Sécurité biométrique - La clé de l'authentification sans mot de passe ou une mode ?
Publié: 2022-03-11L'authentification sans mot de passe est le Saint Graal de la sécurité depuis des années, mais les progrès ont été extrêmement lents. Cela ne signifie pas que d'énormes progrès n'ont pas été réalisés, mais malheureusement, la plupart de ces développements ont été relégués à des laboratoires de recherche ou à des niches professionnelles. Jusqu'à il y a quelques années, la technologie permettant de mettre en œuvre une authentification sans mot de passe à grande échelle n'était tout simplement pas disponible.
Cependant, le mastodonte de l'industrie est en train de changer cela lentement mais sûrement. Il y a quelques considérations techniques, juridiques et même éthiques à prendre en compte, mais quoi qu'il en soit, la sécurité biométrique et l'authentification sans mot de passe sont là pour rester.
La biométrie change déjà la donne et continuera de le faire.
Pourquoi passer sans mot de passe en premier lieu ?
Comme il s'agit d'un blog d'ingénierie, je ne ressens pas le besoin d'expliquer à un groupe de développeurs soucieux de la sécurité les avantages des connexions rapides. Nous n'avons pas besoin d'examiner le problème du point de vue du consommateur - nous sommes tous obligés d'utiliser une myriade de services en ligne et un nombre toujours croissant d'appareils. Cela ne changera pas de sitôt, et le nombre de services et d'appareils auxquels nous devrons nous connecter continuera d'augmenter.
Bien sûr, il existe de nombreuses façons de se passer de mots de passe, y compris l'authentification biométrique. Du point de vue de l'utilisateur, l'utilisation des comptes Google, Microsoft et Facebook pour se connecter à des services tiers fonctionne, car l'utilisateur peut éviter la surcharge de mots de passe et ne pas avoir à créer de comptes pour chaque service et appareil.
OAuth et OpenID sont utilisés depuis des années pour consolider les identités numériques, et les normes sont utilisées par certains des plus grands noms de l'industrie technologique.
Techniquement, ce n'est pas vraiment une approche sans mot de passe, mais l'utilisateur moyen peut ne pas voir la distinction.
Les avantages et les inconvénients de l'utilisation de cette approche sont les suivants :
Avantages:
- Commodité
- Facile à mettre en œuvre
- Bonne sécurité
- La tranquillité d'esprit de la marque
Les inconvénients:
- Dépendance à un service centralisé
- Tous les œufs dans le même panier - en compromettant un compte, un attaquant peut accéder aux autres
- Des failles de sécurité potentielles, indépendantes de votre volonté, peuvent être utilisées contre vous
- Les gens peuvent être réticents à utiliser ces services en raison de problèmes de confidentialité
Une grande partie de cela est vrai des solutions alternatives, bien que cela ne s'applique pas aux certificats de sécurité qui sont généralement relégués aux utilisateurs professionnels plutôt qu'aux consommateurs. Les avantages l'emportent sur les inconvénients, nous pouvons donc déjà nous connecter à d'innombrables services tiers en utilisant nos comptes existants.
Comment la biométrie et la sécurité biométrique peuvent-elles aider ?
L'utilisation de systèmes d'authentification biométrique résout de nombreux problèmes ; il n'y a pas de dépendance à l'égard des services centralisés, la confidentialité n'est pas un problème et l'expérience utilisateur n'est pas compromise - à condition que ce soit bien fait. Alors, regardons les avantages et les inconvénients.
Avantages:
- La numérisation des empreintes digitales est rapide, bon marché et relativement sécurisée
- La reconnaissance vocale est facile à utiliser et difficile à manipuler
- Les scans d'iris sont très sécurisés et potentiellement plus pratiques que les scans d'empreintes digitales
- La technologie d'électrocardiogramme offre une authentification "toujours active"
- Toutes les méthodes de sécurité biométriques répondent aux problèmes de confidentialité tout en offrant une bonne sécurité
Les inconvénients:
- La biométrie ne convient pas à toutes les applications
- Le coût de déploiement de la sécurité biométrique est souvent prohibitif
- Le support est limité à certaines plates-formes et indisponible sur la plupart
- Certaines technologies sont encore immatures
- La biométrie n'est pas une solution miracle - la sécurité peut toujours être compromise
La biométrie n'est pas un nouveau concept ni une nouvelle technologie. La sécurité biométrique est utilisée dans de nombreuses industries depuis des décennies, et c'est encore plus longtemps un incontournable des scénaristes hollywoodiens. Je suis sûr que de nombreux lecteurs ont eu la chance de jouer avec la reconnaissance faciale et les scanners d'empreintes digitales sur leurs ordinateurs portables il y a des années - je sais que je l'ai fait, et je sais aussi que je n'ai pas été impressionné ; la plupart de ces premières solutions étaient des gadgets bon marché.
Cependant, nous avons parcouru un long chemin depuis lors. Une plus grande puissance de traitement est disponible, ainsi que des capteurs d'imagerie largement supérieurs, et tout est soutenu par un logiciel de plus en plus sophistiqué. C'est pourquoi certaines de ces technologies font leur grand retour, ce qu'elles font de plus belle.
L'industrie approuve les scanners d'empreintes digitales
Le Touch ID d'Apple est probablement la solution d'authentification par empreinte digitale la plus reconnaissable sur le marché, mais ce n'est en aucun cas la seule. Apple a ouvert Touch ID aux développeurs tiers dans iOS 8 et a procédé à l'intégration de la technologie dans les nouveaux iPhones et iPads, ainsi que dans son service Apple Pay.
C'est pourquoi iOS a une nette avance sur Android et d'autres plates-formes ; chaque nouvel iPhone et iPad sera livré avec Touch ID jusqu'à ce que Cupertino propose quelque chose de mieux.
Cela ne signifie pas qu'Android devrait être radié car un nombre croissant de téléphones Android sont livrés avec des scanners d'empreintes digitales. Les premiers dispositifs d'authentification biométrique comportaient de petits scanners qui obligeaient l'utilisateur à passer son doigt sur le scanner, mais les unités à balayage tactile, similaires à celles d'Apple, deviennent de plus en plus courantes. Il est important de noter que cette fonctionnalité n'est pas réservée aux produits phares coûteux - même certains téléphones à 200 dollars commercialisés par des fournisseurs chinois sont équipés de tels scanners.
Cependant, il y a toujours une considération; Google n'a intégré de scanner d'empreintes digitales sur aucun de ses appareils Nexus, bien qu'il semble qu'il ait initialement prévu de l'inclure sur le smartphone Nexus 6. En fait, Android Open Source Project (AOSP) a fourni la preuve que la prise en charge des empreintes digitales a été supprimée de l'appareil. Ce n'est pas une bonne nouvelle pour les développeurs Android, car Google présente généralement de nouvelles technologies sur les appareils Nexus et assure le suivi de la documentation et des API, comme ce fut le cas avec la prise en charge NFC sur le Nexus S ou le capteur de baromètre sur le Galaxy Nexus.
Pourtant, cela n'a pas empêché les fournisseurs d'utiliser leur propre code, avec quelques types de scanners. Mais c'est une mauvaise nouvelle pour les développeurs qui ont les mains liées puisqu'il n'existe aucune norme qui éliminerait la fragmentation et assurerait l'interopérabilité. Samsung a tenté de surmonter le problème en permettant aux développeurs de jouer avec son API Pass, mais ce n'est toujours pas une solution idéale. Motorola a tenté de faire la même chose il y a quatre ans avec ses anciens appareils Atrix.
Un certain nombre de fabricants et de développeurs de matériel ont également publié des SDK permettant aux développeurs d'intégrer la prise en charge de divers scanners d'empreintes digitales, mais l'absence d'un environnement standardisé qui réduirait ou éliminerait la fragmentation reste un gros problème.
Cela peut prendre un certain temps avant de voir des scanners d'empreintes digitales sur la plupart des téléphones, mais de nombreux progrès sont en cours. Nous sommes passés de l'absence de scanners sur les téléphones phares à des scanners relativement fiables sur des téléphones à 200 $ en l'espace de quelques années.
Mais, à quel point sont-ils utiles ? Sont-ils juste des gadgets comme les scanners d'empreintes digitales de première génération sur de vieux ordinateurs portables ?
La technologie fonctionne, cela ne fait aucun doute, mais pour l'instant les applications sont limitées. Le développement de logiciels doit rattraper le matériel, nous avons besoin de plus de services qui peuvent utiliser une telle solution, et nous avons besoin de plus d'API, de normes et de directives des leaders de l'industrie (à savoir, Google). À ce stade, les scanners d'empreintes digitales sur de nombreux appareils Android sont des gadgets, rien de plus.
Dans l'ensemble, les scanners d'empreintes digitales sont pratiques, mais ils ne constituent pas une solution idéale. Bien que chaque empreinte digitale soit unique, il existe encore des problèmes de sécurité. De nombreux scanners peuvent être trompés, bien qu'il soit de plus en plus difficile de réussir avec une simple image. Il existe cependant des alternatives, y compris l'impression 3D, et certaines façons morbides de le faire, comme l'a souligné un expert en sécurité il y a quelques années.
Inutile de dire que vous ne pouvez pas utiliser les lecteurs d'empreintes digitales avec des gants, un pouce blessé ou dans d'autres situations extrêmes. Mais ce sont des inconvénients relativement mineurs.
Microsoft veut vous regarder dans les yeux
Alors, résumons. Android et iOS peuvent déjà utiliser des scanners d'empreintes digitales pour la sécurité biométrique, et ils sont actuellement sous-utilisés. Mais qu'en est-il des environnements de bureau ? Nous pouvons déverrouiller nos téléphones et authentifier les paiements à l'aide de la biométrie, mais nous travaillons toujours sur des ordinateurs de bureau, alors que diriez-vous de les rendre vraiment sans mot de passe ?
Microsoft a récemment annoncé Windows Hello et au cas où vous l'auriez manqué, consultez le blog officiel de Windows pour un aperçu complet de cette initiative.
Voici comment Microsoft explique sa vision de Windows Hello :
Au lieu d'utiliser un secret partagé ou partageable comme un mot de passe, Windows 10 permet de s'authentifier en toute sécurité auprès des applications, des sites Web et des réseaux en votre nom, sans envoyer de mot de passe. Ainsi, il n'y a pas de mot de passe partagé stocké sur leurs serveurs pour qu'un pirate puisse potentiellement le compromettre.
Windows 10 vous demandera de vérifier que vous êtes en possession de votre appareil avant qu'il ne s'authentifie en votre nom, avec un code PIN ou Windows Hello sur les appareils dotés de capteurs biométriques. Une fois authentifié avec « Passport », vous pourrez accéder instantanément à un ensemble croissant de sites Web et de services dans divers secteurs : sites de commerce préférés, services de messagerie et de réseaux sociaux, institutions financières, réseaux d'entreprise, etc._
Windows Hello est un système d'authentification biométrique qui permettra aux utilisateurs d'accéder instantanément à leurs appareils Windows 10, en utilisant la numérisation des empreintes digitales, la numérisation de l'iris ou la reconnaissance faciale. Microsoft dit que "beaucoup" de nouveaux appareils Windows 10 prendront en charge Windows Hello, mais, personnellement, je trouve une technique particulièrement intéressante.
Le balayage de l'iris est l'une des méthodes prises en charge par Microsoft et présente quelques avantages par rapport aux alternatives. Il devrait être plus fiable et potentiellement plus pratique que la numérisation des empreintes digitales. Au cas où vous vous poseriez la question, cela ne sera pas géré par nos webcams ou nos caméras de téléphone - Microsoft veut utiliser "une combinaison de matériel et de logiciels spéciaux" pour s'assurer que le système ne peut pas être battu.
Le scanner d'iris s'appuiera sur la technologie infrarouge (potentiellement proche infrarouge). Cela signifie qu'il pourra fonctionner dans toutes les conditions d'éclairage et voir votre iris à travers des lunettes, même des verres teintés. Les concepteurs de matériel n'auront pas à réserver beaucoup d'espace sur un appareil pour intégrer le scanner ; il pourrait être intégré juste à côté de la caméra selfie sur nos mobiles, ou en complément d'une caméra Web autonome utilisée sur de nombreuses machines de bureau aujourd'hui. Cela signifie qu'il pourrait être facilement adapté aux ordinateurs de bureau existants.
Outre les scanners infrarouges, Microsoft utilisera également des mesures de sécurité biométriques plus traditionnelles telles que la reconnaissance faciale, en s'appuyant sur la technologie de caméra Intel RealSense. Cela devrait contribuer à rendre Windows Hello plus prolifique, en particulier lorsque les utilisateurs passent à de nouveaux ordinateurs portables et hybrides basés sur des plates-formes Intel.
Sur le front mobile, un scan de l'iris offre plusieurs avantages par rapport à l'authentification par empreintes digitales ; il peut fonctionner avec des gants, les blessures à l'iris sont beaucoup moins fréquentes que les blessures au pouce, et il devrait être beaucoup plus difficile de battre un scanner d'iris de qualité grand public qu'un scanner d'empreintes digitales.
Il y a un autre angle dans l'approche de Microsoft : le géant du logiciel ne stockera pas les données biométriques des utilisateurs. La signature biométrique sera sécurisée localement sur les appareils et partagée avec personne d'autre que l'utilisateur. La signature ne sera utilisée que pour déverrouiller l'appareil et Passport, elle ne sera donc pas utilisée pour authentifier les utilisateurs sur le réseau.
Le jury est toujours sur les plans biométriques de Microsoft et nous devrons attendre Windows 10 pour le voir en action.
Qu'en est-il de l'authentification permanente ?
Bien que toutes ces technologies puissent faire un bon travail pour remplacer les mots de passe traditionnels, il existe des concepts émergents qui pourraient donner plus de liberté aux ingénieurs. Et si nous pouvions nous passer entièrement du processus, pas de mots de passe, pas d'empreintes digitales - rien ?
« L'authentification permanente » est la prochaine frontière, et un certain nombre de façons d'y parvenir ont déjà été proposées. Cependant, une distinction importante doit être faite. L'authentification permanente fait généralement référence à l'authentification de machine à machine, telle qu'un système d'authentification SSL "toujours actif", des connexions SHH, des informations d'identification NFC et diverses technologies de mise en réseau. Ceux-ci sont généralement développés pour surveiller et authentifier les transactions financières, réduisant ainsi le risque de fraude en ligne.
Il existe relativement peu de solutions pour l'authentification permanente des utilisateurs. Un tel exemple est le bracelet Nymi de Bionym. C'est un appareil portable qui ressemble beaucoup à votre tracker de fitness moyen, mais il est plus intelligent que cela.
Nymi scanne l'électrocardiogramme (ECG) unique de l'utilisateur. Cela signifie que vous n'avez qu'à avoir l'appareil à votre poignet pour fournir une authentification permanente. Tant que votre cœur battra, vous serez connecté.
Si vous songez à essayer la même astuce sur les montres Apple Watch ou Android Wear, retenez vos chevaux, nous n'en sommes pas encore là. Le Nymi ne se contente pas de suivre la fréquence cardiaque de l'utilisateur comme une smartwatch, il analyse en fait la forme de l'onde ECG de l'utilisateur, qui prend un capteur plus sensible. Les montres connectées semblent être la plate-forme matérielle idéale pour cette application et, tôt ou tard, elles pourront faire la même chose.
Imaginez déverrouiller votre téléphone, votre voiture, votre bureau et votre ordinateur simplement en étant là et en ayant un pouls ? Connectez-vous à n'importe quel compte de manière transparente, puis payez votre déjeuner, faites quelques achats sur le chemin du retour et peut-être retirez de l'argent à un guichet automatique, le tout sans avoir à jongler avec vos courses et vos cartes de crédit. Nous n'en sommes pas encore là, mais nous y arrivons lentement.
Qu'est-ce que tout cela signifie pour les développeurs et les utilisateurs de logiciels ?
Pour le moment, les développeurs de logiciels peuvent utiliser un middleware et une tokenisation prêts à l'emploi pour déployer des solutions sans mot de passe. Un tel exemple est Passwordless, un framework open source basé sur des jetons pour Node.js et Express. Au cas où vous seriez intéressé par la façon dont il est déployé, Mozilla a un article de blog complet qui l'explique.
Cela prendra un certain temps, mais les éléments de base biométriques se mettent lentement en place. La récolte actuelle de technologies sans mot de passe sera augmentée et éventuellement remplacée par l'authentification biométrique.
De nombreux sceptiques de la sécurité biométrique, dont bon nombre de mes collègues, ne croient pas que cela se produira de si tôt, mais je suis un optimiste incorrigible ; Je pense que la sécurité sans mot de passe sera la norme d'ici la fin de la décennie, et c'est pourquoi : si nous observons simplement un domaine particulier, qu'il soit logiciel ou matériel, nous trouverons d'innombrables problèmes avec la biométrie, dont beaucoup que j'ai déjà décrits. Cependant, si nous reculons de quelques pas et examinons la situation dans son ensemble, si nous examinons les nouvelles tendances de l'industrie et l'accent croissant mis sur la sécurité personnelle et d'entreprise, les failles de sécurité très médiatisées, les problèmes de confidentialité - nous sommes obligés de voir les choses de un point de vue différent.
Même ainsi, l'éléphant dans la pièce n'est pas la confidentialité ou la sécurité B2B, ce sont les paiements mobiles.
Le volume des transactions mobiles aux États-Unis devrait plus que doubler cette année pour atteindre 10 milliards de dollars. D'ici 2018, Bloomberg s'attend à ce que le volume atteigne 110 milliards de dollars. Sur une base par habitant, le consommateur américain moyen fera environ 30 $ en transactions cette année, mais d'ici 2018, ce chiffre passera à 330 $ par habitant, pour chaque homme, femme et enfant. En supposant le même taux de croissance annuel composé en 2019 et 2020, nous pourrions envisager quatre chiffres par habitant d'ici 2021.
Avec ce genre d'argent en jeu, qu'en pensez-vous ?