Authentification en continu et biométrie comportementale

La technologie des mots de passe a fait long feu. Confortée par la biométrie, elle ne donne cependant pas satisfaction. La faute à un processus « tout ou rien » effectué une seule fois en début de session. La solution peut être d’effectuer l’authentification de manière continue, en la fondant sur les données comportementales de l’usager.

Jamais autant qu’aujourd’hui les problèmes d’authentification n’ont été autant exacerbés. Tout nous incite à mieux nous protéger, partant de l’idée que ce ne sont pas les protocoles issus d’Internet qui vont nous être d’un grand secours et qu’il nous faudra ajouter les couches indispensables pour palier à leur insuffisance.

L’ouverture vers les mobiles et l’essor des pratiques nomades, nous oblige à remettre en cause des principes sécuritaires tels que les couples identifiants/mots de passe, très insuffisants, impossibles à gérer si l’on tient à respecter un minimum de contraintes de renouvellement et d’opacité.

Tous les spécialistes sont d’accord pour estimer qu’il faut complémenter les vieilles techniques par des processus biométriques, mais pas uniquement en mode binaire, à savoir que cela ne doit plus se faire une fois pour toutes, mais en continu.

Une voie qui intéresse en tout cas la plupart des grandes compagnies, à commencer par celles qui risquent « gros », les banques, les distributeurs, les fournisseurs de services à forte valeur ajoutée, etc. Qui pourrait bien aboutir avant dix ans à ce que tout cela devienne transparent… et invisible. L’authentification fantôme.

 

Trois grandes techniques d’authentification

On peut considérer qu’il existe trois grandes familles de méthodes d’authentification : binaire, adaptative et continue. Qui devrait aboutir au « Graal » de l’authentification « invisible ».

Dans le premier cas, l’usager dispose d’un mot de passe et d’un login utilisateur, adossés à un identifiant dans un système SSO. Depuis quelques années, ce processus s’est affiné, qui prend en compte d’autres artefacts, tels que des données biométriques : empreintes digitales, moyens optiques, etc. L’idée étant de le renforcer par des éléments que « possède » le candidat à l’authentification.

On connaît bien la mécanique, qui n’est pas défauts, souvent facile à pénétrer, même avec des attributs biométriques, qui parfois qu’une protection limitée, voire dérisoire.

Tout le monde est d’accord pour dire que ce système n’en a plus pour longtemps et qu’il faudra lui trouver un remplaçant crédible, le plus tôt possible.

L’authentification adaptative, pour sa part, qui existe déjà dans certaines applications, est une extension du précédent. Elle consiste à renforcer le processus grâce à des éléments tels que l’adresse IP de la machine sur laquelle on se trouve, son système d’exploitation, l’identité du navigateur utilisé, l’heure du jour à laquelle on se connecte, etc. Sachant que si on regarde de manière globale nos « habitudes » de connexion, elles sont relativement peu changeantes et peuvent constituer un élément de consolidation du processus, une toile de fond.

Evidemment, il ne faut pas que cela devienne trop dérangeant, ni trop intrusif aux yeux des utilisateurs, qui de toute façon, considèreront toute question supplémentaire, comme une atteinte « intolérable » à leur périmètre personnel. Vieille histoire.

Ces deux systèmes : mots de passe et adaptatif, ont en commun qu’ils sont binaires, à savoir qu’à l’issue du processus de reconnaissance, ils donneront ou non un droit à connexion, partage de ressources ou accès applicatif, de manière manichéenne. C’est oui ou c’est non. Et cette décision restera valable tout au long de la session, pour lesquels ils ont servis de « sesame ».

Le gros inconvénient, c’est que des « intelligences » mal intentionnées peuvent mettre à profit la durée de cette session pour tenter de récupérer les « credentials » clients, pour les réutiliser ultérieurement ou s’immiscer dans une procédure en cours.

Il ne faut jamais, de ce point de vue, négliger la capacité des criminels à mettre en pratique des techniques de pénétration ultra sophistiquées, ni s’imaginer qu’ils « n’auront pas le temps de… ».

Le processus d’authentification suivra une évolution en cinq phases. Les deux premières sont connues, qui s’améliorent avec le mode adaptatif. Mais les deux dernières, authentification continue et invisibilité du processus, sont encore en devenir.

 

L’authentification continue

Tout cela n’est donc pas satisfaisant. Et les techniques binaires seront remplacées à terme par un processus d’authentification continu, voire dans un avenir plus lointain, devenir transparentes et invisibles.

Avec une authentification continue, l’idée est qu’une fois le premier accord de connexion donné, obtenu par des mécanismes classiques, le système continue de s’assurer que « vous êtes bien celui que vous prétendez être », en permanence, tout au long de la session. Etant entendu que c’est sur les smartphones et tablettes qu’il s’applique, compte tenu de ce que les usagers sont mobiles, peuvent perdre leur matériel, voire se le faire voler.

Il y a encore peu, il était impossible d’envisager ce process continu, car nous n’avions pas les éléments sur lesquels le fonder, les smartphones surtout, n’étant pas dotés des capteurs adéquats.

Aujourd’hui, il n’en est plus de même et le moindre smartphone est devenu une usine à capteurs, capable d’interagir en temps réel avec l’usager et de quantifier son comportement.

C’est bien de cela dont il s’agit.

Dans un processus continu, l’application vérifie en permanence un certain nombre d’éléments caractéristiques de l’utilisateur et la manière dont il se sert de son smartphone ou de sa tablette. On parle alors de biométrie comportementale.

Une partie de ces éléments pourront sembler trop futuristes à notre perception actuelle, mais sur le moyen et long terme, ils seront tout à fait exploitables, dans de bonnes conditions économiques, de performances et de fiabilité.

Ces critères sont par exemple la pression que nous exerçons sur l’écran, les gestes que nous accomplissons plus volontiers dans notre manière d’interagir avec les applications, le mouvement des yeux, le contrôle de l’iris, la reconnaissance de la forme du visage, etc. Voire la tournure des phrases que nous employons dans une interface vocale et là évidemment, le système aura besoin de s’appuyer sur l’Intelligence Artificielle. Autant d’aspects que les mobiles modernes seront tout à fait capables de mesurer sans que nous ayons à le leur demander.

En cas de dérive par rapport à un modèle préenregistré, on ne va évidemment pas tout arrêter, sinon on n’aurait plus le droit d’avoir un rhume et il faudrait nous comporter comme des robots, avec des gestes que nous répèterions à l’infini.

Mais le système peut au moins enregistrer cette dérive et tenir à jour une sorte d’indice biométrique comportemental, de 0 à 20, par exemple et décider, en fonction de la sensibilité des applications et du rôle « a priori » de l’usager, de lui appliquer des contrôles supplémentaires, si sa « note » dépasse 12, mais rester muet en dessous, selon le paramétrage retenu.

Cette technique de l’authentification permanente présente au moins deux inconvénients.

D’abord elle nécessite des machines puissantes, car les contrôles doivent se faire en arrière-plan, sans perturber le fonctionnement normal des applications. Ce qui exclut les mobiles quelque peu anciens, insuffisamment armés.

Mais surtout, elle présente le danger des faux positifs, autrement dit du constat d’une situation anormale, alors que ce n’est pas le cas. Si le mobile contrôle le mouvement de vos doigts sur l’écran, mais que vous vous êtes coincé le pouce dans la porte de la salle de bains, ce qui a nécessité un gros pansement, il est évident que votre cinématique gestuelle en aura été perturbée…

Or, il est très difficile de faire la distinction entre un faux positif et une véritable anomalie, là encore les algorithmes d’IA devant nous être d’un grand secours pour tenter de démêler le vrai du faux.

 

L’authentification invisible

On voit bien au travers de ces méthodes, que l’on finira un jour par aboutir à un processus d’authentification totalement transparent et invisible. Sans mots de passe, ni login, simplement basé sur ce que nous sommes physiquement et sur notre comportement.

Ce sera une évolution logique de toutes les pratiques que nous avons connues jusqu’à maintenant qui, avec le temps, sont devenues de moins en moins visibles tout en étant de plus en plus intrusives.

La puissance des machines et les algorithmes d’IA, de « machine learning » surtout, expliquent cette évolution, qui vont se complexifier et sans doute mettre en œuvre des systèmes cognitifs très performants, portés par le Cloud. Watson d’IBM est un très bon exemple, qui peut tout à fait jouer le rôle d’ange gardien, en arrière-plan de vos mécanismes d’authentification.

Cela dit, force est d’admettre que nous sommes encore dans une sorte d’impasse technologique, heureusement provisoire. Nous savons que les procédés actuels de reconnaissance ne sont pas fiables et sont dangereux. Mais les techniques appelées à les remplacer ne sont pas encore totalement prêtes.

On peut toutefois imaginer une ébauche de calendrier.

Les systèmes traditionnels (mots de passe, identifiant), associés à la biométrie vont perdurer jusqu’en 2022. Entre 2022 et 2025, les systèmes adaptatifs vont se développer et se transformer progressivement en systèmes continus. Et c’est sans doute entre 2025 et 2030 que l’on sera débarrassé, sur les mobiles tout au moins, des procédures d’authentification. Qui se feront alors à notre insu, au moment précis où nous aurons ouvert notre smartphone ou tablette et ensuite pendant toute la durée des sessions.

Ce qui nous donnera suffisamment de temps pour mettre au point les API, indispensables, si l’on veut intégrer ces process dans les applications, que ce soit chez les éditeurs ou les entreprises utilisatrices.

Rendez-vous dans dix ans…