Biometrics in Banking and Payment - Amsterdam
Border Security Conference & Exhibition
Connect:ID 2018
SDW 2018 - Security Document World

Alternative au mot de passe version Google

Google travaille sur une alternative au mot de passe du côté des smartphones. L'idée consiste à attribuer un « score de confiance » à l'utilisateur en prenant en compte divers critères, comme la géolocalisation, la vitesse de frappe au clavier ou encore la reconnaissance faciale.

Présenté à l’occasion de la Google I/O 2015, le projet Abacus pourrait être intégré à certains smartphones Android dès la fin de l’année, sous le nom de « Trust API ». Qu’est-ce ? Une idée plutôt astucieuse pour remplacer les mots de passe et autres lecteurs d’empreintes par une mesure constante de l’activité de l’utilisateur. À partir de plusieurs données collectées, le terminal essaie d’estimer qui est son utilisateur. Et tant qu’il pense que c’est vous, vous n’aurez plus à saisir votre mot de passe pour débloquer l’appareil et accéder aux données confidentielles.

À l’origine, les mots de passe relativement basiques suffisaient à protéger un compte. Aujourd’hui, si l’on se préoccupe un tant soit peu de la sécurité en informatique, on doit se rendre à l’évidence : des consignes supplémentaires doivent être respectées pour dormir l’esprit tranquille, d’abord en respectant les règles du genre (longueur, complexité, intelligibilité), ensuite en prenant soin de créer un mot de passe différent par site sur lequel on veut s’inscrire.

Ces deux règles représentent le minimum syndical que devraient appliquer tous les internautes. L’histoire a malheureusement montré que ce n’est pas le cas. La grande majorité des utilisateurs ne veut pas s’embêter avec des mots de passe complexes. Dans un monde idéal, il faudrait pourtant employer des phrases secrètes (qui sont en fait des mots de passe bien plus longs que d’ordinaire) et activer, lorsque c’est possible, la validation en deux étapes.

Toutes ces mesures permettent à l’usager de bénéficier d’un bouclier de protection face aux techniques habituellement employées lors d’un piratage (test exhaustif pour trouver le bon mot de passe, tentative de hameçonnage pour essayer de vous voler des données personnelles en vous bernant, etc). Bien sûr, l’usager n’est qu’un maillon de la chaîne de la sécurité en informatique. Le site web sur lequel vous voulez vous connecter en est un autre et il doit aussi faire sa part.

Aux yeux de Google, il est néanmoins temps de passer à autre chose. Voilà en effet plus de trois ans que la firme de Mountain View cherche à se passer des mots de passe au profit d’une technique plus efficace. « Les mots de passe et les jetons d’identification comme les cookies ne sont plus suffisants pour assurer la sécurité des utilisateurs », observaient des représentants de l’entreprise en 2013. Trois ans plus tard, une piste intéressante semble émerger : le score de confiance.

Comment un smartphone peut savoir que vous êtes l’utilisateur attitré et non un tiers ou un voleur ? Google va compiler plusieurs informations à votre sujet et établir un score de confiance, de 1 à 100. L’appareil photo en façade analysera la forme du visage, Android surveillera la frappe au clavier ou la voix lors de l’utilisation de Google Now, la géolocalisation sera également exploitée, ainsi que les appareils Bluetooth à proximité et même, en cas de déplacement, votre démarche.

En fonction de tous ces paramètres, le score de confiance évolue et les autorisations sont délivrées de façon dynamique. Un jeu peut se contenter d’une approximation, mais l’application de votre banque ne se débloquera qu’en étant parfaitement sûre de votre identité. Et en cas de doute, Android revient aux systèmes traditionnels, qu’il s’agisse d’un mot de passe ou d’une empreinte biométrique.

Google affirme que cette solution serait dix fois plus sécurisée qu’une lecture d’empreinte digitale. On peut au moins reconnaître qu’elle est moins contraignante qu’un mot de passe complexe ou, solution de plus en plus fréquente, qu’une authentification en deux étapes. Reste à connaître l’impact d’une telle surveillance en continu sur l’autonomie et à savoir si les utilisateurs font suffisamment confiance à Google pour laisser tous les capteurs de leur smartphone fonctionner en permanence.

Quoi qu’il en soit, la Trust API sera testée dès le mois prochain par plusieurs institutions financières et si tout va bien, Google prévoit un déploiement public d’ici la fin de l’année. Les développeurs pourront alors l’exploiter dans leurs apps, mais on imagine qu’il faudra une version récente d’Android pour en bénéficier.

Pour que le concept marche, il faut que le dispositif évaluant le score de confiance fonctionne tourne en tâche de fond, afin de pouvoir être ajusté en permanence, surtout si vous passez votre mobile à un proche pendant quelques instants.

Google n’aura pas de mal à déployer un tel système si celui démontre son efficacité. La firme dispose d’une part de marché d’environ 80 % dans le mobile grâce à Android. À ce sujet, il est prévu de mettre à disposition l’API dédiée aux développeurs d’ici la fin de l’année.

Sources : http://www.igen.fr - http://www.numerama.com

   
   
© Copyright © 2017 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.