Avec la sortie l’an dernier de l’iPhone X, Apple a une nouvelle fois créé l’événement en introduisant la reconnaissance faciale sur ses téléphones, permettant d’utiliser Apple Pay et certaines autres applications en n’utilisant que son visage pour s’identifier. En plus de pouvoir déverrouiller son appareil grâce à l’empreinte digitale, la reconnaissance faciale introduit pleinement l’authentification biométrique auprès du grand public. Depuis, d’autres entreprises comme Microsoft et Samsung ont suivi le pas en proposant des technologies similaires pour offrir à leurs utilisateurs un accès pratique aux appareils et aux applications, et ainsi ajouter une couche supplémentaire au processus d’authentification.
Depuis des années les partisans de la biométrie s’empressent de présenter la reconnaissance faciale comme un substitut inévitable aux mots de passe. Certes efficace car elle permet de renforcer l’authentification à une époque où les cybermenaces sont de plus en plus sophistiquées et ciblées, le mot de passe n’en reste pas moins un maillon indispensable de la chaine de sécurité. La biométrie présente une combinaison pratique de sécurité et de commodité dans bien des scénarios, mais il reste tout de même plusieurs défis à résoudre avant que cette technologie ne soit considérée le substitut définitif aux mots de passe.
- Il est impossible de crypter les données avec la biométrie
L’exemple le plus flagrant est celui de l’iPhone. Un utilisateur peut déverrouiller son iPhone des dizaines de fois par jour grâce à la reconnaissance faciale ou l’identification par empreinte digitale. Cependant l’appareil nécessite toujours un mot de passe lors de l’installation et un code sera requis à chaque fois que le téléphone sera redémarré, ou que l’identification biométrique ne fonctionnera pas pour plusieurs raisons inconnues. Pour que des données soient sécurisées, elles doivent être cryptées, à l’aide d’une clé de cryptage. La biométrie est efficace en tant que contrôleur d’accès pour donner ou refuser l’accès aux données, mais elle ne peut pas être utilisée pour crypter les données. Ainsi, bien que le tout dernier iPhone soit équipé de capteurs de cartographie faciale sophistiqués, il exige toujours que l’utilisateur configure un mot de passe. Cela est indispensable pour crypter les données sur le stockage interne de l’appareil.
- Contrairement aux mots de passe, la biométrie ne se met pas à jour
Les atteintes à la protection des données se produisent désormais de façon mécanique. Dans l’hypothèse où le scan de l’empreinte digitale ou de l’iris d’une personne soit dérobée, l’accès biométrique présente le danger qu’une identité soit entièrement volée et jamais entièrement retrouvée. Lorsque l’on sait à quel point l’usurpation d’identité peut être un cauchemar, cette théorie fait froid dans le dos. D’ailleurs, l’année dernière des scientifiques ont alerté sur ces pratiques en créant un faux discours de Barack Obama à l’aide du logiciel Adobe. De plus, contrairement aux mots de passe, il est impossible de réinitialiser ou modifier les identificateurs biométriques pour restreindre ou en modifier l’accès. Au fur et à mesure que la reconnaissance faciale se répand, il a été démontré que les pirates informatiques peuvent facilement la contourner, ce qui rend les mots de passe et les codes d’accès encore légitimes pour se protéger des menaces extérieures.
- La biométrie n’est liée qu’à un seul appareil à la fois
L’une des raisons pour lesquelles les mots de passe sont si omniprésents dans nos vies est qu’il est impossible de savoir à l’avance quand et sur quel appareil quelqu’un se connectera pour accéder à ses comptes personnels. La plupart des citoyens possèdent un téléphone mobile, un ordinateur voire même une tablette, en plus de leurs appareils professionnels. Il n’est donc pas rare que ces appareils servent à la fois à accéder à des informations professionnelles et personnelles et qu’ils soient aussi utilisés par des amis et des collègues. Utiliser un mot de passe pour se connecter à un compte en ligne fonctionne pour tous les supports. La biométrie par contre n’est pas aussi versatile car elle est liée à des dispositifs spécifiques et mise en place ou non par certaines applications via ces dispositifs. C’est la raison pour laquelle les applications auxquelles les gens accèdent fréquemment à partir de plusieurs périphériques, comme Netflix par exemple, nécessitent toujours des mots de passe pour être configurés. Est-il envisageable de ne pas pouvoir accéder à son compte de streaming, sa messagerie électronique ou à une application de services simplement car l’accès est limité à cause de la biométrie et sur un seul appareil ?
- La biométrie peut présenter de sérieux obstacles pour s’identifier
Comme pour toutes les nouvelles technologies, des doutes ont été émis au sujet de la qualité des techniques biométriques. Dans le secteur bancaire par exemple, certains ont soulevé un lourd problème lié au fait que l’identification n’était pas la plus optimale pour toutes les ethnies. Dès lors, on peut se demander si ces failles dans la reconnaissance faciale ne sont pas des obstacles pour toute une catégorie de la population. De plus, plusieurs groupes de défense des libertés individuelles s’inquiètent quant à la généralisation de l’identification biométrique et craignent que cette technologie ne soit utilisée pour faire de la surveillance à grandes échelles ou dans des cas d’affaires criminelles, sans en informer les citoyens. Car ces préoccupations ralentissent l’adoption de cette technologie ; l’utilisation d’un mot de passe reste l’option la plus viable pour s’identifier.
- Certains environnements à haut risque nécessitent une authentification multiple
Les cybermenaces continuent d’augmenter et d’évoluer à un rythme fou, laissant les équipes responsables de la sécurité pantois face à de nouvelles menaces ultra sophistiquées. Selon le rapport 2018 sur l’état de la cybersécurité effectué par l’ISACA, 50% des 2 300 professionnels de la sécurité et de l’informatique interrogés déclarent avoir subi plus de cyberattaques que les années précédentes. Les cybercriminels font des profits en dérobant des informations sur les comptes personnels et professionnels via des attaques de phishing, des logiciels malveillants et de social engineering, parmi les menaces les plus courantes. Dans ce climat d’attaques perpétuelles, opter pour l’authentification multifactorielle semble être l’idée la plus sage. Ainsi, associer la biométrie et les mots de passe est une garantie pour renforcer la sécurité des données. Dans les environnements où la sécurité est plus que primordiale comme les hôpitaux, les institutions financières et gouvernementales, cela nécessite aux personnes de s’identifier plusieurs fois par jour et selon plusieurs facteurs afin d’assurer un bon niveau de sécurité pour tous.
Il reste encore beaucoup de travail pour relever pleinement les défis liés à la cybersécurité d’aujourd’hui. Récemment, le lancement de l’API WebAuthn a relancé les scénarios d’un futur sans mot de passe et à 100% biométrique pour accéder à internet et effectuer des recherches sur les navigateurs. Le souci avec cette technologie c’est qu’elle ne peut pas toujours connecter les identités entre les différents appareils. Bien des entreprises travaillent sur le chiffrement à l’aide des données biométriques, d’autres sont également à la recherche de technologies qui permettraient aux utilisateurs de gérer et de protéger leurs identifiants sans avoir besoin d’un mot de passe principal, également connu sous l’appellation de mot de passe maître. Bien qu’indispensables aujourd’hui, les mots de passe restent sensibles aux failles comportementales et sont souvent le maillon le plus faible de la chaîne de sécurité, et sont avant tout les points d’entrée les plus fréquents des vols de données. Cependant pour les dirigeants d’entreprises et les responsables informatiques, le mot de passe reste une assurance pour la sécurité des données. Étant donné qu’une grande partie de nos vies se déroule en ligne, le mot de passe reste le rempart nécessaire aux attaques informatiques, et la révolution biométrique n’est pas près de changer cela.
________
Sandor Palfy est Chief Technology Officer of identity and Access Management, LogMeIn