L’authentification biométrique s’appuie sur les traits physiques des individus (traits du visage, iris ou empreintes digitales) pour vérifier leur identité avant d’autoriser leur accès aux données ou systèmes sensibles. L’identification biométrique porte sur qui est la personne, et non sur ce qu’elle possède (connaissances ou autre).
Les pirates informatiques ciblent de plus en plus les identifiants des utilisateurs pour s’introduire dans les réseaux d’entreprise et faire des ravages. En fait, selon le rapport IBM sur le coût d’une violation de données, les identifiants volés sont les vecteurs d’attaque le plus courant derrière les violations de données.
De nombreuses entreprises adoptent l’authentification biométrique pour contrecarrer ce type de cyberattaques et protéger les comptes utilisateurs. Parce qu’elles se rapportent à l’identité de la personne, les informations biométriques sont généralement plus difficiles à voler ou à falsifier que d’autres identifiants, comme les mots de passe et les tokens de sécurité.
La biométrie permet également de simplifier l’expérience des utilisateurs, car ces derniers n’ont pas à mémoriser quoi que ce soit, ni à se munir d’objets conçus pour prouver leur identité. La technologie biométrique permet l’authentification sans mot de passe, qui peut s’avérer plus sûre et plus rationalisée que les autres types d’authentification.
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Tous les systèmes d’authentification reposent sur des facteurs d’authentification ou des éléments qui prouvent qu’une personne est bien qui elle prétend être. L’authentification biométrique s’appuie sur des modalités physiques et comportementales pour identifier les personnes.
Les facteurs d’inhérence, également appelés facteurs physiques, sont les caractéristiques physiques propres à une personne telles que la configuration des vaisseaux sanguins dans la rétine.
Les systèmes d’authentification biométrique utilisent des identifiants physiques mesurables, distincts et très peu susceptibles de changer. Parmi les méthodes d’authentification biométrique physique les plus courantes, citons la reconnaissance faciale et les empreintes digitales. Des caractéristiques telles que le poids et la couleur des cheveux peuvent changer, ce qui les rend inexploitables à des fins d’authentification.
De nouveaux facteurs d’inhérence sont à l’étude, comme l’image thermique du pied et la forme des lèvres.1
Si la plupart des facteurs d’inférence restent inchangés, des difficultés peuvent survenir si une blessure modifie des caractéristiques de la personne telles que ses empreintes digitales ou les traits de son visage.
Autre défi lié aux facteurs d’inhérence : si un pirate vole un facteur d’authentification physique (par exemple, le vol d’empreintes digitales dans une base de données), il ne peut pas le modifier. On peut modifier ses mots de passe, mais pas ses empreintes digitales.
En outre, la manière dont les entreprises utilisent les données biométriques des personnes après leur collecte peut poser problème.
Voici les facteurs d’inférence utilisés ou étudiés actuellement :
La reconnaissance oculaire consiste à scanner l’iris ou la rétine à la recherche de motifs uniques. Extrêmement précis, ce type d’authentification biométrique est coûteux et nécessite un équipement spécialisé. Il est particulièrement adapté aux besoins des secteurs public et industriel, où la sécurité est une préoccupation majeure.
La technologie de reconnaissance faciale est suffisamment précise pour permettre le déverrouillage des appareils mobiles et l’identification par les forces de l’ordre.
L’analyse des traits du visage peut toutefois poser quelques défis. En effet, l’angle de capture en direct peut être différent de celui sur fichier, ce qui entraînerait l’échec de l’authentification. L’expression du visage peut également fausser l’analyse.
Le ton, la hauteur et les fréquences de la voix peuvent être uniques au même titre que les empreintes digitales de la personne.
Si la vérification par reconnaissance vocale est très précise, facile à utiliser et relativement peu coûteuse, les technologies avancées de clonage vocal peuvent la tromper. Certains développeurs d’IA générative, comme OpenAI, recommandent aux entreprises de renoncer à la reconnaissance vocale pour cette raison.2
L’empreinte digitale est une méthode d’authentification biométrique très ancienne, utilisée comme preuve d’identité en Chine dès 300 av. J.-C.3 On l’utilise encore aujourd’hui.
Les empreintes digitales sont uniques : une chance sur 64 milliards4 que deux personnes ait la même empreinte digitale. (Et nous sommes aujourd’hui un peu plus de huit milliards sur Terre.)
Les empreintes digitales sont particulièrement utiles dans le cas des appareils numériques actuels. Elles sont peu coûteuses à lire, à collecter et à analyser, et elles ne changent pas avec l’âge.
Cependant, certains scanners d’empreintes digitales grand public que l’on trouve dans les smartphones et les ordinateurs sont accessibles en utilisant de fausses empreintes. Des situations courantes comme des doigts humides, secs ou gras peuvent entraîner de faux rejets.
En raison de ces erreurs, certains scanners lisent désormais les configurations cardiovasculaires, ce qui permet de réduire le nombre de faux positifs.
La reconnaissance des veines utilise une technologie de reconnaissance de formes pour faire correspondre la disposition des vaisseaux sanguins d’un utilisateur dans une partie de son corps à un scan déjà enregistré.
Bien que plus précis que de nombreuses méthodes de numérisation des empreintes digitales, le processus de numérisation des veines peut être fastidieux. De plus, les équipements permettant de scanner les schémas de vaisseaux sanguins ne sont pas encore largement disponibles et sont donc principalement utilisé dans des environnements hautement spécialisés. Les veines de la paume entière et du front d’une personne peuvent aussi être scannées.
La forme de la main peut être scannée et stockée sous forme de représentation mathématique. Parmi les mesures effectuées, citons la longueur des doigts, la distance entre les différentes parties de la main et les contours des zones entre les articulations.
De tous les facteurs biométriques, l’ADN est généralement considéré comme étant le plus précis. Même les « vrais jumeaux » n'ont pas un ADN parfaitement identique.5
Sa précision et les préoccupations liées à la manière dont les échantillons d’ADN peuvent être utilisés à des fins d’authentification suscitent toutefois la réticence.
Une étude du gouvernement américain a révélé que les gens sont bien plus à l’aise de fournir des données biométriques sous forme d’empreintes digitales que d’ADN.6
La biométrie comportementale utilise les schémas uniques de l’activité d’une personne pour l’identifier. Les caractéristiques comportementales courantes utilisées pour l’authentification sont les suivantes :
Les gens ont souvent des comportements uniques lorsqu’ils travaillent sur leurs appareils, par exemple la façon dont ils utilisent un écran tactile ou la fréquence et la fluidité des mouvements de la souris.
Les entreprises peuvent utiliser des algorithmes de machine learning pour analyser ces tendances et créer des modèles du comportement typique d’un utilisateur. Le comportement ultérieur de l’utilisateur peut être comparé au modèle d’authentification.
Les habitudes de frappe d’une personne peuvent aussi être uniques, notamment sa vitesse de frappe et les raccourcis qu’elle utilise couramment. Les dynamiques de saisie peuvent être surveillées à distance et discrètement, mais elles sont moins précises que les empreintes digitales ou les scanners d’iris, et les habitudes d’un utilisateur peuvent changer au fil du temps.
La démarche d’une personne peut être utilisée à des fins d’authentification. La longueur des pas et l’angle des pieds varient légèrement d’une personne à l’autre.
Les systèmes d’authentification biométrique multimodale (MBA) combinent deux ou plusieurs méthodes d’authentification biométrique pour identifier une personne. Ainsi, un système MBA peut exiger à la fois une empreinte digitale et un scan rétinien, ou une reconnaissance faciale et une analyse de la frappe au clavier, avant d’autoriser l’accès à un utilisateur.
L’authentification biométrique multimodale a pour vocation de renforcer considérablement les mesures de sécurité. Il est très difficile pour un pirate informatique d’usurper plusieurs identifiants biométriques pendant le processus d’authentification.
Les fonctions de base de l’authentification biométrique sont simples. La première étape consiste à enregistrer les informations biométriques de la personne dans un système biométrique. Chaque fois que l’utilisateur revient dans le système pour être identifié, ce modèle initial est comparé aux caractéristiques de l’utilisateur. Si les fonctionnalités biométriques correspondent, l’authentification est confirmée.
Pour économiser de l’espace et accélérer la comparaison des facteurs de vérification, les modèles ne stockent généralement que les points clés. Par exemple, dans le cas de la reconnaissance faciale, bon nombre de systèmes ne stockent que certains traits du visage. Mais parfois, comme dans le cas des empreintes digitales, c’est l’image entière qui est stockée.
De nombreux systèmes de reconnaissance faciale n’enregistrent que certaines parties du visage plutôt que l’ensemble du visage.
Les données biométriques stockées doivent être protégées par des mesures de sécurité rigoureuses, car elles peuvent être volées et exploitées à des fins d’usurpation d’identité. De plus, comme les données biométriques ne peuvent pas être modifiées, leur vol peut potentiellement causer des difficultés à long terme à la victime et mettre en danger d’autres données personnelles.
Les systèmes biométriques s’appuient souvent sur une intelligence artificielle (IA) avancée pour accélérer le processus de reconnaissance. L’apprentissage profond, et notamment les réseaux de neurones convolutifs (CNN ou ConvNets), promettent de faciliter l’identification des motifs présents dans les modèles et les scans, comme dans le cas des empreintes digitales.
Il est impératif d’établir l’identité numérique de la personne avant de lui accorder l’accès aux applications ou aux données sensibles. Les systèmes de sécurité biométriques permettent de prévenir les attaques par présentation, qui consistent pour les pirates informatiques à usurper l’identité des utilisateurs pour tenter d’accéder aux systèmes.
Les mesures d’authentification biométrique peuvent également être utilisées pour protéger des lieux physiques sensibles. Les agences gouvernementales peuvent employer un passeport à micropuce contenant une photo et les empreintes digitales du titulaire afin de vérifier son identité à l’aide des données biométriques enregistrées. Dans le domaine de la santé, la biométrie permet de vérifier que les médicaments sont bien administrés au patient et que les procédures sont bien effectuées sur la bonne personne.
Les facteurs biométriques peuvent être associés à d’autres facteurs d’authentification afin de renforcer la cybersécurité des implémentations d’authentification à étapes (MFA).
L’authentification multifactorielle peut inclure à la fois des informations (telles qu’un mot de passe) et un facteur biométrique (tel qu’une empreinte digitale). En exigeant deux moyens d’identification ou plus (dont au moins un ne pouvant être facilement volé), elle complique la tâche des pirates qui cherchent à usurper les comptes des utilisateurs.
Les informations biométriques peuvent être utilisées pour observer des individus et suivre leurs déplacements. Les forces de l’ordre, par exemple, ont souvent recours à la reconnaissance biométrique des traits du visage et des empreintes digitales pour identifier des personnes recherchées.
Dans le domaine des paiements, la biométrie permet d’accélérer la vérification des transactions financières et d’améliorer l’expérience des utilisateurs. Ces derniers peuvent par ainsi confirmer leurs paiements sur leur smartphone à l’aide d’un lecteur d’empreintes digitales ou vérifier leurs opérations bancaires en ligne grâce à la reconnaissance vocale.
Certains magasins physiques expérimentent également les paiements biométriques, comme l’installation de lecteurs de paumes dans les magasins Whole Foods.7
Les systèmes d’authentification biométrique apportent des avantages significatifs aux entreprises et aux consommateurs. Reconnaissables et uniques, les données biométriques sont généralement rapides, faciles à utiliser et fiables.
Les mots de passe et les cartes d’identité sont plus faciles à voler que les empreintes digitales, tandis que la copie de l’iris ou d’autres marqueurs physiques est extrêmement difficile pour un pirate informatique (sauf peut-être dans les films).
Cela ne veut pas dire que les systèmes de sécurité biométrique sont infaillibles. Il peut toujours y avoir de faux rejets (le système refuse à tort l’accès à l’utilisateur). Le contraire est également possible : le système peut autoriser à tort l’accès d’un utilisateur.
Certains systèmes biométriques moins sophistiqués peuvent présenter des vulnérabilités à l’usurpation d’identité, comme les systèmes de reconnaissance faciale qui peuvent être trompés par des photos imprimées ou des vidéos préenregistrées, qu’il s’agisse de personnes réelles ou de deepfakes.
Comme l’authentification biométrique repose sur un aspect physique d’une personne, cette identification est toujours disponible. Une empreinte de paume reste à portée de main, tandis qu’une carte d’identité à puce peut être égarée et qu’un mot de passe complexe peut être oublié.
Grâce à la biométrie, les acheteurs peuvent se connecter plus rapidement à des équipements tels que les lecteurs de code-barres. La capture de l’empreinte digitale prend généralement moins de temps que la saisie d’un code d’accès.
La biométrie peut également s’avérer plus sûre que les codes d'accès, qui sont souvent très simples (par exemple, « 1111111 ») sur les équipements partagés en magasin ou dans d’autres types d’environnement similaires.