La biométrie peut-elle vraiment remplacer les mots de passe ?

Le par  |  15 commentaire(s)
Lecteur biometrie RCM Alise (1)

Une tribune de Emmanuel Schalit, PDG de Dashlane, société spécialisée dans la gestion des mots de passe en ligne.

Les hackers du Chaos Computer Club ont réussi à reproduire l'empreinte digitale du ministre allemand de la Défense à partir de photos publiques en haute définition. Sachant qu'ils avaient précédemment montré qu'ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public... Prenons un peu de recul et analysons ce que cela veut dire pour l'avenir de l'authentification en ligne.

Il y a traditionnellement trois types de facteurs qui permettent d'authentifier un individu :

  • Ce qu'il sait (mot de passe, code pin, question secrète…)
  • Ce qu'il possède (jetons, cartes…)
  • Ce qu'il est (signature de l'iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d'authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d'authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l'utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu'ils utilisent régulièrement.

Quels sont les avantages et les désavantages de la biométrie pour l'authentification en ligne des consommateurs?

Le point fort de la biométrie c'est qu'elle résout à la fois le problème de l'identification (déterminer l'identité d'un individu) et de l'authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c'est un bon outil pour prévenir l'usurpation d'identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C'est ce qu'on pensait jusqu'à maintenant. La reconstitution d'empreinte réalisée par les hackers bouleverse cette croyance.

Emmanuel-SchalitDésormais on sait que l'authentification biométrique peut être piratée comme toute autre forme d'authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent de devenir tous vulnérables en même temps. Il y a d'autres limites à l'utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l'utilisation anonyme d'identifiants sont cependant de plus en plus répandus sur le web…

La biométrie est pertinente pour ajouter un facteur d'authentification supplémentaire dans le cadre de l'authentification multi facteurs mais il y a peu de chances qu'elle succède au mot de passe comme standard pour l'ensemble des sites, contrairement à ce que l'on veut nous faire croire.

Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

  • Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l'intégrité de vos autres accès n'est pas compromise en cas de vol. C'est différent avec les données biométriques qui sont par définition les mêmes partout
  • Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d'entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
  • Le mot de passe préserve l'anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d'Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d'appareils pour cela. C'est pourquoi de plus en plus d'utilisateurs d'Internet se reposent sur un gestionnaire de mot de passe pour s'assurer de respecter les règles de bases du bon usage des mots de passe.

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d'authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l'ordre de ces lettres est nécessaire aujourd'hui (c'était le cas uniquement sur les machines à écrire avec ruban), mais parce que c'est devenu un standard, et qu'aucune innovation n'a réussi à le supplanter, en termes de facilité d'usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1832144
Perso mon petit trip sur Internet est que l'on ne voit jamais mes yeux ...

Maintenant, je vais devoir mettre des gants sur mes photos ...
Le #1832155
FRANCKYIV a écrit :

Perso mon petit trip sur Internet est que l'on ne voit jamais mes yeux ...

Maintenant, je vais devoir mettre des gants sur mes photos ...


Moi sur internet on voit jamais ma tête, ni le reste
(enfin, sauf si on dit que j'ai une tête d'oignon )
Le #1832157
Merde, je suis pris en flagrant délit de débarquement en slip lolipop : (
Le #1832160
Truffor a écrit :

Merde, je suis pris en flagrant délit de débarquement en slip lolipop : (


dans ton cas, c est vrai quel le slip est inutile...
Le #1832165
Si quelqu'un a une solution de type LastPass gratuite autant sur PC que Android, je suis preneur, j'aime LastPass mais je ne veux pas payer par mois pour mes mots de passe, je peux héberger moi même la base de données sécurisée de ceux ci si c'est possible.
Le #1832166
Dodge34 a écrit :

Si quelqu'un a une solution de type LastPass gratuite autant sur PC que Android, je suis preneur, j'aime LastPass mais je ne veux pas payer par mois pour mes mots de passe, je peux héberger moi même la base de données sécurisée de ceux ci si c'est possible.


KeePass ? Pas de synchro entre PC et Android, mais sans doute moyen de cuisiner ça toi-même si tu y tiens (au pire avec Dropbox)
Le #1832168
Dodge34 a écrit :

Si quelqu'un a une solution de type LastPass gratuite autant sur PC que Android, je suis preneur, j'aime LastPass mais je ne veux pas payer par mois pour mes mots de passe, je peux héberger moi même la base de données sécurisée de ceux ci si c'est possible.


Keepass, je l'utilise sur Linux (KeepassX) et sur Android. Les bases de données sont compatibles.
Le #1832171
Merci a vous, vais jeter un oeil, le défi sera de migrer tout mes mots de passes de LastPass vers Keepass, mais ça me travaille depuis tellement longtemps que je vais tout refaire s'il le faut.
Le #1832174
Mauvaise expérience, Keepass ne semble pas du tout compatible avec mes données sous LastPass, cé comme s'ils avaient prévu le coup et veulent retenir ceux qui veulent migrer vers une solution gratuite, mais je ne baisse pas les bras tout de suite, je vais voir ce que je peux faire.
Le #1832175

Un des principes de base de la sécurité, c'est qu'une authentification doit pouvoir être, à tout moment, révoquer / annuler / remplacer.


Hors avec le biométrique, ce n'est pas le cas: vous ne pouvez pas changer vos empreintes, votre iris, etc.... Et donc, dès qu'elle sera compromise, ça sera terminé, vous pouvez pa savoir de "nouveaux" identifiants pour vous identifier.


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]