Biométrie comportementale : Un nouveau facteur d’authentification appelé à se développer Aujourd’hui encore marginale, la biométrie comportementale bouscule déjà les paradigmes et les méthodes d’authentificationL'authentification permet à un utilisateur de garantir son identité avant d’accéder à une ressource ou un service... More. Renforçant la sécurité des systèmes d’information et rendant l’authentification plus confortable pour l’utilisateur, ce nouveau facteur s’impose dans le contexte dynamique posé par l’évolution technologique et la société d’aujourd’hui. Le mot de passe traditionnel devient en effet de plus en plus obsolète et utilisé seul, il ne permet pas de garantir un niveau de sécurité suffisant. L’authentification multifactorielle répond à cette problématique, avec une tendance à l’utilisation de facteurs inhérents à l’utilisateur (empreinte digitale, empreinte comportementale, etc.). Qu’est-ce que la biométrie comportementale ? Moins évidente et bien plus subtile que la biométrie physiologique ou corporelle, la biométrie comportementale regroupe l’ensemble des techniques permettant d’identifier une personne en fonction de son comportement. En informatique, il peut s’agir par exemple de la manière dont une personne utilise la souris ou frappe au clavier. Des mesures précises sur ce type de comportements concertés avec des algorithmes spécifiques permettent d’identifier des caractéristiques particulières et uniques à chaque personne. Sans être invasive à l’activité de l’utilisateur, la biométrie comportementale permet de continuer le processus d’authentification et garantir l’identité de l’utilisateur tout au long de sa session. Alors que les méthodes d’authentification traditionnelles procèdent à une authentification seulement en début de session, la biométrie comportementale permet donc une authentification continue de l’utilisateur. Certains avantages rendent la biométrie comportementale particulièrement adaptée à l’authentification : elle est quasiment inviolable, il est en effet bien plus difficile de voler le comportement d’un utilisateur que de voler son mot de passe ; et dès lors qu’une activité est détectée, il est possible de valider l’identité de l’utilisateur et ainsi s’assurer que même en cas d’absences brèves sans verrouillage de session, il reste impossible pour un utilisateur tiers de prendre le contrôle du système d’information. Pourquoi ce facteur d’authentification est-il appelé à se développer ? On peut estimer que ce facteur d’authentification va se développer dans la mesure où la biométrie comportementale va répondre à plusieurs enjeux. L’un d’entre eux étant donc l’obsolescence des mots de passe que nous utilisons encore massivement aujourd’hui. Si d’autres facteurs d’authentification sont déjà utilisés pour renforcer l’authentification (facteur matériel tel qu’une carte à puce ou encore biométrie corporelle telle qu’une empreinte digitale), la biométrie comportementale permet d’apporter les avantages donnés par des facteurs inhérents à l’utilisateur, à ce qu’il est et non pas à ce qu’il sait ou ce qu’il a. Pour un utilisateur illégitime (par exemple un collègue de la personne authentifiée) il est difficile voire impossible de voler le comportement de l’utilisateur authentifié. D’autre part, la biométrie comportementale utilise des dispositifs simples et déjà présents sur tous les systèmes informatiques : le clavier et la souris, qui permettent de capturer ces données comportementales. Un autre point clé est que les méthodes d’authentification couramment utilisées ne permettent qu’une authentification en début de session, ce qui peut finalement paraitre assez archaïque en comparaison avec des situations que l’on peut vivre dans la vie courante : si l’on prend l’exemple d’une personne qui se présente au guichet d’une banque pour réaliser des opérations bancaires, celle-ci présentera à l’employé de banque sa carte d’identité pour s’identifier. L’employé de banque vérifie l’identité en comparant son visage (biométrie corporelle) ou d’autres éléments (âge, sexe) à la référence, qui dans ce cas pour lui sont les éléments inscrits sur la carte d’identité. Une fois l’identification validée, la personne qu’il a en face de lui devient authentifiée et légitime pour réaliser des opérations bancaires. De manière implicite, l’employé de la banque garde en mémoire des éléments biométriques (notamment son visage, sa voix, etc.) et procède ensuite aux tâches demandées sur les comptes de cette personne. Tout au long des différentes opérations, l’employé de banque a en mémoire le visage de la personne présente au guichet. Il effectue donc sans effort et de manière implicite une authentification continue de la personne pour les opérations demandées sans qu’il soit nécessaire de passer par l’étape d’identification pour chaque opération. En cas de changement de personne, la modification des facteurs biométriques est évidente et donc l’exécution des opérations ou « la session » est arrêtée. Dans le cas d’une session dans un système informatique, si ce mécanisme d’authentification continue n’est pas implémenté, un utilisateur illégitime peut prendre le contrôle du système même lors des brèves absences de l’utilisateur légitime de l’ordinateur. En matière de sécurité, la biométrie comportementale apporte quelques avantages par rapport à d’autres méthodes plus traditionnelles d’authentification : facilité de mise en place de l’authentification continue, agnostique et non-invasive pour l’activité de l’utilisateur, facteur d’authentification inhérent à l’utilisateur et facilité de mise en œuvre (utilisation des dispositifs simples comme le clavier ou la souris). Ces spécificités permettent une meilleure réactivité en agissant avant que la menace ne se concrétise tout en étant totalement transparentes pour l’utilisateur puisque celui-ci n’a pas besoin de procéder à des démarches pour s’authentifier (scanner une carte à puce ou une empreinte digitale, taper des crédentiels ou encore répondre à des questions personnelles préalablement définies). On le sait, plus une personne fait face à des contraintes, plus celle-ci va tenter de les contourner, c’est la raison pour laquelle le confort d’utilisation est aujourd’hui considéré par beaucoup comme un élément de sécurité important au même titre que la sécurité intrinsèque d’une solution. Anticipant ces enjeux et la dynamique des challenges posés par les méthodes d’authentification dans les systèmes d’information, Systancia propose Systancia Cleanroom Authograph, solution d’authentification continue basée sur la biométrie comportementale. Aujourd’hui intégrée à Systancia Cleanroom, elle permet de garantir l’identité des utilisateurs à privilèges dont toute usurpation d’identité serait potentiellement désastreuse pour le système d’information.