L’authentification est un moyen de vérifier qu’une personne est bien celle qu’elle prétend, sans laisser de place au doute. L’authentification biométrique réalise cette vérification en s’intéressant à des caractéristiques biologiques ou comportementales spécifiques.
Un système d’authentification fonctionne en comparant des données fournies aux informations validées concernant l’utilisateur, qui sont stockées dans une base de données. Dans les systèmes classiques, ces informations sont constituées par des mots de passe. Dans l’authentification biométrique, ces informations sont définies comme des traits physiques ou comportementaux.
Par exemple, dans un système de reconnaissance faciale, différentes caractéristiques faciales sont traitées et converties en données numériques, qui sont stockées dans une base de données. Lorsqu’une personne essaie de se connecter, le système recapture son visage, extrait les données numériques, puis les compare avec les informations stockées dans la base de données. Il existe d’autres types d’authentification biométrique :
La biométrie comportementale vérifie l’identité en analysant le comportement physique et cognitif d’un utilisateur. Cette technologie utilise des algorithmes d’apprentissage automatique pour définir les schémas de comportement et d’activité de l’utilisateur. Ces schémas sont ensuite utilisés pour détecter si une personne est bien qui elle prétend être.
Voici quelques exemples de biométrie comportementale :
L’intérêt des données biométriques est qu’elles sont uniques. Sachant cela, vous pourriez penser que l’authentification biométrique ne peut être piratée. Mais vous auriez tort. Comme n’importe quel autre système, l’authentification biométrique n’est pas à l’abri du piratage. Les algorithmes d’IA modernes peuvent être utilisés pour générer des empreintes digitales capables de tromper les lecteurs d’empreintes digitales.
De plus, certaines vulnérabilités ont été observées dans les processus de collecte, traitement, mise en correspondance et enregistrement des données, même dans les systèmes biométriques les plus sophistiqués.
Un système d’authentification biométrique unimodal vérifie une seule caractéristique spécifique, par exemple un visage ou une rétine. Mais comme nous venons de le voir, un tel système est susceptible de faire l’objet d’une usurpation d’identité.
L’authentification biométrique multimodale s’avère utile en ce sens. Avec cette approche, plusieurs informations biométriques sont contrôlées au cours de la vérification d’identité. L’usurpation d’identité par une personne malveillante devient ainsi beaucoup plus difficile.
Par exemple, un hacker pourra sans doute trouver la photo d’une personne sur Internet, et est susceptible de l’utiliser pour tromper un système de reconnaissance faciale. Mais si le système lui demande de fournir d’autres informations, par exemple une vidéo de la personne disant son mot de passe, il est très improbable qu’il puisse la trouver.
De plus, le fait de combiner la biométrie physique et la biométrie comportementale peut aussi renforcer la sécurité. Même si une personne malveillante parvient à usurper une empreinte digitale, le système est capable de détecter un changement de comportement et pourra refuser l’accès. Par exemple, la vitesse d’interaction avec le système peut être plus lente qu’avec le véritable utilisateur, ou la personne malveillante utilise des raccourcis clavier que l’utilisateur réel n’a jamais utilisés.
La biométrie constitue une amélioration réellement nécessaire par rapport aux mots de passe. Les mots de passe sont très faciles à pirater. Parfois, il suffit à un hacker de disposer de la date de naissance d’une personne et du nom de son chat. En revanche, les données biométriques sont beaucoup plus difficiles à obtenir.
Vous ne les trouverez pas écrites sur un pense-bête ni renseignées automatiquement sur un navigateur. Pour les pirates, il est donc bien plus difficile de s’introduire dans des systèmes biométriques sans mot de passe, surtout dans ceux qui emploient l’authentification multimodale.
L’une des raisons principales du succès et de la prédominance de l’authentification biométrique est que les utilisateurs la trouvent beaucoup plus pratique. Pas besoin de se souvenir d’un mot de passe compliqué ni d’en changer tous les deux mois. Il suffit de placer le doigt sur un clavier ou de regarder un lecteur rétinien, et le tour est joué.
Certains systèmes, comme la reconnaissance faciale, permettent même d’authentifier sans que l’utilisateur ne fasse de mouvement conscient. Le simple fait de bouger dans une pièce ou de s’asseoir en face d’un ordinateur peut suffire.
L’authentification biométrique et les modèles Zero Trust sont complémentaires. Pour mettre en place un véritable modèle Zero Trust, où rien n’est considéré comme intrinsèquement fiable, vous pouvez faire confiance à la validation d’identité résiliente de systèmes biométriques.
Oui, la biométrie est généralement plus sûre, mais elle n’est pas infaillible. Les hackers peuvent usurper des données biométriques en utilisant différentes techniques telles que le téléchargement ou l’impression de la photo d’une personne, l’utilisation d’une fausse empreinte digitale en silicone ou encore d’un masque 3D. De telles attaques sont désignées sous le nom d’attaques de présentation.
Par ailleurs, les lecteurs d’empreintes digitales des smartphones se basent souvent sur des correspondances partielles. Des chercheurs ont établi qu’il était possible de créer des « matrices » qui correspondent aux données partielles de nombreuses personnes, et donnent donc accès à un grand nombre de comptes d’utilisateurs.
Outre le fait de pouvoir être piratés, les systèmes biométriques échouent aussi parfois dans la reconnaissance d’un utilisateur valide. Cela peut arriver si quelqu’un porte un maquillage différent de d’habitude ou de nouvelles lunettes, ou si la voix de l’utilisateur sonne différemment car il est malade ou vient de se réveiller.
Il n’est donc pas surprenant que les solutions biométriques de qualité coûtent plus cher. D’ailleurs, 67 % des professionnels de l’informatique citent le coût comme principale raison pour ne pas adopter l’authentification biométrique. Il existe également des coûts cachés, 47 % des personnes interrogées indiquant la nécessité de mettre à niveau leurs systèmes pour qu’ils soient compatibles avec une transition vers la biométrie.
De nombreux types de systèmes biométriques soulèvent des questions d’éthique. L’une d’entre elles concerne la discrimination. Les systèmes de reconnaissance faciale sont susceptibles de ne pas reconnaître aussi bien les personnes de couleur ou les personnes non-cisgenres.
En outre, de nombreux systèmes biométriques ont été entraînés avec des photos de personnes blanches, et même souvent d’hommes blancs. Cela apporte une composante discriminatoire inhérente qui découle sur une difficulté à reconnaître les femmes et les personnes de couleur.
S’ajoutent à cela les craintes concernant la façon dont les données biométriques sont partagées. Est-il acceptable pour les entreprises de vendre ou de fournir leurs données biométriques à d’autres, notamment des autorités de maintien de l’ordre, de contrôle de l’immigration ou des gouvernements étrangers répressifs ? Ces problèmes de confidentialité sont à l’origine de l’adoption de lois en matière de confidentialité des informations biométriques dans de nombreux États américains.
Pour les entreprises, le stockage des données biométriques constitue une autre zone d’ombre. Quel que soit l’endroit où les données biométriques sont stockées, elles doivent l’être de manière sécurisée. Car ce n’est pas comme avec les mots de passe, aucune réinitialisation n’est possible. Si les données biométriques sont piratées, pas de marche arrière possible, une personne ne peut pas changer ses empreintes digitales ou ses iris.
Les entreprises qui décident de stocker les données biométriques de leurs salariés et de leurs clients ont une lourde responsabilité financière et éthique. C’est là une raison pour envisager un stockage sur les appareils. Ainsi, les données biométriques sont stockées sur l’appareil qui authentifie l’utilisateur, par exemple son smartphone ou son ordinateur.
Cela donne à l’utilisateur le contrôle sur les données. Cela restreint également leur emplacement à un appareil local, et réduit donc la probabilité qu’une violation unique donne accès à de gros volumes de données biométriques.
Si le débat autour de la biométrie est complexe, une chose est cependant certaine : cette technologie n’est pas prête de disparaître. Les bons côtés de la biométrie dépassent encore les mauvais côtés et les côtés sombres, de telle sorte que les entreprises devraient continuer à avoir recours à cette méthode d’authentification.