Dossier : Etat de l’art de la biométrie comportementale pour la banque et l’assurance (1/2)
99,7%, c’est le taux d’exactitude de l’authentification par biométrie comportementale avancé par BehavioSec, une start-up suédoise partenaire de la Danske Bank.
A l’heure de la dématérialisation et de la digitalisation, et surtout des nouvelles directives européennes, les acteurs du secteur de la banque et de l’assurance sont à la recherche de nouvelles méthodes d’authentification, plus efficaces et plus confortables. La biométrie comportementale pourrait s’imposer comme l’une de ces méthodes.
Nous vous proposons de vous expliquer pourquoi au travers de 2 articles. Ce premier article vise à poser les bases de la biométrie comportementale ; le second, à présenter les bénéfices de cette méthode.
La biométrie, une méthode différente d’authentification
L’authentification peut se faire à l’aide de trois méthodes :
Si les 2 premières méthodes sont très largement utilisées sous toutes les formes depuis des siècles (à l’image du fameux « Sésame, ouvre-toi »), la biométrie faisait encore figure de science-fiction jusqu’à récemment.
Avec l’arrivée de l’IPhone 5S, en 2013, le grand public a pu s’approprier un tout nouvel outil qui nécessite, pour la première fois, l’utilisation de l’empreinte digitale de son détenteur pour se déverrouiller. Avec l’omniprésence, depuis confirmée, du smartphone dans nos vies, nous nous sommes familiarisés avec cette méthode d’authentification et certaines institutions ont l’ambition de faire de notre mobile un terminal de confiance.
Désormais, nous usons de cet outil pour de nombreuses actions, telle que la validation d’achat sur l’Apple Store ou le paiement mobile. Nous profitons ainsi d’une meilleure expérience d’utilisation et a priori une meilleure sécurité.
Et c’est là tout le défi de l’authentification : trouver un juste équilibre entre le confort utilisateur et la sécurité conforme au cadre réglementaire.
Pour illustrer le propos, en théorie, un système qui authentifierait toutes les tentatives rapidement et facilement serait très confortable pour les utilisateurs, légitimes ou non, mais absolument pas sûr.
A l’inverse, un système qui refuserait tous accès serait sûr mais totalement inconfortable pour les utilisateurs.
La biométrie a de particulier le fait de ne pas être binaire contrairement à un mot de passe, qui est correct ou non.
En biométrie, on compare une mesure réalisée sur l’individu lors de l’authentification à un gabarit, une mesure (empreinte) de référence. Un score d’exactitude de la comparaison est déterminé et en fonction du degré de précision demandé, l’utilisateur est validé pas.
Ainsi, 3 mesures sont à prendre en compte lors de l’implémentation d’un système de reconnaissance biométrique :
• Le FAR (False acceptance rate) : Le taux d’acceptation d’un individu illégitime
• Le FRR (False rejection rate) : Le taux de rejet d’un individu légitime
• Le EER (Equal Error rate) : Le taux pour lequel le FAR et le FRR sont égaux
Plus le FAR est faible et le FRR fort, plus le système est sûr. Plus le FRR est faible et le FAR est fort, plus le système est ergonomique. Le but est donc d’avoir un système avec un FRR et un FAR le plus bas possible, par conséquent un EER le plus bas possible.
La reconnaissance digitale fait partie des outils de biométrie physique au même titre que la reconnaissance de l’iris ou celle du visage. Ces méthodes ont une limite évidente : elles sont facilement altérables et même reproductibles.
• Altérabilité : Tous les utilisateurs de smartphone dernier cri connaissent la frustration de devoir utiliser leur code lorsqu’ils ont les mains mouillées.
• Reproductibilité : On peut rappeler ici l’hacker allemand Jan Krisller qui était parvenu à reproduire l’iris de la chancelière Angela Merkel en 2015 simplement à l’aide de photos HD d’une conférence.
Face à ce bilan, des start-ups à l’image de Biocatch ou Verifyoo ont fait le pari d’une nouvelle alternative aux méthodes d’authentification « classique » : la biométrie comportementale.
La méthode biométrique, des mises en pratique diverses dont la biométrie comportementale
Le concept de la biométrie comportementale pourrait être défini comme le champ de recherche visant à faire correspondre les activités d’un individu à son identité unique en vue d’une authentification/identification.
On peut rappeler à cette occasion la différence entre une identification et une authentification.
On s’identifie dès que l’on renseigne son identité (« Bonjour, Je m’appelle Paul »/ Login). On s’authentifie quand un tiers de confiance confirme la légitimité et l’identité d’un utilisateur. (Mot de Passe, validé par le serveur de notre banque par exemple.)
Pour décrire la biométrie comportementale, on peut prendre pour illustration la reconnaissance par keystroke dynamics (ou dynamique de frappe), dont les 3 étapes d’implémentation sont :
• Enrôlement: Chaque utilisateur a une manière qui lui est unique de taper un texte sur un clavier. (En termes de rythme de frappe et d’utilisation du clavier, avec le temps qui sépare la frappe sur une touche d’une autre frappe et les différents temps de pression sur une touche).
On peut ainsi identifier la dynamique de frappe d’un client lors de son inscription.
• Formation d’un gabarit: ce sont les mesures biométriques qui vont servir de référence.
• Stockage du gabarit: C’est le moment le plus délicat. En effet, les données biométriques font partie des données les plus sensibles qui soient car elles sont irrévocables. A priori, un individu n’aura toute sa vie qu’une unique identité biométrique, contrairement à la multitude de mots de passe qu’il peut utiliser. Or, si l’on stocke une donnée biométrique, on prend le risque qu’elle soit dérobée.
Par la suite, pour se connecter et s’authentifier, 3 possibilités -non exclusives- s’offrent à l’institution :
• Le client tape son mot de passe de la manière la plus naturelle : le logiciel vérifie que le rythme de frappe de ce mot de passe est celui du gabarit et il y a ainsi une « double authentification ». L’opération est transparente pour l’utilisateur.
• Le client s’authentifie classiquement avec le couple login/mot de passe et se voit proposer un challengeen complément : il lui faut taper un texte qui apparait sur l’écran. Encore une fois, le gabarit sera vérifié à ce moment-là.
• Une dernière solution avec un avantage certain est l’authentification continue : une fois le client authentifié, le logiciel continue à vérifier le rythme de frappe lors de sa navigation. Si, à un moment donné, le comportement ne correspond plus au gabarit, on peut lui demander une seconde authentification classique.
On souligne que le concept de biométrie comportementale se décline à volonté. Pour ne citer que quelques méthodes :
• L’analyse des mouvements de la souris (ou des doigts dans le cas d’un smartphone)
• L’analyse de la frappe d’un texte
• L’analyse de la signature
• L’analyse du regard du client sur son écran.
Maintenant que le concept de biométrie comportementale est posé, nous traiterons des avantages de cette méthode dans un second article.