COMMUNAUTÉS & EXPERTISES — Expertises

Digital identity

L’authentification utilisateur, biométrie ou non?



L’authentification utilisateur, biométrie ou non? (Photo: INCERT) 

L’authentification utilisateur, biométrie ou non? (Photo: INCERT) 

Un rapport publié en janvier par le Forum Économique Mondial (FEM), en collaboration avec FIDO (Fast IDentity Online) Alliance, explique que des solutions alternatives aux traditionnels mots de passe existent et offrent une authentification utilisateur plus sûre et efficace aux organisations.

L’authentification d’un utilisateur sans mot de passe ne signifie pas renoncer à la sécurité, et ne remet pas en cause la nécessité de vérifier la légitimité de la demande d’accès.

Aujourd’hui, il est de plus en plus fréquent que des experts du monde de la cybersécurité relativisent l’usage systématique des mots de passe pour accéder à des applications ou à des données informatiques sensibles.

Ce constat renforce la possibilité (voire la nécessité?) d’utiliser la biométrie en tant que moyen d’authentification utilisateur, en remplacement du mot de passe, ou en complémentarité de celui-ci, pour autant que la solution adoptée réponde à des critères techniques et réglementaires que l’organisation concernée doit définir de manière détaillée.

La fiabilité et la robustesse sont des critères de base à prendre en compte par toute organisation dans l’exercice d’évaluation d’une solution biométrique.

En effet, il convient par exemple de s’assurer que cette solution détecte que l’utilisateur est réel (par l’acquisition de plusieurs séquences d’images), mais aussi que son authentification se base sur des caractéristiques suffisamment précises dites morphologiques (ex.: points faciaux, points de repère pour les empreintes digitales ou l’iris) ou comportementales (ex.: intonation de la voix, gestes), tout en considérant l’âge et l’ethnie de l’individu concerné.

Ce dernier point est extrêmement intéressant. Il faut savoir que la majorité des solutions biométriques actuellement disponibles sur le marché ont été conçues à partir de modèles (ou une base de données) biométriques appartenant à des ethnies spécifiques et, en règle générale, en lien avec la localisation des fournisseurs de ces solutions.

Ainsi, une solution biométrique proposée par un fournisseur localisé en Asie sera plus efficace si appliquée à des individus originaires de cette région, et donc moins efficiente si l’individu est d’origine caucasienne, africaine ou hispanique.

Par ailleurs, il convient de noter que les solutions biométriques évoluent et intègrent de plus en plus l’intelligence artificielle. Ce qui rend leur utilisation plus redoutable (capable d’identifier un visage même couvert par un masque), mais aussi plus questionnable (quid du respect de la réglementation en matière des données personnelles?).

Avec le traditionnel mot de passe aussi confronté à des technologies quantiques et post-quantiques, la maîtrise de la biométrie par une organisation semble indispensable, notamment si cette dernière est responsable d’applications ou de données informatiques sensibles. En d’autres termes, occulter la biométrie comme moyen d’authentification utilisateur pourrait s’avérer être un pari risqué pour une organisation, et ce, à brève échéance.

C’est dans ce contexte que l’agence publique INCERT mène ses projets de recherche biométrique, à la fois morphologique et comportementale, et ce depuis plusieurs années.

L’objectif de ses projets de recherche biométrique est triple:

1. Identifier et évaluer la fiabilité et robustesse de solutions biométriques;

2. Évaluer leur niveau de conformité réglementaire (protection des données personnelles);

3. Concevoir un algorithme biométrique de nouvelle génération intégrant à la fois l’intelligence artificielle et les dernières avancées en matière de cryptographie, notamment le chiffrement homomorphique (permettant d’effectuer des traitements sur des données cryptées – non accès à des données en clair).

L’agence publique INCERT est née en 2012. Elle est reconnue avant tout comme un centre d’expertise en matière de cryptographie, de documents de voyage, de cybersécurité, de biométrie et d’intelligence artificielle.

Cette agence a également pour mission de gérer des infrastructures informatiques sensibles permettant la signature électronique des documents de voyage luxembourgeois (passeports, cartes d’identité et titres de séjour), ainsi que leur vérification.