Le selfie comme nouveau mot de passe

Après les empreintes digitales, la biométrie reste LA référence dans le domaine de la sécurité pour l’authentification d’un utilisateur. Un nouveau marché est à l’oeuvre, celui de la reconnaissance faciale. 

biométrie - iris - intro

Avec plus de 70 mots de passe et code à retenir en moyenne, il est facile pour chacun de s’y perdre. Par facilité, on a tendance à les écrire ou à mettre toujours le même, ce qui est hautement déconseillé en matière de sécurité. Alors, il faut trouver d’autres solutions.

Biométrie : la nouvelle addiction

La biométrie signifie « mesure du vivant » et désigne dans un sens large l’étude quantitative des êtres vivants. L’usage du terme se rapporte de plus en plus à l’usage des techniques à des fins de reconnaissance, d’authentification et d’identification. Reconnaissance par l’iris, par empreintes digitales ou par morphologie, la réalité dépasse désormais la fiction.

Depuis quelques années, nombreuses sont les sociétés à avoir intégré un service d’identification par « trace digitale ». Ainsi, on pourrait légitimement se demander pourquoi chercher une nouvelle solution, alors que le système d’identification par empreinte digitale semble efficace. Ce qui semblait une bonne idée s’est avéré finalement trop peu fiable. Les hackers ont rapidement trouvé la faille. Ils remplacent les empreintes de l’utilisateur par une photocopie de doigts, ce qui suffit pour tromper la plupart des capteurs.

reconnaissance empreintes digitales - paiement - biométrie

Le Crédit Agricole et la Société Générale qui proposait à ses clients de s’identifier avec le TouchID d’Apple reconnaissent que ce n’est pas parfait. Elles pointent une faille dans le système : on peut changer l’empreinte digitale en connaissant le code confidentiel du téléphone. Ainsi, l’empreinte digitale n’est pas forcément plus sûre qu’un code à 4 chiffres même si cela simplifie le parcours client.

On pourrait également revenir aux mots de passe traditionnels. Cependant ces derniers posent aussi des problèmes. Il est difficile de trouver un bon mot de passe, ces derniers sont longs, complexes et on finit (trop) souvent par les oublier. De plus les études soulignent que plus de la moitié des vols de mot de passe se fait assez simplement, par des arnaques par l’intermédiaire de mails. C’est ce que l’on appelle le phishing. 

Alors les sociétés toujours à l’affût de nouvelles solutions pour améliorer le service client ont tout misé sur la biométrie en choisissant la reconnaissance faciale comme nouveau moyen d’authentification. 

authentification faciale - smartphone - biométrie

Comment ça fonctionne?

Simplifier le parcours client tout en assurant plus de sécurité, tel est le perpétuel défi. Une équation qui semble insoluble mais qui pourtant a trouvé preneur : la reconnaissance faciale. Une technologie qui permet de comparer les images prises instantanément par le smartphone, avec les portraits conservés par le service auquel vous souhaitez accéder.

Une solution qui n’est pas nouvelle mais qui connait une démocratisation balbutiante. Safran, géant industriel, propose déjà depuis quelques années un système similaire pour les professionnels, une application telle que Morpho en est la preuve. Une technologie jusqu’ici limitée aux professionnels, qui s’impose doucement pour le grand public. 

Un marché nouveau mais qui n’en est pas moins déjà très concurrentiel. Amazon, le géant de l’e-commerce n’est pas seul à s’y intéresser. Effectivement : Windows 10 peut ouvrir une session à partir d’une authentification faciale par webcam. Mais il y a aussi Samsung qui utilise le même système pour l’ouverture du dernier Galaxy Note. 

Mais ce sont les banques et les systèmes de paiements qui sollicitent le plus cette méthode. De fait, le selfie comme moyen de paiement a été testé par MasterCard depuis juillet 2015, avec le Selfie Pay. En outre, la société FacePhi cartonne auprès des banques espagnoles et sud-américaines, qui ont adopté le service pour identifier près de 2 millions de clients en moins de 2 ans. 

Le choix d’Amazon de breveter l’usage de la caméra frontale du smartphone pour identifier précisément un acheteur, semble donc s’inscrire dans l’ère du temps. La firme de Jeff Bezos promet une simplification du processus tout en renforçant l’authentification au site. Un choix qui peut également être justifié par le fait qu’Alibaba, grand rival chinois de l’e-commerce ait annoncé il y a peu, l’utilisation de la reconnaissance faciale comme moyen de paiement en ligne. 

Quels sont les risques?

Est-ce vraiment fiable? Plus fiable? Rien n’est moins sûr, tout observateur avisé avancera qu’aucune solution n’est parfaite. Par conséquent, le risque zéro n’existe pas, les cas de jumeaux ou de reconstitution faciale en 3D peuvent être recensés. Mais même pour les reconstitutions, il faudrait qu’elles reproduisent les expressions demandées instantanément par le service, ce qui semble peu probable. On peut donc quand même en déduire que le service réduit le risque d’usurpation d’identité de l’usager. 

Néanmoins, les constructeurs ont tout tenté pour faire mentir les détracteurs en incluant de nombreux gardes fous dans le système. Pour pouvoir s’identifier, il faudra effectuer quelques gestes ou mimiques comme sourire ou hocher de la tête pour prouver que l’utilisateur est vivant. Amazon annonce même la présence d’un capteur de chaleur humaine par infrarouge pour assurer encore plus de sécurité. Tout cela s’avère tout de même plus simple que de retenir un mot de passe.

Même si la solution s’avère efficace, il ne faut pas oublier que ce renforcement de sécurité se fait au détriment de notre vie privée.  En effet, le service détient encore plus d’information sur ses utilisateurs: une photo à jour de chacun, ses empreintes digitales, son âge, l’équipement électronique, habitude de connexion, localisation instantanée… De surcroît, toutes ces informations son groupées et centralisées par le service, ce qui rend le hacking d’autant plus dangereux.

clavier - vie privée en danger - biométrie

D’autres alternatives sont aussi imaginées

Puisque la solution de la reconnaissance faciale ou des empreintes digitales comprennent aussi des travers, les ingénieurs débordent d’inventivité pour proposer de nouvelles solutions :

  • Nuance, leader du marché, mise sur la reconnaissance vocale pour autoriser l’entrée ou une transaction sur un site. L’appareil est sensé enregistrer votre prononciation, votre manière de parler et autres détails de vos cordes vocales pour sécuriser votre accès au service. La biométrie vocale est déjà utilisée par la Banque Postale.
  • Une start-up britannique, Intelligent Environments, propose d’écrire son mot de passe entièrement en emojis. Un code de 4 émoticônes qui promet une plus grande palette de possibilité et donc qui rend plus difficile le piratage.
  • Plus généralement ce qui est commun en ce moment c’est le système de facteurs multiples de vérification. En d’autres termes, une authentification  par double voie, c’est par exemple le cas d’une validation de transaction web par SMS. Une solution qui propose donc plus de sécurité, puisque pour contourner ce système il faut frauder à la fois la transaction web et la communication mobile.

Complémentarité

Finalement pour combiner toutes ces technologies innovantes imparfaites à leur façon, on pourrait imaginer des combinaisons entre elles. C’est à dire une double identification pour plus de sécurité. En effet, laisser reposer toute l’authentification sur la reconnaissance faciale serait une erreur. Si elle ne peut se substituer aux autres formes de mots de passe, elle peut constituer une couche de sécurité supplémentaire.

Les experts en cyber-sécurité promeuvent des systèmes avec plusieurs niveaux de sécurité pour prévenir tout risque. De plus, une récente étude de l’Université de Berlin a démontré qu’il était possible de prendre contrôle de la caméra à distance et de lire le PIN par réflexion dans les yeux de l’utilisateur. De quoi faire froid dans le dos.

Mais l’utilité d’une telle méthode reste encore contestée.  Certains critiquent une méthode compliqué, moins pratique que de taper un code. Surtout dans des situations de promiscuité, lorsque l’on est en mouvement ou déjà en communication téléphonique.

Alors, souriez vous êtes filmés!

 

Mobile & Futé, le blog high-tech sur l’actualité des smartphones

Retour à la liste des articles