Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Border Security Conference & Exhibition 2019
Identity Week
International Police Expo

Google renforce la sécurité biométrique des smartphones sous Android O et P

Le géant vient de dévoiler de nouveaux outils et méthodes pour renforcer l’authentification biométrique sur les smartphones Android afin de compliquer la tâche des attaquants et voleurs qui voudraient les déverrouiller.

Quand on met tous ses œufs dans le même panier, on a tendance à vouloir s’assurer qu’ils y sont en sécurité. C’est un peu ce que nous faisons tous au quotidien avec nos smartphones. Nos contacts, nos échanges et autres communications, nos documents, tout se retrouve dans ces appareils qu’on promène avec nous mais risque à tout instant d’oublier, de perdre ou de se faire voler.

Il est donc essentiel de faire en sorte que l’accès au contenu du smartphone soit sécurisé. A l’heure actuelle, les méthodes de sécurisation des appareils informatiques se rangent en trois classes :

 

  • celles qui font appel à un savoir (code PIN ou mot de passe)
  • celles qui font appel à un élément qu’on possède (clé sécurisée physique, ou générateur de token)
  • enfin, celles qui font appel à ce que l’on est, la biométrie.

Faux positifs et faux négatifs

C’est cette dernière classe, de plus en plus populaire car plus sûre et facile à utiliser, que Google a décidé de renforcer avec Android O (8.1) et P, la future version de son OS mobile. Les ingénieurs de la société de Mountain View ont donc développé une fonction d’anti-spoofing afin de faire en sorte que les mécanismes d’authentification biométrique soient plus sûrs.

Google utilisait jusqu’à présent deux métriques pour le système d’authentification biométrique d’Android, hérités du Machine Learning, les FAR et FRR, les faux positifs et les faux négatifs. A savoir quand votre smartphone se déverrouille alors que ce n’est pas une personne autorisée qui cherche à l’utiliser ou qu’il refuse de vous donner accès, alors que vous êtes son propriétaire légitime.

Selon la société américaine, au regard de ces critères, aucun des outils biométriques n’est assez précis pour faire la distinction à coup sûr entre des données biométriques entrées par l’utilisateur et celles fournies par un éventuel attaquant. Certains systèmes sont ainsi programmés pour être plus tolérants et accepter plus facilement les faux positifs.

Deux nouveaux critères

Google annonce donc avoir introduit deux nouveaux critères dans Android 8.1 pour renforcer la sécurité biométrique : SAR et IAR, respectivement pour Spoof Accept Rate et Imposter Accept Rate. On pourrait les traduire Taux d’acceptation d’usurpation et taux d’acceptation d’imposture. Leur objectif est de mesurer avec quelle facilité un attaquant pourrait contourner un outil d’authentification biométrique. Le premier sert ainsi à distinguer votre visage ou votre empreinte d’une bonne photographie de vous ou de votre doigt, par exemple ; tandis que le second fait le même travail pour une tentative de vous ressembler ou de vous imiter, que ce soit pour l’apparence ou la voix.

SAR et IAR permettent ainsi de définir si une méthode de sécurité biométrique est forte ou faible. En dessous de 7% de SAR et IAR, un processus est jugé solide, au-dessus de ce score, il n’est pas considéré comme un standard approprié.

L’application au quotidien

Google explique ensuite comment fonctionnera ce nouveau contrôle au quotidien. Ainsi, les procédés, que leur sécurité soit jugée supérieure ou inférieure à ce seuil de 7% (qui pourra être revu à l’avenir), pourront déverrouiller votre smartphone ou un service. Néanmoins, si un système biométrique n’est pas assez sûr ou est jugé comme risquant d’être potentiellement floué, Android se montrera plus exigeant en fonction du contexte :

  • Si l’appareil est resté inactif pendant quatre heures, le temps de charger par exemple, Android demandera à l’utilisateur de saisir le code PIN, un mot de passe ou d’utiliser une solution biométrique forte.
  • Si l’appareil a été inutilisé pendant 72 heures, ces exigences seront appliquées pour les méthodes biométriques faibles et fortes.
  • Enfin, pour plus de sécurité, les utilisateurs qui se sont authentifiés avec une solution biométrique jugée faible ne pourront pas réaliser de paiements depuis leur smartphone ou réaliser des transactions qui impliquent d’accéder à KeyStore, le coffre-fort où Android stockent les clés de chiffrements sur votre appareil.

Evidemment, ces mesures de sécurité renforcées n’auraient pas de sens si les développeurs de l’écosystème Android n’étaient pas encouragés à sécuriser davantage leurs applications. Google met donc à leur disposition une API dédiée, qui permettra d’intégrer des mécanismes d’authentification plus solide, qui bloqueront totalement les authentifications trop faibles.

Avec ces nouveaux outils, Google entend clairement renforcer la sécurité des appareils qui fonctionnent sous Android O (8.1) et P (à venir), un moyen de compliquer la tâche des voleurs de smartphones et aussi des forces de l’ordre qui voudraient accéder à un appareil sans le consentement de son utilisateur.

Source : https://www.01net.com - & - Blog Sécurité de Google

Formation conseil en biométrie

Biometrie-Online.Net vous propose des actions de
Formation - Conseil sur mesure en intra.

Ces sessions permettent aux participants d'acquérir les bases de la biométrie, afin de comprendre les solutions biométriques mises en œuvre dans leur secteur d’activité.

Formation Conseil Biométrie Biométrique

À l’issue des actions de Formation - Conseil, les participants seront capables de :

  • Connaître le contexte, le marché, les enjeux, la place de la biométrie dans la sécurité et la gestion des identités.
  • Comprendre le fonctionnement des technologies biométriques, terminologie, avantages et limites.
  • Appliquer la règlementation.
  • Lister les problématiques du déploiement, propre à chaque type d’application.

Lire la suite

Le réseau social de la biométrie

Vous avez un intérêt pour la biométrie.

Vous pouvez adhérer au groupe « Biometrics Network & Forum » sur Linkedin.Plus

de 10 000 membres, des utilisateurs finaux, des fournisseurs, des chercheurs vous attendent.

En tant que membre du groupe, vous pouvez lire et soumettre des articles sur la biométrie, nouveaux produits, emplois, nouvelles de l'industrie et des événements.

Cliquez ici pour rejoindre le groupe.

LinkedIn 648x200

Il y a également des sous-groupes par modalité.

 

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.