Border Management and Technologies Summit
Secure Identification 2017
Biometrics in Banking & Financial Services
SDW 2017
INTERPOL World 2017
Forensic Research and Technology
Security Document Summit

Nos smartphones sont-ils une source fiable pour notre identité ?

Comment ça Apple Samsung... ou FIDO savent que vous êtes la personne qui est autorisée à accéder à ce téléphone ? Ou, comment les applications qui sont accessibles via le téléphone savent que vous êtes la personne autorisée à y avoir accès ?

Le lecteur d'empreintes digitales ? Et si le lecteur d'empreintes n'est pas très précis ? Et si c'est usurpé parce que la technologie n'utilise pas suffisamment de données pour authentifier l'utilisateur avec un degré élevé de certitude ?

Compte tenu que les lecteurs d'empreintes digitales d'Apple et de Samsung ont été falsifiés en un jour ou deux, n'est-il pas évident que le "téléphone" ne peut pas savoir en fait qui met le doigt sur le capteur? Cela signifie donc que les applications et les fournisseurs de services connexes ne peuvent pas savoir non plus qui utilise le téléphone.


Ainsi, supposons un instant, que l'application est une application PayPal sur votre iPhone ou Galaxy S5. En cette circonstance, PayPal ne peut pas savoir avec certitude que c'est en fait le doigt autorisé sur le capteur. En d'autres termes, je pourrais éventuellement utiliser votre téléphone pour accéder à votre compte PayPal et PayPal ne le sait pas. Mais s'en inquiètent-ils ?

Il existe deux types d'erreurs dans la biométrie. Une erreur de "fausse acceptation" permet à un utilisateur non autorisé d'accéder, et une erreur de "faux rejet" qui refuse à tort d'autoriser l'accès à l'utilisateur autorisé. Il y a des compromis entre les deux et il faut savoir qu'un algorithme d'empreintes digitales, peut être réglé pour la commodité (faible précision) afin d'éviter une mauvaise expérience utilisateur. Si le capteur d'empreintes digitales ne reconnaît pas le vrai utilisateur 25% du temps, l'utilisateur ne peut pas obtenir l'accès sur le téléphone via le capteur 25% du temps. C'est un problème majeur pour les fournisseurs dont la réputation produit est que "ça marche". Avec un grand taux de faux rejet, la productivité des utilisateurs tomberait. La satisfaction des utilisateurs tomberait et la part de marché des fournisseurs tomberait aussi certainement.
Si l'algorithme est alors ajusté pour réduire ce taux de faux rejet, cela augmente la possibilité d'un accès non autorisé, ou faux accepté, du téléphone et des applications associées au système d'empreintes digitales peu performant.

Ce modèle où l'identité associée avec le téléphone est présumé être de confiance, est erroné si vous ne pouvez pas faire confiance à la technologie pour garantir que c'est vous. Et, franchement, ce n'est pas suffisant pour le fournisseur de l'application, potentiellement comme PayPal ou iTunes, de prétendre qu'ils utilisent d'autres technologies d'authentification pour compenser la biométrie potentiellement inexacte, lorsque l'ensemble du raisonnement conduisant à l'utilisation de la biométrie est que ces autres mesures d'authentification ne fonctionnent vraiment pas bien. Si vous n'êtes pas d'accord avec cela, il suffit de recherche Google "statistiques de vol d'identité".

En fait, il existe deux solutions à ce problème. Tout d'abord, il semble évident qu'un algorithme plus précis qui peut aider à minimiser ces erreurs, serait plus attrayant à la fois le fabricant de capteur, le fabricant du téléphone et le développeur de l'application.
J'espère que tous les articles sur les risques d'usurpation avec les lecteurs d''empreinte digitales sur les 5S et S5 permettront de stimuler la demande pour des algorithmes plus précis. Il existe cependant une autre solution. Cette seconde solution possible est un concept appelé «source fiable».

Il y a une phrase dans le film "JFK", où un homme pose la question "Comment votre papa sait qu'il est votre papa? ... Parce que votre maman le dit." Eh bien, dans ce cas Maman est la source de confiance. Malheureusement, aujourd'hui, il n'y a pas de véritable source de confiance dans ce modèle d'authentification. Il pourrait y en avoir, cependant. En associant une "source fiable" ... une "source de la racine" ... nous pouvons attacher les données d'identité de l'utilisateur à l'inscription des utilisateurs sur le téléphone et l'application. Cette source de confiance doit être à l'extérieur de l'appareil, naturellement.

Qui ou que pourrait être une "source fiable" idéal? Il y a quelques bons exemples aujourd'hui.
Les services gouvernementaux qui gèrent nos titres d'identité (CNI, passeport, permis de conduire...), voire les banque diront certains, sont largement acceptées comme des sources de confiance.
Lorsque vous postulez pour un compte de carte de crédit la banque exige également des informations d'identification de l'état. Cette donnée n'est pas remise en cause par la banque. Bien entendu, ces entités ont de grandes bases de données, dont l'accès est facilité par l'Internet. Ainsi, ces systèmes sont "des services de cloud computing".
En mettant en place une plate-forme de correspondance biométrique dans ce nuage, le vendeur ou le service gouvernemental fournisseur peut utiliser la base de données pour comparer les données, réduisant considérablement les risques de fraude.
La source de confiance peut fournir des données propres au sujet de la demande et une grande assurance que le demandeur est bien celui qu'il prétend être. À ce moment, la banque ou autre n'a qu'à demander votre empreinte digitale lorsque vous commander un service et peut savoir que vous êtes, en fait, la personne associée avec le titre d'identité par exemple.
Tout aussi important, cette "source sûre" peut être utilisée lors de l'inscription lorsque vous achetez et inscrivez sur votre téléphone.
Cette source de confiance peut être éventuellement utilisée pour vous authentifier lorsque vous essayez d'utiliser ce téléphone et compte PayPal associé pour acheter quelque chose.
Il s'agit d'un niveau de sécurité supplémentaire qui permet de compenser les défauts associés au modèle de l'appareil. Beaucoup appellent cela «compléter la chaîne de confiance".

Bien sûr, l'argument en faveur de la centralisation des données biométrique dans l'appareil est les risques liés à l'agrégation des données d'identité dans un nuage, y compris les données biométriques.

Actuellement, Apple et FIDO transfèrent les risques sur le fournisseur de services tiers, qui doit en particulier choisir de faire confiance que le capteur ou le téléphone n'ont pas été usurpés. Au final c'est bien les consommateurs qui finira d'une manière ou d'une autre par supporter les conséquences du risque. Il est temps d'arrêter de refiler la responsabilité de la fraude sur les consommateurs.
Compte tenu des estimations du nombre de fraudes d'identité qui approchent 20 milliards de dollars dans l'industrie des paiements uniquement, nous pourrions envisager l'avantage économique de notre société jouirait en réduisant ou en éliminant tout vol d'identité liés à des fraudes dans le secteur bancaire, le commerce électronique, la santé et ailleurs.

De toute évidence, ce que nous faisions ne protège pas contre le vol d'identité, des violations de données et autres fraudes. Il semble également clair que tous les acteurs du marché pensent à tous les risques associés à différentes architectures et conception de systèmes. Renvoyer la balle de risque sur les consommateurs et les fournisseurs de services tiers n'est pas acceptable. Nous devrions envisager une solution plus large qui inclut des technologies plus précises et une source de confiance.

Article de fiction ou réalité ? A vous de vous faire votre propre opinion, mais il a certainement un peu des 2 dans ces propos, allez savoir.

En France, certains avaient évoqué (il y a déjà longtemps) la possibilité d'ajouter à notre future/ex/future (cela change tout le temps).. CNI carte d'identité biométrique une partie non régalienne qui permettrait à l'usager d'avoir un moyen de confiance pour prouver son identité lors de l'accès à des services non étatiques. Cela aurait put être couplé à la base de données biométrique des détenteurs de cette nouvelle CNI... oubliez tout cela, cela ne sera pas le cas, ni base de donnée ni services associés. Il restera toujours le secteur privé qui se chargera certainement de veiller sur notre identité, vaste débat sans fin.

 

Article inspiré par Jay Meier - BIO-key

   
   
© Copyright © 2017 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.