro de téléphone est nécessaire pour obtenir un code unique pour la connexion.
–Par biométrie =) par le biais de l’iris, du visage ou de ses empreintes digitales.
L’authentification sans mot de passe exploite des technologies telles que les certificats numériques.
Penchons-nous particulièrement sur la biométrie.
La biométrie
Petite définition
Au sens littéral, la biométrie signifie la “mesure du corps humain”.
Elle vise à permettre l’authentification de l’individu. On distingue deux catégories de technologies biométriques : les mesures physiologiques, et les mesures comportementales.
Les différentes techniques utilisées ne sont naturellement pas figées, la nature de leur discipline les en empêche
Identification et authentification biométrique
L’identification consiste à déterminer l’identité d’une personne.
Une question simple est posée : «qui êtes-vous ?».
L’authentification, ou vérification, consiste à comparer les données caractéristiques provenant d’une personne, au modèle de référence biométrique de cette dernière, déjà enregistré et stocké, pour vérifier que la personne est bien celle qu’elle prétend.
Ici, la question est plutôt : «êtes-vous bien Monsieur ou Madame X ?».
Quelles sont les capacités de la biométrie ?
La biométrie peut-être utilisée par des Etats comme par des particuliers.
Les techniques biométriques sont principalement utilisées dans les secteurs suivants : gestion de l’identité, identification judiciaire,administration et contrôle d’accès. Le secteur privé est tout autant concerné que le secteur public.
Les techniques biométriques sont en constante évolution : même la forme de l’oreille est concernée.
Ces techniques biométriques ont plusieurs choses en commun car elles sont :
-universelles : tout individu est concerné
-uniques : tout individu doit pouvoir être différencié par rapport à un autre
-permanentes : l’évolution dans le temps est un facteur pleinement intégré
-enregistrables : l’accord de l’individu est nécessaire pour collecter les caractéristiques qui lui sont propres
-mesurables : une comparaison dans un temps futur est possible
-infalsifiables : objectif fondamental de la biométrie
Biométrie : suite
Quels sont les différents types de biométrie ?
EN VOICI QUELQUES UNES :
–BIOMÉTRIE PAR EMPREINTE DIGITALE
Nous la devons à Apple Computer qui, en 2013, a commercialisé l’iPhone 5s doté de la fonction TouchID. Ce dernier incluait une intégration simple de l’authentification par empreinte digitale. L’empreinte digitale est vérifiée en comparant les boucles, les arcs et les verticilles uniques de chaque motif. Après la capture de l’empreinte, des algorithmes sophistiqués utilisent l’image pour produire un modèle biométrique numérique unique. Le modèle est ensuite comparé aux scans existants ou à de nouveaux scans pour confirmer ou non une correspondance.
– BIOMÉTRIE FACIALE
L’utilisateur prend une photo de son visage pour qu’elle soit comparée en temps réel au visage enregistré. Ce système mesure la géométrie du visage, c’est-à-dire la distance entre les yeux, entre le menton et le front, et de multiples autres points. Pour finir, un algorithme avancé transforme les informations collectées en une signature faciale cryptée.
-BIOMÉTRIE COMPORTEMENTALE
Les «schémas comportementaux» sont, par exemple la manière d’utiliser la souris ou de taper au clavier de l’ordinateur. Leur but est de créer un profil «réel» de l’utilisateur, qui peut ensuite être comparé à un profil «escompté»(profil analysé pour voir s’il correspond au premier).
– BIOMÉTRIE VOCALE
Elle vise à comparer la voix d’une personne à son empreinte vocale. Cette dernière étant déjà stockée. L’analyse de la voix porte sur 1000 facteurs par rapport à une empreinte vocale impossible à falsifier ou à dupliquer. Cette dernière, c’est important ne peut-être ni réutilisée ni dérobée.
La biométrie vocale peut être ajoutée à des applications sécurisées en self-service et peut même écouter des conversations entre un agent et un client afin d’authentifier ce dernier sans effort.
La biométrie vocale peut être «active», dans ce cas l’utilisateur énonce une phrase clé comme «ma voix est mon mot de passe» qui permet aux entreprises de créer des canaux numériques en self-service sur une appli ou un site Web, pour traiter les transactions de façon sécurisée.
Elle peut également être «passive» et sera écoutée en arrière-plan d’une conversation, par exemple entre un client et un agent. Dans ce cas, pour que cela marche, le client ne doit effectuer aucune autre action et doit-être authentifié sous 10 secondes.
Est-ce que la biométrie est fiable ?
Elle repose sur des algorithmes statistiques. Sa fiabilité n’est pas garantie à 100 % quand elle est appliquée seule.
Depuis quelques années, une technique vise à réduire au maximum le risque d’erreur. Il s’agit de la biométrie multimodale : elle vise à combiner deux biométries ou davantage encore. Par exemple, en combinant les empreintes digitales et l’iris.
Conséquence logique : cette technique signifie l’utilisation d’un serveur centralisé, dont l’architecture doit être particulièrement sécurisée. Qu’arriverait t’il si ce serveur plantait ?
Aujourd’hui, il semble que les mesures physiologiques ont l’avantage d’être plus stables dans la vie d’un individu. L’effet de stress est moins prononcé que pour l’identification par mesure comportementale.
Les risques objectifs de la biométrie
Avancée réelle, la biométrie nous présente maintenant une face plus inquiétante.
D’abord, il y a le «faux rejet» : la machine ne sait pas reconnaître une donnée biométrique qui pourtant correspond à la personne. Tout est dans les mots «ne sait pas».
Ensuite, il y a la «fausse acceptation» : la machine assimile deux données biométriques qui ne proviennent pas de la même personne.
Ces deux problèmes concernent toutes les techniques utilisées en biométrie. Mais les risques d’erreur ne viennent pas de la même source.
Des techniques biométriques sont plus ou moins adaptées à certaines catégories de personnes. La faute à des facteurs ergonomiques en cours de maitrise.
Par exemple, tel système peut fonctionner pour les femmes, moins pour les hommes.
D’autres difficultés surviennent quand, pour la reconnaissance faciale, une personne se teint les cheveux ou autre modification corporelle.
Des erreurs sont également possibles selon les technologies utilisées : ainsi, un modèle d’appareil photo de mauvaise qualité peut sensiblement augmenter le risque d’erreur pour votre photo de vérification.
En plus des techniques, le risque d’erreur varie également selon l’environnement immédiat et l’application : cadre de prise de vue, position corporelle de la personne….
Sachez que, dans une solution de contrôle biométrique le taux de rejet et d’acceptation sont intimement liés. Ils peuvent même être paramétrés en fonction du niveau de risque acceptable. Il n’est pas possible d’augmenter l’un sans impacter l’autre.
Bien sûr, vous vous demanderez en quoi la biométrie peut affecter votre quotidien. Ce n’est pas réservé à une élite sociale, économique ou politique. Cette méthode d’identification peut s’appliquer aux petites et très petites entreprises, sans oublier la fonction publique, même si l’adaptation sera plus longue. Alors, renseignez-vous dès maintenant !