Selon la National Academies Press, « la biométrie est la reconnaissance automatisée des individus en fonction de leurs caractéristiques comportementales et biologiques ». Ces caractéristiques sont de plus en plus utilisées pour sécuriser et permettre l’accès à un nombre croissant de systèmes et objets numériques tels que des applications, des sources de données, des téléphones portables, des ordinateurs et des bâtiments.
Tandis que les mots de passe présentent une faille majeure, celle de pouvoir être compromis, de pouvoir être volés et dans certains cas, de pouvoir être piratés et utilisés à des fins d’usurpation d’identité, la biométrie est une technologie bien plus sécurisée qui s’appuie sur l’apparence ou les actions idiosyncrasiques d’un utilisateur individuel pour lui permettre d’accéder à un appareil, à une base de données ou à un système.
Deux types de biométrie, physiologique et comportementale
En biométrie deux courants principaux peuvent être identifiés : la biométrie physiologique et la biométrie comportementale. Tandis que la première se fonde sur les traits physiques et est mise en œuvre au sein de la plupart des applications commerciales, la deuxième s’appuie sur les traits comportementaux d’un individu et est bien plus difficile à s’approprier.
- Biométrie physiologique
Le principal avantage de la biométrie physiologique repose sur le fait que les traits physiques d’un individu, qui sont usuellement stables et constants, sont utilisés comme moyens d’identification. Toutefois, dans des situations dans lesquelles l’apparence physique d’une personne évolue, en raison d’une blessure ou d’une opération chirurgicale, il peut se révéler difficile d’ajuster en conséquence les capteurs et appareils onéreux qui forment l’infrastructure biométrique physiologique. Ces derniers sont en outre habituellement utilisés une seule et unique fois (authentification unique), une surveillance continue n’étant ainsi pas possible sans perturber les activités de l’utilisateur.
L’une des formes les plus utilisées et les plus connues de la biométrie physiologique est la reconnaissance d’empreintes digitales. Cette dernière permet d’examiner les minuscules détails que révèlent les lignes et les discontinuités situées dans les sinuosités, les creux et les crêtes des empreintes digitales d’un utilisateur afin de lui permettre d’accéder à son téléphone et son ordinateur portable ou d’approuver des paiements sur des plateformes en ligne. Même si l’idiosyncrasie et les particularités de ces critères physiques permettent de renforcer la sécurité, il est toujours possible de pirater et de compromettre les systèmes d’analyse en utilisant un prélèvement d’empreintes digitales.
Autre application de la biométrie physiologique : la reconnaissance vocale, qui étudie les changements d’inflexion et d’intonation dans la voix d’un individu à mesure qu’il parle. L’un des principaux inconvénients de ce type de biométrie réside dans le fait que sa fonctionnalité peut se trouver altérée par un certain nombre de facteurs, tels que le bruit environnant ou l’état émotionnel du locuteur.
- Biométrie comportementale
Nos traits physiques ne sont pas les seuls éléments qui nous différencient. Des expériences psychologiques ont démontré que des tâches quotidiennes telles que parler, écrire, marcher et saisir du texte sont gouvernées par un ensemble d’actions qui peuvent être anticipées, une découverte qui forme la base des systèmes biométriques comportementaux.
La biométrie comportementale permet de s’affranchir de la limite la plus importante des systèmes biométriques physiologiques dans le sens où les données comportementales peuvent être collectées sans que l’utilisateur ait à intervenir et permettent tant la surveillance continue que l’authentification, sans perturber les activités de l’utilisateur. Certaines fonctions comportementales sont néanmoins instables et peuvent être influencées par le stress, la maladie, les problèmes de santé liés aux conditions météorologiques et d’autres facteurs transitoires.
L’une des technologies biométriques comportementales les plus utilisées est l’analyse du mouvement de la souris qui mesure la position relative du curseur à mesure qu’il se déplace, le facteur le plus évident étant la vitesse de mouvement du curseur. Le délai entre le mouvement de la souris et un clic est aussi révélateur que le temps qui s’écoule entre les deux clics d’un double-clic. Qui plus est, la vitesse angulaire (la vitesse de changement de la position angulaire d’un corps en rotation, ici, le curseur de la souris) peut également être une caractéristique utile permettant d’identifier l’utilisateur.
La biométrie comportementale est souvent négligée, mais peut se révéler la plus utile. Tandis qu’il peut être possible pour des criminels de s’introduire au sein d’un système, en usurpant l’identité d’un administrateur à des fins malveillantes, la biométrie comportementale permet de les détecter et de les bloquer avant qu’ils n’aient la possibilité de causer de réels préjudices.
La biométrie dans le domaine de la sécurité informatique
À mesure que notre monde se numérise, l’authentification est un problème de plus en plus significatif et complexe à gérer. À titre d’exemple, une large majorité des vols de données s’appuient sur le vol d’identifiants, un contexte qui permet aux cybercriminels d’accéder aux ressources les plus précieuses de l’infrastructure informatique des multinationales. Selon le rapport « Data Breach Investigations Report 2017 » de Verizon, « 81 % des intrusions criminelles se fondent sur un vol de mot de passe et/ou des mots de passe insuffisamment sécurisés ». Il est possible de remédier à cette vulnérabilité grâce à la mise en œuvre concrète et simultanée de trois pratiques biométriques essentielles.
- Détection en temps réel
Même si, dans la plupart des cas, les criminels passent des jours, des semaines voire des mois au sein des systèmes informatiques avant d’être détectés, ils peuvent parfois accéder aux données les plus critiques au cours des toutes premières minutes de leur attaque. Il est ainsi vital d’arrêter ces criminels aussi tôt que possible.
- Surveillance continue et non intrusive
L’authentification unique est utile si les identifiants d’un utilisateur ont été compromis par un cybercriminel externe. Pour les utilisateurs, les identifications multiples sont fastidieuses et chronophages. Ils sont ainsi susceptibles de les contourner dès qu’ils en ont l’occasion. Une surveillance continue basée sur le comportement permet de renouveler l’approche à adopter en matière d’authentification.
- Une précision plus raisonnable
Les analystes du domaine de la sécurité étant déjà submergés par des milliers de fausses alertes générées par leurs solutions de sécurité existantes, une technologie générant encore davantage de faux positifs n’est pas une option. Par conséquent, en associant un certain nombre de points de données biométriques, la précision peut être améliorée pour identifier en toute confiance que l’accès est bel et bien octroyé à la bonne personne.
La biométrie n’est pas une solution miracle...
L’une des premières choses que les professionnels de la sécurité informatique ont besoin de comprendre est qu’il n’existe pas de solution miracle. La biométrie, même s’il s’agit d’une technologie avancée, présente encore aujourd’hui des faiblesses lorsqu’elle est utilisée seule. La défense en profondeur, autrement dit, les mécanismes de sécurité multicouche qui renforcent la sécurité du système dans son ensemble, est l’un des concepts de sécurité informatique les plus anciens. Si une attaque met en échec un mécanisme de sécurité, les autres mécanismes en place restent en mesure de fournir la sécurité nécessaire à la protection du système.
Les méthodes de biométrie comportementale, telles que la dynamique de frappe ou l’analyse des mouvements de la souris, sont des exemples extrêmement efficaces en la matière. Outre les systèmes de sécurité préventive usuels, tels que les pare-feu et les sas de sécurité, les entreprises peuvent introduire en toute facilité ces solutions, sans contraindre leurs collaborateurs à se soumettre à des analyses intrusives. De plus, ces types de solutions fournissent des résultats en temps réel, car ils surveillent les activités des utilisateurs de manière continue et précise sans générer de fausses alertes. Grâce à cette approche extrêmement sécurisée et non perturbatrice, les entreprises auront les moyens de continuer à faire évoluer leurs tactiques pour prendre le pas sur les cybercriminels.