Le quotidien du futur de la finance depuis 2005 (Fintech, Blockchain, DeFi, IA)
              



Et si la biométrie pouvait nous aider à nous émanciper des mots de passe désuets ?


Par Alain Martin, directeur au conseil d'administration de l’Alliance FIDO, association industrielle ouverte visant à développer et promouvoir les normes d’authentification



Avec l’usage des attributs physiques comme facteur d’authentification, n’ouvrons-nous pas une boîte de Pandore en matière d'intégrité des données personnelles ?

Alors que de plus en plus de secteurs utilisent la biométrie, certains commencent à s'inquiéter de nouveaux risques. Ces inquiétudes sont légitimes et ont été d’ailleurs ravivées en 2019 lorsque plus d'un million d'empreintes digitales ont été dérobées du fait d’une faille dans le système de sécurité de la plateforme Biostar 2. Si cette inquiétude est justifiée, n’oublions pas pour autant que la biométrie qui nous caractérise de façon unique, est aujourd'hui l'une des formes d'authentification les plus simples et surtout des plus sûres qui existent actuellement. Des failles comme celle de la plateforme Biostar 2 ne relèvent pas d'un problème lié à la biométrie mais bien d'un problème de stockage.

En quoi l'authentification biométrique est-elle plus sûre à utiliser ?

Les prestataires de service continuent de privilégier les mots de passe bien que ce moyen soit désuet et de ce fait, les internautes utilisent en moyenne plus de 90 comptes en ligne “protégés” par une foule de mots de passe. En plus d'être vulnérable, cette contrainte pose un véritable souci de sécurité car la plupart des mots de passe sont stockés sur des serveurs centralisés qu’un hacker pourrait atteindre de façon massive. Une fois obtenues, ces mots de passe sont utilisées pour usurper des identités ou pour commettre d'autres types d'attaques en cascade qui se traduisent par des milliards d’euros de fraude chaque année.

Si la protection des mots de passe a fait défaut dans le passé, comment l'authentification biométrique serait-elle plus sûre ?

La biométrie est plus sûre et plus pratique que les mots de passe dont la disparition va s'accélérer, mais il va falloir en effet tenir compte des leçons du passé. Tout l’intérêt de cette technologie serait réduit à néant si les données biométriques étaient stockées sur des serveurs centralisés ; pire encore, cela pourrait contribuer à une menace encore plus grande car les données biométriques ne peuvent être modifiées comme un mot de passe. Les données biométriques doivent être stockées et vérifiées localement dans l'appareil de l'utilisateur. La bonne nouvelle est que la plupart des grands acteurs du marché tels que Microsoft, Apple ou Google se sont d’ores et déjà engagés dans cette démarche d’un stockage local et sécurisé, dans l’appareil – smart phone, tablette, PC… – des données biométriques.

La biométrie est-elle vraiment impossible à falsifier ?

Rien n’est impossible en ce bas monde ! Les hackers chevronnés peuvent, par exemple, réaliser des moules d'empreintes digitales, ou bien tromper une reconnaissance faciale avec une photographie.

Cependant, si ce type de fraude existe, il reste relativement anecdotique car très complexe à mettre en œuvre et à utiliser à grande échelle. Seuls des individus ayant accès à des données très sensibles risquent d'être la cible de tels actes mais la technique reste inconcevable pour usurper simultanément des millions de comptes comme ce fut le cas avec la faille Biostar 2.

Par ailleurs, en améliorant aussi bien la sensibilité des capteurs qu’en ajoutant des fonctionnalités de “détection du vivant”, les fabricants s’attaquent au problème. Les systèmes de reconnaissance faciale, par exemple, peuvent demander à l'utilisateur de cligner des yeux ; et certains capteurs d'empreintes sont capables de détecter certaines caractéristiques sous-cutanées difficile à reproduire avec une fausse empreinte.

L'usurpation biométrique n'est pas assez significative pour être un réel enjeu tant que les développeurs restent dans la course au hacking en s’assurant d’être à jour des dernières tendances de cyber malveillance et tout en veillant à ce que leurs solutions respectent les bonnes pratiques de gestion et de stockage.

Comment les acteurs des nouvelles technologies peuvent-ils tirer le meilleur de la biométrie dans leurs pratiques d'authentification ?

Les industriels des nouvelles technologies doivent garder deux choses assez simples à l'esprit.

Il faut absolument qu’ils s'assurent que les données biométriques soient stockées et vérifiées sur l'appareil de l'utilisateur tout en bannissant les bases de données centralisées.

Il faut également que la donnée biométrique soit enregistrée dans l’appareil lors d’une phase d’identification et d’enrôlement de l’utilisateur par le prestataire de service. Par la suite, lors d’une phase d’authentification, ce prestataire doit s’assurer que l’appareil utilisé est bien le même que celui enregistré lors de la phase d’enrôlement. Pour cela, des techniques cryptographiques permettent au prestataire de s’assurer que l’utilisateur est bien en possession du bon appareil ce qui valide la vérification locale de la donnée biométrique.

En appliquant ces deux règles de base, il sera possible de tirer pleinement partie de la biométrie sans craindre de perdre les seules données qui nous sont propres.


No Offer, Solicitation, Investment Advice, or Recommendations

This website is for informational purposes only and does not constitute an offer to sell, a solicitation to buy, or a recommendation for any security, nor does it constitute an offer to provide investment advisory or other services by FINYEAR.
No reference to any specific security constitutes a recommendation to buy, sell or hold that security or any other security.
Nothing on this website shall be considered a solicitation or offer to buy or sell any security, future, option or other financial instrument or to offer or provide any investment advice or service to any person in any jurisdiction.
Nothing contained on the website constitutes investment advice or offers any opinion with respect to the suitability of any security, and the views expressed on this website should not be taken as advice to buy, sell or hold any security. In preparing the information contained in this website, we have not taken into account the investment needs, objectives and financial circumstances of any particular investor.
This information has no regard to the specific investment objectives, financial situation and particular needs of any specific recipient of this information and investments discussed may not be suitable for all investors.
Any views expressed on this website by us were prepared based upon the information available to us at the time such views were written. Changed or additional information could cause such views to change.
All information is subject to possible correction. Information may quickly become unreliable for various reasons, including changes in market conditions or economic circumstances.



Vendredi 11 Septembre 2020
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Finyear: latest news, derniers articles


Newsletter quotidienne gratuite


Le marché des cryptos





Finyear - Daily News