Authentification : les alternatives biométriques aux mots de passe

26 juin 2014 à 11h31
0
Le binôme identifiant/mot de passe pose quasiment autant de problèmes qu'il n'en résout : pas suffisamment fiable alors que les utilisateurs utilisent bien souvent le même. Différentes alternatives commencent à être déployées. Mais la plupart présente des limites.

0226000007456919-photo-iris-biom-trie-identification.jpg


Les enquêtes se suivent et se... ressemblent toujours. Depuis des années, elles révèlent que la majorité des mots de passe (et des identifiants, appelés aussi « login ») sont rudimentaires, voire « simplistes ». Beaucoup de ces sésames sont une suite de chiffres (exemple : 123456, qui est le plus utilisé en 2013 selon une étude de Splashdata, fournisseur d'applications de gestion de mots de passe) ou de lettres (exemple : abcdef) ou de mots de la vie courante (exemple : chat, maison, bureau...). Sans parler bien sûr des incontournables dates de naissance et prénoms !

Ce constat n'est finalement pas très surprenant. Chaque internaute ayant en moyenne une vingtaine de mots de passe, la création de différents « passwords » capables de résister plus ou moins longtemps aux différentes techniques de piratage devient un casse-tête ! Il n'est donc pas étonnant que les internautes - grand public et professionnels - succombent à la facilité en imaginant des mots de passe simples à mémoriser, voire à n'en utiliser que quelques-uns pour tous leurs comptes !

Les attaques à répétition des sites (Twitter, LinkedIn, eBay, Orange...), sans parler de la faille « Heartbleed », n'arrangent pas la situation . A chaque fois, c'est la même rengaine : « changez vos mots de passe ». A ce rythme-là, les internautes auront bientôt fait le tour de toutes les dates de naissance qu'ils connaissent !

Payer pour être en sécurité ?

Certes, il existe différentes solutions permettant de mettre à l'abri ses précieux mots de passe : le logiciel Keepass, les applications gratuites et payantes (30 euros par an) de l'entreprise française Dashlane ou encore la KrisCard (9,90 euros). Mise au point par Christophe Picot, cette carte a été doublement primée au Concours Lépine 2014 (Prix du Ministère de la Justice et Médaille d'or du concours).

00FA000005282440-photo-ric-filiol-directeur-du-laboratoire-de-virologie-et-de-cryptologie-op-rationnelles-de-l-esiea.jpg
Son fonctionnement est directement inspiré de celui des anciens coffres-forts que l'on ouvre en tournant une molette, dans un sens ou dans l'autre, en respectant un certain nombre de crans, correspondant à une combinaison (la seule chose à retenir) constituée de 4 à 8 chiffres, en fonction du niveau de sécurité désiré.

C'est un fait, un mot de passe n'est plus une parade efficace. Surtout s'il s'agit d'un mot de passe « faible ». « Pas besoin de disposer d'un supercalculateur ; avec un puissant PC portable, un programme spécialisé dans les attaques par dictionnaire (schématiquement, le logiciel scanne pour trouver des mots existants dans un dictionnaire, Ndlr) peut tester 500 millions de mots de passe à la seconde », prévient Eric Filiol, Directeur du laboratoire de virologie et de cryptologie opérationnelles à l'ESIEA.

Face à ce constat, différentes alternatives sont avancées et proposées. Leurs partisans tiennent tous le même discours : « notre solution est simple, mais efficace ».

Les principales solutions reposent sur l'authentification biométrique. En effet, selon une étude récente (février 2014) du cabinet d'analyse américain Gartner, 30 % des entreprises devraient recourir à des méthodes d'authentification biométrique pour leurs terminaux mobiles d'ici 2016. L'authentification par biométrie consiste à utiliser un système de reconnaissance basé sur les caractéristiques physiques ou comportementales d'un individu pour vérifier son identité.

L'empreinte digitale : simple mais risqué

L'authentification de l'empreinte digitale est la mesure biométrique la plus employée dans le monde. Une quinzaine de points caractéristiques (appelés les minuties) correctement localisés permettent d'identifier une empreinte parmi des millions. La probabilité de trouver deux individus avec des empreintes similaires est de 1 sur 1 024. Même les jumeaux monozygotes auront des empreintes digitales différentes.

00FA000007197582-photo-samsung-galaxy-s5.jpg
Par souci de validité, certains capteurs intègrent aussi un système mesurant la pulsation cardiaque, la pression sanguine ou une photo infrarouge afin de vérifier qu'il ne s'agit pas d'un doigt coupé ou d'une empreinte artificielle.

La présence d'un lecteur d'empreintes digitales n'est pas nouvelle puisqu'en 2009, Acer l'avait intégré à son M900. Trois ans plus tard, Fujitsu faisait de même avec son Arrows Z ISW13F. Mais aujourd'hui, les smartphones se sont généralisés et les risques de piratage de données sensibles ont augmenté au fur et à mesure que leurs propriétaires y stockaient des données personnelles plus ou moins bien sécurisées.

Apple et HTC ont ouvert le bal avec, respectivement, l'iPhone 5S et le One Max. Depuis, d'autres marques ont annoncé leur intention de proposer le même service. C'est le cas de LG et de Samsung avec son Galaxy S5, dévoilé lors du Mobile World Congress 2014 de Barcelone. Le Galaxy S5 intègre une technologie d'authentification biométrique permettant aux utilisateurs PayPal de régler leurs achats, en magasin et en ligne, par simple reconnaissance de leurs empreintes digitales. Depuis cette annonce, PayPal envisagerait d'adapter cette solution au capteur Touch ID d'Apple (sous iOS 8).

« C'est complètement stupide »

Cette intégration dans un smartphone apparaît comme la première adaptation concrète des travaux menés la FIDO Alliance. Créé en juillet 2012, ce consortium réunit notamment Google, Netflix, PayPal, des établissements bancaires, mais aussi Bank of America ou Target (victime d'un piratage géant il y a quelques mois... ). Son objectif : favoriser l'authentification forte grâce à plusieurs facteurs.

Présentée comme une solution pratique et sécurisée, l'authentification digitale a été rapidement mise à mal par les hackers. « C'est complètement stupide d'utiliser comme élément de sécurité quelque chose qu'on laisse si facilement traîner derrière soi », a expliqué le président du Chaos Computer Club, Frank Rieger.

00C8000007457017-photo-empreinte-ccc.jpg
00C8000007457019-photo-empreinte-ccc.jpg
00C8000007457021-photo-empreinte-ccc.jpg


Résultat, les capteurs d'empreintes du Galaxy 5 et de l'iPhone 5S ont été piratés quelques jours après leur sortie par les chercheurs allemands du SRLabs.

L'équipe a également constaté que le smartphone coréen était moins bien sécurisé que son concurrent américain, car il n'y a pas de deuxième couche de sécurité (Code PIN sous l'iPhone 5S).

Certes, la technique utilisée par les chercheurs allemands n'est pas à la portée du premier venu (la photo d'une empreinte a été transférée sur un support à base de colle à bois, lequel est apposé sur un moule), mais elle est inquiétante : « lier le capteur à des applications aussi sensibles que PayPal va inciter encore plus les pirates à apprendre à usurper des empreintes digitales, une compétence aisée à maîtriser », souligne le SRLabs.

Le plus surprenant est que les mises en garde contre les limites de ce type d'authentification sont récurrentes depuis quelques années. En mai 2002, Tsutomu Matsumoto, de la Yokohama National University, a développé une technique permettant de concevoir de fausses empreintes digitales avec la gélatine alimentaire, utilisée pour la fabrication des bonbons. Il affirme être parvenu, 8 fois sur 10, à duper les 11 systèmes de reconnaissance d'empreintes qu'il a testés. Autre variante proposée et testée pour des empreintes laissées sur des verres : de la colle ultra forte et un logiciel de retouche photo pour augmenter le contraste de l'image avant de l'imprimer sur un transparent.

L'iris : encore de gros inconvénients

La probabilité de trouver deux individus avec des iris ayant des caractéristiques similaires est de 1 sur 1 072. Apparu au milieu des années 90, le scanner de l'iris analyse notamment la position, la longueur et le relief des tubes qui composent l'iris. Un logiciel vérifie ensuite ces caractéristiques avec celles stockées dans une base de données. Pour s'assurer qu'il ne s'agit pas d'un faux iris, certains appareils envoient une lumière dans l'œil et analysent ensuite la réaction de dilatation et de rétraction de la pupille.

01C2000007457129-photo-eyelock.jpg

Mais pour l'instant, ces dispositifs ne sont pas très répandus. La société américaine EyeLock communique sur Myris, son scanner connecté au port USB. Mais pour l'instant, il n'est pas encore en vente. Samsung avait envisagé d'intégrer cette solution à son Galaxy S5 avant de l'abandonner au profit du lecteur d'empreintes.

Pas vraiment étonnant, car cette solution présente de nombreux inconvénients. L'utilisateur ne doit pas bouger durant le scan et être près de la caméra. Par ailleurs, la capture de l'iris est jugée intrusive par certaines personnes. Ces appareils sont également volumineux. Mais surtout, ils manquent de fiabilité. Dans une intervention au Black Hat 2012, des chercheurs de l'Université autonome de Madrid en Espagne, et de l'Université de la Virginie de l'Ouest aux États-Unis, ont indiqué qu'ils avaient testé leur faux iris sur un système commercial (VeriEye de la société Neurotechnology). Dans 80% des cas, le scanner n'avait rien vu de louche !

L'authentification vocale : mais que fait Laurent Gerra ?

Leader sur les marchés des solutions d'imagerie numérique et de reconnaissance et de synthèse vocales, Nuance apparaît comme l'un des plus ardents partisans de cette solution.

00FA000002703520-photo-nuance.jpg
Nuance est en discussion avec d'importants fabricants de téléphones mobiles pour intégrer la biométrie vocale dans leurs prochains modèles. Cette solution pourrait être utilisée à la place du code PIN et de tout autre code d'identification. Selon l'entreprise, elle serait aussi très pratique dans les foyers équipés d'une tablette partagée par plusieurs personnes. La biométrie vocale pourrait ainsi permettre de débloquer le profil spécifique (applications personnelles, playlist...) de chaque utilisateur. Autre différence majeure par rapport à d'autres solutions, la biométrie vocale est considérée par les utilisateurs comme étant moins « intrusive » que la reconnaissance de l'iris.

La solution de Nuance pourrait fonctionner de la façon suivante : « la première fois qu'un client s'identifie auprès d'un système, un échantillon de sa voix est prélevé et stocké. Lorsqu'il réutilise le système, un second échantillon de sa voix est collecté, puis comparé à l'empreinte stockée. Cette comparaison génère un score de confiance. De cette façon, on détermine si l'interlocuteur peut ou non accéder au système. En outre, la biométrie vocale est capable de s'adapter aux variations de la voix résultant, par exemple, d'un rhume ou du vieillissement », explique Joël Drakes, Responsable Avant-Vente chez Nuance Communications France.

La voix est propre à chaque personne et permettrait donc une parfaite identification. Toutefois, l'Association Francophone de la Communication Parlée (AFCP) rappelle que « la voix n'est pas une empreinte digitale ou génétique. La voix présente des différences majeures avec les empreintes digitales et génétiques » :

  • La voix évolue au cours du temps, que ce soit à court terme (moment de la journée), à moyen terme (période de l'année) et à long terme (avec l'âge), ainsi qu'en fonction de l'état de santé ou l'état émotionnel.
  • La voix est un élément modifiable volontairement (cf. les imitateurs) et aisément falsifiable, avec les moyens techniques existants.

L'organisme ajoute : « l'évaluation scientifique de la fiabilité des empreintes digitales et génétiques repose notamment sur l'existence de bases de données expérimentales de dimension très importante. Dans le domaine vocal, les bases de données disponibles actuellement ne comportent pas un nombre suffisant de locuteurs, de langues, de conditions d'enregistrement pour évaluer la fiabilité des méthodes existantes dans un contexte d'authentification vocale ».

Le multifacteur

Force est de constater que tout système biométrique peut être piraté. « Dès lors, l'approche nouvelle consiste à évaluer d'une certaine mesure si l'accès qui est demandé est légitime. Cela consiste à analyser le contexte de la demande d'accès pour repérer une usurpation d'identité. Par exemple, vous vous connectez toujours au site de votre banque depuis le même ordinateur ou le même smartphone en France. Si votre banque détecte une connexion depuis un pays lointain ou un autre terminal, cela peut être suspect. Dans ce cas, l'établissement bancaire peut vous envoyer un SMS pour valider cette connexion », explique Patrick Marache, manager au sein de la practice Risk management et sécurité de l'information de Solucom, un cabinet de conseil en management et système d'information.

00FA000007457071-photo-quixter.jpg
L'autre piste consiste à multiplier les facteurs d'identification. C'est ce que propose la Natural Security Alliance qui réunit une trentaine d'entreprises (dont des banques françaises, Leroy Merlin, Visa....) et associations. Sa solution combine un lecteur d'empreintes digitales (ou des veines du doigt), un dispositif personnel pouvant prendre différentes formes (carte bancaire, carte MicroSD, téléphone mobile avec carte SIM) et une liaison radio courte portée sécurisée (ZigBee ou Bluetooth Low Energy) reliant les deux appareils.

Ce procédé a été retenu par Quixter, une start-up suédoise qui a mis en place un nouveau moyen de paiement biométrique utilisant le réseau veineux de la paume de la main. Il est ainsi possible de payer dans la quinzaine de commerces équipés d'un terminal Quixter en renseignant les quatre derniers chiffres de son numéro de téléphone pour vérifier le montant prélevé et en présentant simplement sa paume. Les données sont alors authentifiées et enregistrées sur un compte Quixter, qui débitera ensuite le compte bancaire de l'utilisateur deux fois par mois.

La solution miracle n'existe pas encore. L'ensemble de ces procédés présentent chacun des avantages certains mais également des inconvénients notoires. L'une des solutions envisageable peut alors être l'utilisation des veines de la main comme élément d'authentification. Plusieurs constructeurs se sont déjà positionnés sur le sujet et avancent l'argument selon lequel aucun contact avec la peau n'est nécessaire. En France, la Cnil a même allégé les formalités à remplir pour les sociétés désirant implémenter ce type d'outil. De quoi donner un coup de pouce à cette technologie.

0190000007457063-photo-main-veines.jpg
Haut de page