La biométrie prend de l’ampleur

Face à la hausse des piratages informatiques, les efforts se multiplient pour développer des méthodes d’identification en ligne plus sophistiquées que le bon vieux mot de passe, en ayant notamment recours à la biométrie.

La biométrie –qui utilise les empreintes digitales, les balayage de l’iris de l’oeil, la reconnaissance du visage ou de la voix pour identifier un utilisateur– a connu un coup d’accélérateur avec l’introduction par Apple du Touch ID (identification par empreinte digitale) sur l’iPhone.

Samsung lui a emboîté le pas avec son propre scanneur d’empreinte digitale, et le fabricant américain de semi-conducteurs Qualcomm a récemment dévoilé une technologie d’identification des empreintes en 3D intégrée dans les puces utilisées par de nombreux téléphones et tablettes.

Depuis les géants d’internet comme Google, Microsoft ou Yahoo! jusqu’aux experts en cybersécurité, le consensus grandit sur la nécessité de remplacer le mot de passe, souvent maillon faible de la sécurité informatique.

Des dizaines de millions de mots de passe ont été volés ces dernières années chez de grands noms américains du commerce et de la distribution comme Target (grande distribution) ou Home Depot (bricolage), ou des banques comme JPMorgan Chase.

La fraude coûte aux opérateurs du commerce en ligne 3% du chiffre d’affaires réalisé via des téléphones portables ou des tablettes, selon une enquête réalisée par Telesign et RSA, deux spécialistes de la sécurité en ligne.

Pour Ramesh Kesanupalli, vice-président d’un groupement professionnel spécialisé dans l’identification en ligne, le FIDO (Fast Identity Online Alliance, qui regroupe 170 entreprises), la biométrie va prendre une grande place dans toutes les nouvelles techniques d’authentification.

«Coup de maître» d’Apple

Les solutions qui complètent un mot de passe par une question de sécurité, ou un code à usage unique envoyé par courriel ou SMS, ne sont pas aussi solides que la biométrie, estime M. Kesanupalli.

«Si vous n’éliminez pas le recours au mot de passe, vous ne résolvez pas le problème, vous traitez juste les symptômes», explique-t-il.

Apple a réalisé «un coup de maître» en permettant au bouton principal du téléphone de reconnaître l’empreinte digitale, estime M. Kesanupalli. L’utilisateur n’a aucun apprentissage à faire, l’utilisation est fluide.

Et son empreinte n’est stockée que sur le téléphone, et non dans des bases de données, ce qui limite les possibilités de vol de celle-ci.

L’identification biométrique a également franchi une étape importante en février, lorsque Microsoft a annoncé qu’il allait l’utiliser dans son système d’exploitation Windows 10.

Selon International Data Corp, quelque 15% des terminaux mobiles (téléphones, tablettes…) disposeront d’une authentification biométrique en 2015, et la proportion grimpera à 50% d’ici 2020.

Yahoo! développe une nouvelle politique de sécurité qui éliminera le mot de passe, explique son directeur de la sécurité, Alex Stamos.

«Nous sommes persuadés chez Yahoo! que nous devons nous débarrasser des mots de passe, et que les utilisateurs ont besoin de se tourner vers d’autres moyens» d’identification, indique-t-il .

Détection du vivant

Mais la biométrie n’est pas considérée par tous comme étant la panacée aux problèmes d’identification.

«Si votre carte de crédit est compromise, vous pouvez avoir une nouvelle carte de crédit, mais qu’est-ce que vous faites si c’est l’iris de votre oeil ou vos empreintes digitales qui sont piratés ?», demande Sascha Meinrath, spécialiste des nouvelles technologies à la fondation New America.

Il y a déjà eu des contrefaçons d’empreintes digitales, et les autres techniques de biométrie pourraient subir le même sort. «On va entrer dans un autre genre de problèmes de sécurité», souligne-t-il.

Certaines recherches visent à renforcer encore la sécurité des méthodes biométriques.

Elles se concentrent notamment sur la «détection du vivant», pour une meilleure protection contre les fausses empreintes ou autres données biométriques, explique Stephanie Schuckers, universitaire et directrice d’un centre de recherche sur les technologies d’identification.

«Nous ne savons pas quelle technologie émergera», dit James Lewis, spécialiste de la cybersécurité au groupe de réflexion CSIS (Center for strategic and international studies). «Les consommateurs décideront ce qu’ils aiment, et on verra ensuite si les fraudeurs parviennent à s’y attaquer», estime-t-il.

PARTAGER

Commentaire Facebook !