La plupart des services que nous utilisons dans notre vie quotidienne (banque, assurance, e-commerce, impôts, réseaux sociaux…) sont accessibles sur internet. Bien que la digitalisation des services nous facilite la vie dans la plupart des cas, elle rime aussi avec une multiplication des espaces personnels en ligne que nous devons gérer et de leur identifiant et mot de passe respectifs que nous devons mémoriser. Sachant qu’un internaute possède en moyenne 27 combinaisons différentes (1) d’identifiants pour accéder à ses espaces en ligne, réussir à toutes les retenir devient un véritable défi.

Les internautes ont alors recours à des techniques plus ou moins sécurisées pour retrouver toutes ces combinaisons : certains les notent sur un carnet ou les enregistrent sur leur téléphone ou leur ordinateur, d’autres préfèrent utiliser le même mot de passe pour plusieurs espaces en ligne… Un sondage de l’IFOP en 2013 confirme ainsi que 42% des Français interrogés avouent “utiliser systématiquement le même mot de passe sur plusieurs sites” (2) . Autant de techniques peu fiables du point de vue de la sécurité des données personnelles des internautes.

La prise de conscience du danger semble très lente, puisqu’en 2016, les mots de passe les plus utilisés ont été encore une fois les fameux “123456789”, “qwerty”, “password” et bien d’autres mots de la vie courante rendant la tâche des hackers d’autant plus facile. Même Mark Zuckerberg s’est fait pirater ses comptes Twitter et Pinterest pour lesquels il utilisait le même mot de passe… qui n’était autre que “dadada”.

Si certaines recommandations ont largement été répandues comme la nécessité de modifier régulièrement son mot de passe et de le complexifier autant que possible en utilisant minuscules majuscules chiffres et caractères spéciaux, les chercheurs de l’Institut National des Normes et de la Technologie (NIST), à l’origine de ces recommandations, remettent aujourd’hui en cause leur fondement en constatant que les utilisateurs se basent souvent sur un ancien mot de passe pour lui apporter une légère modification.

Existe-t-il des moyens plus sûrs et plus simples pour l’utilisateur que le mot de passe ?

C’est pour répondre à cette question que le géant Apple a introduit la reconnaissance de l’empreinte digitale à la place du code de déverrouillage sur ses téléphones et tablettes. Le “Touch ID”, apparu pour la première fois sur l’iPhone 5S en 2013, permet également aux utilisateurs d’Apple de régler leurs achats sur les plateformes d’Apple (iTunes, App Store) ou des sites de e-commerce utilisant le service Apple Pay. Après quelques années, l’utilisation de l’empreinte digitale est déjà passée de mode, considérée comme n’étant pas suffisamment fiable pour certains services. En France, par exemple, il est interdit de prendre en compte toute l’empreinte digitale, pour des raisons éthiques. Seuls quelques points de cette dernière sont captés, pour un taux de reconnaissance d’environ 60%, ce que les constructeurs téléphoniques considèrent comme suffisant. Mais ce n’est pas le cas de tous les prestataires de service.

Depuis la popularisation du Touch ID, la biométrie, c’est-à-dire l’utilisation d’une caractéristique biologique pour s’authentifier, est devenue un marché en vogue. Aujourd’hui, de nombreux services, notamment financiers, s’en servent pour authentifier leurs clients. En France, certaines banques (BPCE et le Crédit du Nord) se sont lancées, par exemple, dans la reconnaissance vocale pour autoriser à leurs clients l’accès à leur espace en ligne ou réaliser des opérations bancaires. Elles ont volontairement mis de côté la reconnaissance par empreinte digitale, jugée trop peu fiable pour l’authentification d’un client.

De nombreuses startups ont ainsi vu le jour, proposant de nouvelles manières de s’authentifier grâce à la biométrie et aux objets connectés. Présente lors du salon Viva Technology Paris en juin dernier, la startup Biowatch a ainsi mis au point une technologie d’identification par système veineux. En effet, un module fixé sur le bracelet d’une montre permet d’identifier son porteur en scannant le réseau veineux du poignet. Les inventeurs de cette technique la qualifient de “quasi inviolable”. D’autres encore, comme la société EyeLock, misent sur l’authentification par l’iris. La société Apple a fait quant à elle le pari d’un système de reconnaissance faciale qu’elle a présenté ce mois-ci sur ses nouveaux téléphones, le “Face ID”, abandonnant ainsi l’identification par empreinte digitale. Pour ne pas subir la même déconvenue que son rival Samsung lorsque la technologie de reconnaissance par empreinte digitale de son Galaxy S6 avait été trompée par de fausses empreintes imprimées avec une encre laser sur du papier photo, Apple a eu recours à des maquilleurs professionnels et fabricants de masques venus d’Hollywood pour tester sa technologie de reconnaissance faciale (3) implémentée sur son dernier téléphone présenté le mois dernier, l’ iPhone X.

La biométrie, une méthode 100% sûre pour sécuriser ses appareils et données personnelles ?

Même si la biométrie semble être une approche prometteuse pour le futur des applications, il est néanmoins important d’émettre certaines réserves. A ce jour, aucune méthode utilisant la biométrie ne peut être qualifiée d’infaillible. Des chercheurs de l’Université de Virginie ont prouvé qu’il était possible de tromper un système de reconnaissance d’iris dans 80% des cas après une expérimentation sur un système commercial (VeriEye de la société Neurotechnology). Pour la reconnaissance faciale, les méthodes pour tromper la technologie existent déjà elles aussi : lors du Usenix Security Symposium 2016, des chercheurs de l’Université de Caroline du Nord ont réussi à outrepasser des technologies de reconnaissance faciale en construisant un modèle 3D animé en réalité virtuelle à partir de photos de l’utilisateur collectées sur les réseaux sociaux. Dans le cas d’Apple, des chercheurs sont déjà sur le coup et espèrent réussir à tromper le Face ID de l’iPhone X en imprimant un visage en 3D.

D’un point de vue utilisateur, la reconnaissance faciale est plus facile à utiliser et plus pratique qu’un mot de passe. C’est d’ailleurs l’argument donné par Apple, qui ne mentionne pas forcément une meilleure sécurité avec le Face ID, mais plus de “praticité” pour les utilisateurs, supprimant aussi les capteurs pour empreintes digitales.

Cependant, aucune des solutions ne semble être plus fiable que l’autre. Certains prédisent que le futur de l’authentification réside alors dans le recours à plusieurs modalités de sécurisation (iris, voix, visage, empreintes). Comme l’atteste le Professeur Anil Jain de Michigan State University, la “multi-modalité” sur un même parcours d’authentification, c’est-à-dire la possibilité de recourir aux quatre systèmes sur un même appareil, permet aussi de “donner le choix à l’utilisateur” en plus de garantir une meilleure sécurité.

Outre le défi technologique, il semblerait que le principal challenge des fournisseurs de services réside aujourd’hui dans la capacité à convaincre les utilisateurs d’oublier définitivement le mot de passe pour utiliser les solutions d’authentification par biométrie en axant leur nouvelles solutions sur la sécurité et la protection des données personnelles.

Par Albin Lallement consultant senior du cabinet VERTUO conseil

  1. Selon une étude Intel Security, 2016
  2. Sondage IFOP pour Dashlane, “Les Français et leurs mots de passe”, Octobre 2013. Disponible sur : http://www.ifop.com/?option=com_publication&type=poll&id=2404
  3. Pour plus d’informations, consulter : https://www.forbes.com/sites/jvchamary/2017/09/18/security-apple-face-id-iphone-x/#6c1516c04c83

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s