Go to the profile of André Delaforge
André Delaforge
#Interventionist #Fusionist #Privacy #Europe #Sharingeconomy #Sustainabledevelopment #Climatefiction #SeaKayak #Monofin #littleBits #permaculture #OpenAG

Authentification forte : Biométrie vs Mot de Passe

Le débat opposant les mots de passes aux outils biométriques est stérile, car les deux sont complémentaires. Pour garantir la sécurité sur le net, le plus important est de favoriser l’émergence de méthodes d’authentification fortes.

Depuis quelque temps, il est d’usage de tenter de positionner la biométrie par rapport aux mots de passe. Il nous paraît pourtant difficile de comparer les deux technologies puisqu’elles s’inscrivent dans des finalités et des approches totalement différentes.

Plusieurs points communs rapprochent cependant le mot de passe de la biométrie. En effet, on peut considérer que ni le mot de passe ni la biométrie ne sont, en soi, sécurisés. C’est la combinaison avec un autre élément qui donne toute la force à ces technologies. Cet autre élément comprend un secret, caché de préférence dans une enclave sécurisée (la puce de la carte bancaire, la carte SIM du téléphone mobile…). Il permet à l’utilisateur de mettre cet objet en opposition en cas de perte. L’utilisation conjointe de la biométrie et de ce second facteur permet de s’assurer de la présence de l’utilisateur lors d’une transaction ou de l’accès à un service en ligne.

Quelles sont les raisons qui poussent en 2015 à l’utilisation de la biométrie ? Dans un monde de plus en plus numérique, l’acte d’authentification est devenu un geste fondamental. C’est par exemple cet acte qui permet de se connecter à notre cloud ou à un coffre-fort électronique où nous stockons des données confidentielles (informations bancaires, feuille de paye, avis d’imposition…) ou plus personnelles (photos de vacances).

Plus quotidiennement, c’est l’acte que nous réalisons pour nous connecter à notre webmail, accéder à notre compte en banque en ligne, commander sur Internet, se connecter à des réseaux sociaux…

Face à la multiplication des services en ligne, nous devons utiliser des mots de passe de plus en plus nombreux, de format souvent différents (certains sites n’acceptent pas les caractères spéciaux, d’autres les recommandent) et sommes incités à les changer régulièrement. L’utilisation d’un logiciel de centralisation des mots de passe est une piste intéressante mais ne résout pas le problème d’authentification de la personne. En cas d’usurpation d’identité ou de hacking, une personne mal intentionnée accédera à l’ensemble des services d’un utilisateur. En effet, comment vérifier que c’est l’utilisateur légitime qui se connecte au SSO ou au logiciel de gestion de mot de passe ?

Dans ce contexte, l’utilisation de la biométrie, parce qu’elle permet une authentification forte rapide et liée intimement à l’individu, répond aux besoins des utilisateurs. Mais reste une opposition artificielle qui ne doit pas masquer les enjeux forts de l’authentification.

Le débat initié sur l’opposition entre mot de passe et biométrie est surtout l’occasion de prendre du recul en essayant de répondre aux grandes questions qu’il convient de se poser. La première d’entre elle est pourquoi, qu’on le veuille ou non, la biométrie est devenue une technologie envisageable pour et par le grand public ?

Elle est devenue incontournable du fait du besoin croissant d’authentification, et ce dans des contextes de plus en plus divers. Une étude récente conduite par le Home Office en Angleterre, dans le cadre du National Cyber Security Programme démontre qu’un utilisateur doit retenir 19 mots de passe en moyenne. Cette complexité est renforcée par le fait que la saisie d’un mot de passe complexe s’avère très difficile sur un téléphone mobile ou une tablette alors qu’elle doit être réalisée au quotidien.

La mobilité introduit de nouveaux challenges : s’authentifier d’une main, dans les transports en commun, au vu de tout le monde ou au contraire, au fond d’un canapé. En vertu du principe de simplicité (librement dérivé du rasoir d’Ockham qui montre qu’entre deux théories complexes, celle qui est vraie est toujours la plus simple), l’utilisateur va privilégier le chemin ou la technologie la plus accessible.

Dans le contexte de l’authentification forte, l’utilisateur privilégiera toujours la biométrie, plus rapide et plus simple, aux mots de passe complexes. Il apparaît difficile pour tout le monde de ne plus utiliser de souris ; les raccourcis clavier, quant à eux si populaires il y a quelques années, tombent en désuétude.

Il semble donc compliqué de revenir en arrière : l’ergonomie et l’expérience utilisateur étant un élément-clef de l’adoption des technologies. Comme le constate Dave Birch , les utilisateurs qui auront pris l’habitude de s’authentifier au travers de la biométrie auront du mal à revenir vers un système classique imposant la saisie d’un login et d’un mot de passe complexe.

Les conséquences pour l’industrie et les utilisateurs

Force est de constater que le marché de l’authentification est en train de se structurer autour de quelques acteurs, tous situés en dehors de l’Europe. Or maîtriser l’authentification, c’est maîtriser l’accès du/au client. En ce sens, l’authentification va devenir le point de passage obligé (tout comme Google l’est devenu pour la majorité des recherches sur Internet) de toutes les transactions dématérialisées.

Il est donc impératif de définir au niveau européen des méthodes d’authentification fortes, facilement adoptables par l’utilisateur (en termes de rapidité, de simplicité d’utilisation…) répondant aux besoins-métiers des utilisateurs et adaptées aux nouveaux contextes d’utilisations. Sans une position européenne forte, on risque d’assister à l’émergence d’un nouveau Google de l’authentification, point de passage de l’ensemble des services en ligne.

C’est pour cette raison qu’il nous apparaît essentiel de favoriser l’émergence de méthodes qui vont permettre de définir un standard d’implémentation de la biométrie :

• Ouvert, non basé sur des technologies propriétaires mais reposant sur des spécifications accessibles à tous les industriels ; 
• s’inscrivant dans un schéma d’évaluation (comme par exemple les travaux d’évaluation et de certification des technologies biométriques conduits par la Biometrics Alliance Initiative) et de certification, reposant sur des tests réalisés par des laboratoires indépendants ; 
• compatibles avec les services nécessitant une authentification forte (paiement, accès aux services en ligne…) ; 
• offrant une sécurisation forte des données utilisées pour l’authentification ; 
• en conformité avec les recommandations émises par les régulateurs (bancaires, autorités de protection des données personnelles…) ; 
• permettant le développement d’écosystèmes et de création de valeur locale.

Cette proposition a fait l’objet d’une contribution dans le cadre de la consultation organisée par le Conseil national du numérique sur les enjeux sociétaux et économiques liés aux transformations numériques.

Initialement publié le 4 Février 2015 dans Le Cercle Les Echos.