Pendant des années, l’authentification traditionnelle était le « quelque-chose que nous sommes » du triptyque de l’authentification, qui comprend : quelque chose que nous sommes (comme la biométrie), quelque-chose que nous connaissons (comme le code PIN, le mot de passe ou le code envoyé par SMS) et quelque chose que nous avons (les informations d’identification délivrées en une seule fois par une clé de sécurité USB).
Mais les faiblesses inhérentes à la biométrie traditionnelle, du moins pour les deux utilisations les plus courantes que sont la lecture des empreintes digitales et la reconnaissance faciale, ont fait parler d’elles pour des problématiques d’efficacité et de sécurité. La gestion des identités et des accès a toujours été l’un des piliers clés d’une bonne stratégie de sécurité. Mais avec l’augmentation du nombre de travailleurs à distance en raison de la crise de la COVID-19, assurer la validité des utilisateurs à l’intérieur comme à l’extérieur du réseau traditionnel de l’entreprise n’a jamais été aussi important, ni aussi difficile.
Dernièrement la biométrie traditionnelle a en effet fait parler d’elle pour des défaillances en matière de sécurité. Une faille majeure au niveau de l’authentification d’empreintes digitales a en effet été identifiée. Un film de protection d’écran aurait permis à quiconque d’accéder à l’appareil en touchant simplement l’écran. Une histoire qui souligne bien la nécessité de mettre en place de meilleurs mécanismes d'authentification, comme l'authentification continue, élément clé d'une architecture de sécurité Zero Trust.
Alors que s’est-il passé avec le problème de scan des empreintes digitales ? Le problème ne venait pas de l’appareil en lui-même, il était plutôt dû à un bug qui est survenu lorsque des films de protection spécifiques étaient appliqués sur le téléphone. Certains types de films de protection donnaient l’illusion d’être en contact direct avec l’ensemble du téléphone dont le scanner d’empreintes digitales, alors qu’un léger espace subsistait entre le film et le scanner ce qui a perturbé le fonctionnement du lecteur d’empreinte.
Dans un article, le média Forbes explique que l’utilisation d’un film de protection en gel bon marché acheté sur eBay a complétement anéanti la sécurité d’un l’appareil. Une protection souple en gel avait capturé l’empreinte digitale de l’utilisateur autorisé et l’avait conservée, prête à être réutilisée pour la prochaine tentative d’accès. Par conséquent, l’appareil pouvait être déverrouillé par n’importe qui à l’aide d’une simple pression sur le lecteur.
Le problème est d’autant plus préoccupant que les appareils Android et iOS encouragent l’utilisation du scan d’empreintes digitales pour remplacer les identifiants de connexion pour accéder à peu près à tout. Par conséquent l’incident évoqué plus haut aura non seulement permis de déverrouiller l’appareil mais aura également permis d’accéder aux applications bancaires, d’effectuer des achats sur des sites de commerce électronique, pour ne citer que quelques exemples.
En bref, si une personne utilisant ce système de protection d’écran avait perdu ou s'était fait voler son téléphone, à peu près tout ce qui était accessible par cet appareil était en danger. Cela va bien sûr à l’encontre de la mission clé de la biométrie utilisée pour remplacer les mots de passe.
La réponse à ce type de vulnérabilité repose sur l'authentification continue qui permet de valider l'identité d'un utilisateur de manière continue en utilisant une grande variété de données incluant par exemple la localisation, au-delà des simples noms d'utilisateur et mots de passe - ou dans ce cas, une empreinte digitale.
L'authentification continue examine les activités de l'utilisateur, de la vitesse de frappe et des caractéristiques de manipulation du dispositif à d'autres facteurs comportementaux et contextuels qui sont beaucoup plus complets que les mots de passe et les empreintes digitales - même lorsque des méthodes d'authentification à facteurs multiples telles que les codes de texte SMS sont en place.
Authentification continue grâce à la biométrie
Bien faites, les authentifications biométriques peuvent fonctionner correctement, mais les réalités et les limites d'un smartphone n’en font pas une méthode de protection idéale, tant du point de vue de la sécurité que de la praticité. De plus, elles ne permettent pas de résoudre les problèmes liés au risque de compromission des données biométriques si elles ne sont pas correctement stockées - rappelons-nous qu’il est possible de changer un mot de passe, mais qu’il est quasiment impossible de modifier une empreinte digitale ou la structure du visage.
Il ne s'agit pas d'une problématique de sécurité mineure. Les appareils mobiles contrôlent et génèrent rapidement un volume toujours plus important de données. Et comme ils sont utilisés pour accéder aux dossiers bancaires, aux résultats d'examens médicaux et à d'autres données très sensibles, cette approche de l'authentification pourrait facilement s'avérer infructueuse. Pour les entreprises, des mécanismes plus sûrs comme l'authentification continue permettent de résoudre les problèmes d'authentification sans ajouter de nouveaux risques de sécurité.
L'authentification continue offre aux entreprises les avantages d'une authentification multifactorielle combinée à des analyses comportementales et contextuelles passives qui n'ont pas d'impact négatif sur l'expérience utilisateur ou les flux de travail tout en surveillant les anomalies qui nécessiteraient un niveau d'authentification plus approfondi. C'est la meilleure option pour les organisations qui cherchent à améliorer la sécurité sans compromettre la mobilité et la productivité de leurs employés.