Authentification biométrique : une technologie qui combine sécurité et simplicité
Toute entreprise soucieuse de sa propre sécurité est amenée à prévoir un mécanisme d’authentification forte, garantissant que seuls les individus et terminaux autorisés accèdent aux systèmes et réseaux de l’entreprise, en fonction des niveaux de droits d’accès qu’ils détiennent.
Mais depuis les débuts de l’informatique, établir que les gens sont bien qui ils prétendent être a toujours représenté une difficulté majeure... Les solutions biométriques seraient-elles le bon moyen d’authentifier les individus avant de leur accorder l’accès aux systèmes, applications et données ?
Après tout, chacun possède une identité biologique unique, alors pourquoi ne pas s’en servir pour sécuriser l’entreprise virtuelle ?
Les solutions biométriques ne sont généralement pas promues comme procédé d’identification par défaut. Elles prennent tout leur sens dans ce qu’on appelle l’authentification « multifactorielle » : en associant « ce que vous connaissez » - une combinaison identifiant-mot de passe par exemple-, et « ce que vous êtes » - une caractéristique biologique comme une empreinte digitale ou rétinienne-, il devient alors beaucoup plus compliqué pour un tiers de se faire passer pour vous.
Peut-on réduire le coût de l’authentification biométrique ?
La biométrie par lecture des empreintes digitales est généralement l’interface la plus simple à utiliser. Il suffit de placer son index ou son pouce sur le lecteur pour que l’authentification se fasse. Par contre, cette simplicité a un coût, puisqu’il est nécessaire d’être équipé d’un terminal supplémentaire. Ce sont les coûts de déploiement de ces lecteurs qui ont jusqu’ici freiné les projets d’intégration de la biométrie aux programmes de contrôle de cyber-identité.
Si l’on pouvait effectuer les contrôles de lecture biométrique au moyen d’appareils que les employés possèdent déjà, les coûts seraient nettement inférieurs pour l’entreprise. On peut imaginer par exemple des contrôles biométriques vocaux, par téléphone fixe ou portable standard, ou encore la reconnaissance faciale via l’appareil photo dont la plupart des smartphones sont aujourd’hui équipés. Le procédé d’authentification resterait ainsi très naturel, et comme la plupart des individus détiennent un téléphone ou smartphone, l’entreprise n’aurait pas besoin d’investir dans des équipements supplémentaires, ni de les distribuer ou d’en assurer la maintenance.
La seule contrainte, en fait, reste d’avoir une méthode d’authentification multifactorielle de secours au cas où la solution biométrique échoue.
Toujours compléter la biométrie avec une autre solution d’authentification multifactorielle. Si la biométrie est une forme reconnue d’authentification, des doutes persistent quant au risque de faux négatifs ou d’échec à authentifier la bonne personne. Le plus sage serait donc de considérer telle solution biométrique comme un facteur d’authentification parmi d’autres, le second d’un système multifactoriel.
Dans ce scénario, l’utilisateur aurait sa propre combinaison identifiant/mot de passe/code PIN doublée par un contrôle biométrique, de reconnaissance faciale ou de lecture d’empreintes digitales. Si l’authentification échoue avec cette combinaison de facteurs, alors l’utilisateur est invité à faire une nouvelle tentative au moyen d’un autre facteur enregistré au préalable. Ce peut être son téléphone portable, sur lequel est généré de manière sécurisée un mot de passe à usage unique qu’il n’a plus qu’à saisir.
Miser sur d’autres alternatives d’authentification
Plusieurs nouvelles technologies en développement sont en passe d’être suffisamment fiables pour qu’on les considère comme des alternatives viables aux solutions biométriques existantes. Parmi les pistes envisageables, citons la possibilité que l’utilisateur soit invité à compléter une phrase à l’aide d’une réponse que lui seul peut connaître.
En plus de vérifier l’exactitude de la réponse donnée, le logiciel analyse la manière dont elle est saisie d’après des variables comme la rapidité de saisie entre deux lettres tapées. Le logiciel établit ainsi que l’individu est bien la personne qu’il prétend être. Dans cet exemple, plus l’utilisateur interagit avec le système biométrique, plus celui-ci devient précis.
Une autre méthode consiste à utiliser les fonctions cognitives de l’individu : lui présenter un certain nombre de photos et lui demander d’en sélectionner 3 à 6 que lui seul est en capacité d’identifier.
Des conditions d’adoption finalement simples à déployer
En conclusion, le coût des appareils de lecture et de contrôle des données biométriques n’est pas le seul frein à l’adoption des solutions biométriques dans l’entreprise, malgré leurs nombreux avantages. Les conditions d’utilisation peuvent poser problème également : il faut être sûr que l’appareil requis (un lecteur d’empreintes digitales, par exemple) sera disponible à l’endroit et au moment où l’utilisateur en a besoin pour s’identifier ou obtenir un accès.
C’est ainsi que le recours à un appareil à double usage, comme le téléphone ou le smartphone que l’utilisateur a déjà en sa possession, peut permettre de rendre les coûts et les conditions d’utilisation bien plus raisonnables et favoriser la généralisation des solutions biométriques dans un futur proche.