La biométrie peut-elle tuer le mot de passe ?

Le par  |  14 commentaire(s)
numerique

Une tribune de Marco Preuss, Directeur, Global Research & Analysis Team chez Kaspersky Lab Europe.

Marco-PreussQu'il s'agisse de notre démarche ou de notre rythme cardiaque, notre corps est unique et cette singularité pourrait faire de lui un identifiant parfait, selon les experts de la sécurité. Cette perspective peut paraître inquiétante, mais les limites de plus en plus évidentes des méthodes classiques de confirmation d'identité le sont tout autant. A fortiori si un utilisateur choisit le mot de passe « 123456 » et l'utilise pour tous ses comptes en ligne, la sécurité laisse à désirer.

Les mots de passe ont fait leur temps. Pour développer de nouveaux services, les entreprises, tous secteurs confondus, ont besoin d'une authentification et d'une identification fiables.

Technologies intra- ou extracorporelles ?

Les caractéristiques physiques permettant d'établir formellement l'identité d'un individu dans le monde numérique sont les traits du visage, les empreintes digitales, les yeux, l'oreille, le motif veineux de la main, le rythme cardiaque et la voix. Des technologies de reconnaissance traduisent ces spécificités biométriques en données binaires et s'en servent pour autoriser l'accès à nos comptes en ligne, appareils numériques, ou pour nous identifier, sur notre passeport par exemple. Aucun effort à fournir pour l'utilisateur, sécurité et absence d'ambiguïté pour l'entreprise. Le tour est joué. Sauf que ce n'est pas tout à fait aussi simple.

A l'instar de la plupart des autres identifiants biométriques, l'iris est propre à chaque individu et n'évolue pas dans le temps. Cependant, le coût et l'équipement nécessaires à la mise en œuvre de cette technique biométrique font qu'à ce jour, elle n'a été que peu utilisée. Les empreintes digitales sont probablement l'identifiant biométrique le plus connu et employé, dont la reconnaissance s'est répandue grâce à Apple en 2013. Toutefois, le jour même de son lancement, Starbug indiquait avoir réussi à pirater ce dispositif en imitant les empreintes enregistrées sur le téléphone. La reconnaissance vocale est quant à elle déjà largement utilisée dans les services financiers, principalement en complément d'autres méthodes d'authentification. Or, fin 2016, Adobe a annoncé Voco, une nouvelle technologie permettant de créer et de modifier des enregistrements vocaux à partir d'à peine 20 minutes de conversation originale. C'est suffisamment peu pour que le danger qu'un pirate rassemble suffisamment d'éléments pour recréer la voix d'une personne de manière à leurrer des systèmes d'authentification devienne soudain très réaliste.

Quant aux techniques d'authentification au moyen de la paume de la main, d'autres parties du visage ou du rythme cardiaque, il est encore trop tôt pour évaluer leur potentiel et leurs failles de sécurité.

Enfin, n'oublions pas ceux qui entendent nous identifier à l'aide d'à peu près tout. Le nouveau projet Abacus de Google a pour objectif d'authentifier à travers le calcul d'un « score de confiance » : notre téléphone surveille et reconnaît en continu nos déplacements, notre démarche et notre frappe sur le clavier mais aussi les traits de notre visage ou autres. Notre propre expérience nous enseigne que, si plusieurs marqueurs biométriques offriront toujours plus de sécurité qu'un seul, cela doit néanmoins être mis en balance avec les atteintes potentielles à la vie privée.

Répondre aux risques de sécurité

Le caractère unique des marqueurs biométriques est à la fois leur force et leur faiblesse. Si ces identifiants sont piratés, les conséquences potentielles seront très lourdes pour les victimes en termes de vie privée et de sécurité.

Les identifiants biométriques sont, de par leur nature même, souvent publics : n'importe qui peut, par exemple, prendre une photo de notre oreille. En outre, en dépit du fait que des données biométriques sont déjà employées pour l'authentification et l'identification, cet usage ne fait encore l'objet d'aucune réglementation. Nous devons traiter leurs vulnérabilités avant que les auteurs d'attaques ne trouvent comment les exploiter.

Tout cela ne fait qu'apporter de l'eau au moulin de ceux qui, de plus en plus nombreux dans les entreprises et dans le secteur de la sécurité, ont conscience qu'un seul indicateur pris isolément est trop vulnérable. La protection la plus efficace combine au moins deux des éléments suivants : ce que nous sommes, c'est-à-dire notre corps, ce que nous savons, c'est-à-dire nos informations personnelles, et ce que nous possédons, c'est-à-dire les mots de passe ou codes.

La collaboration sera essentielle : entre les développeurs de technologies biométriques d'authentification et d'identification, le secteur de la sécurité et les entreprises qui mettront en œuvre les produits finis. Nous avons tous la responsabilité d'élaborer des solutions qui facilitent et rendent plus sûre la vie des innocents et plus difficile, voire impossible, celle des coupables. Nous ne pouvons-nous permettre d'échouer. Chacun d'entre nous n'a qu'un corps.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1967118
Et l'inconvénient majeur de la biométrie, c'est qu'une empreinte biométrique ne peut pas être changée, contrairement à un mot de passe.
Le #1967119
Et pour le moment, rien n'est satisfaisant. Le capteur d'empreinte digitale pour dévérouiller, sur le Note 4 j'ai abandonné depuis des lustres : le schéma est plus rapide ! Il n'y a que la reconnaissance du visage sur Surface pro 4 qui semble intéressante (et encore avec des râtés, parfois impossible de faire reconnaître quoi que ce soit mais heureusement rarement).
Le #1967134
Aller c'est reparti, ça faisait "longtemps" (un article sur "le mot de passe c'est terminé").

Biométrie non, on ne va quand même pas fournir des infos d'identification uniques, non-modifiables, et encore moins en les agrégeant à d'autres. Ce serait le paradis des annonceurs ça en plus. Oubliez votre combine.

Le mot de passe est très bien, il faut réellement éduquer les gens là-dessus ( et pas simplement en mettant "votre MDP doit faire minimum 8 caractères, comporter au moins une majuscule, un caractère spécial et un chiffre", sinon on se retrouve avec des " Poisson1! ".
Au taf c'est comme ça que ça se passe, je dis au client "vous avez mis un chiffre après la septième lettre et un point d'exclamation à la fin ?"
"Ah parce que vous le voyez mon mot de passe ?"
Euh non, mais je sais reconnaître les nœuds-nœuds.
Le #1967140
Subutox a écrit :

Aller c'est reparti, ça faisait "longtemps" (un article sur "le mot de passe c'est terminé").

Biométrie non, on ne va quand même pas fournir des infos d'identification uniques, non-modifiables, et encore moins en les agrégeant à d'autres. Ce serait le paradis des annonceurs ça en plus. Oubliez votre combine.

Le mot de passe est très bien, il faut réellement éduquer les gens là-dessus ( et pas simplement en mettant "votre MDP doit faire minimum 8 caractères, comporter au moins une majuscule, un caractère spécial et un chiffre", sinon on se retrouve avec des " Poisson1! ".
Au taf c'est comme ça que ça se passe, je dis au client "vous avez mis un chiffre après la septième lettre et un point d'exclamation à la fin ?"
"Ah parce que vous le voyez mon mot de passe ?"
Euh non, mais je sais reconnaître les nœuds-nœuds.


neuneu pas forcément.
honnêtement je comprends qu'on cherche à aller au plus simple. avec l'histoire du chiffre + caractère spécial c'est plus compliqué de se souvenir d'un mot de passe du coup on garde la même séquence (même chiffre + même caractère) pour tous nos pass.

alors oui on me dira qu'il y a des gestionnaires de mots de passe qui évite qu'on se souvienne de nos mdp, mais si quelqu'un trouve LE mot de passe du gestionnaire (par ex un keylogger peut enregistrer ce qui est tapé au clavier), il ouvre la boite de pandore et a accès à tous les autres mots de passe à volonté.
Ou alors s'il y a un problème quelconque qui fait qu'on perde ce gestionnaire (réinstallation suite à une panne subite materielle ou de l'os) on ne se rapellera plus de nos mdp car on a aura trop compté sur celui du gestionnaire.

Je trouve que la biométrie a un côté très pratique car il n'y a rien à se rappeler (même pas les 1eres lettres des mots d'une phrase à retenir) et qu'elle ne permet une autorisation qu'à la personne sensée avoir accès à quelque chose.

Le problème qu'on soulève sur la biométrie c'est qu'on peut copier les empreintes digitales ou photographier l'oeil etc... Oui c'est vrai mais ca veut juste dire que c'est le système biométrique qui n'est pas au point. Son principe lui reste bon.
Avec un système bien construit une photo ne devrait pas se substituer à une véritable empreinte. Peut être en ajoutant la détection de la chaleur corporelle+pression du sang au rythme cardiaque+analyse de sueur par les pores de la peau... bref j'en sais rien j'y connais rien mais un truc qui detecte la vie quoi.
Ce qui fait que la question du changement d'empreinte ne doit pas se poser car ca ne devrait pas être nécessaire.
Il faut "juste" trouver un bon moyen pour faire la difference entre une empreinte légitime d'une empreinte factice et quand on y arrivera ce sera gagné.
Le #1967144
a écrit :

Subutox a écrit :

Aller c'est reparti, ça faisait "longtemps" (un article sur "le mot de passe c'est terminé").

Biométrie non, on ne va quand même pas fournir des infos d'identification uniques, non-modifiables, et encore moins en les agrégeant à d'autres. Ce serait le paradis des annonceurs ça en plus. Oubliez votre combine.

Le mot de passe est très bien, il faut réellement éduquer les gens là-dessus ( et pas simplement en mettant "votre MDP doit faire minimum 8 caractères, comporter au moins une majuscule, un caractère spécial et un chiffre", sinon on se retrouve avec des " Poisson1! ".
Au taf c'est comme ça que ça se passe, je dis au client "vous avez mis un chiffre après la septième lettre et un point d'exclamation à la fin ?"
"Ah parce que vous le voyez mon mot de passe ?"
Euh non, mais je sais reconnaître les nœuds-nœuds.


neuneu pas forcément.
honnêtement je comprends qu'on cherche à aller au plus simple. avec l'histoire du chiffre + caractère spécial c'est plus compliqué de se souvenir d'un mot de passe du coup on garde la même séquence (même chiffre + même caractère) pour tous nos pass.

alors oui on me dira qu'il y a des gestionnaires de mots de passe qui évite qu'on se souvienne de nos mdp, mais si quelqu'un trouve LE mot de passe du gestionnaire (par ex un keylogger peut enregistrer ce qui est tapé au clavier), il ouvre la boite de pandore et a accès à tous les autres mots de passe à volonté.
Ou alors s'il y a un problème quelconque qui fait qu'on perde ce gestionnaire (réinstallation suite à une panne subite materielle ou de l'os) on ne se rapellera plus de nos mdp car on a aura trop compté sur celui du gestionnaire.

Je trouve que la biométrie a un côté très pratique car il n'y a rien à se rappeler (même pas les 1eres lettres des mots d'une phrase à retenir) et qu'elle ne permet une autorisation qu'à la personne sensée avoir accès à quelque chose.

Le problème qu'on soulève sur la biométrie c'est qu'on peut copier les empreintes digitales ou photographier l'oeil etc... Oui c'est vrai mais ca veut juste dire que c'est le système biométrique qui n'est pas au point. Son principe lui reste bon.
Avec un système bien construit une photo ne devrait pas se substituer à une véritable empreinte. Peut être en ajoutant la détection de la chaleur corporelle+pression du sang au rythme cardiaque+analyse de sueur par les pores de la peau... bref j'en sais rien j'y connais rien mais un truc qui detecte la vie quoi.
Ce qui fait que la question du changement d'empreinte ne doit pas se poser car ca ne devrait pas être nécessaire.
Il faut "juste" trouver un bon moyen pour faire la difference entre une empreinte légitime d'une empreinte factice et quand on y arrivera ce sera gagné.


Apparemment le concept de l'épée et le bouclier vous est inconnu .Depuis la nuit des temps l'épée et le bouclier sont en compétition tantôt l'un gagne tantôt l'autre c'est sans fin.
Seul l'arme nucléaire actuelle gagne car elle perd en même temps.
Pour la sécurité de ses données est illusoire de rechercher la sécurité à 100% .
On ne peut pas vérifier l'intégralité de son OS,ni de son hardware,les programmes que l'on utilise non plus.
Alors un bon mot de passe pour sauvegarder des données pas très sensibles ,pour plus ne pas laisser trainer ses données sur un ordi non sécurisé .Et sécurisé le en fonction de votre (paranoïa ) besoin .
Et là on peut aller très loin.
Le #1967179
jacob13 a écrit :

a écrit :

Subutox a écrit :

Aller c'est reparti, ça faisait "longtemps" (un article sur "le mot de passe c'est terminé").

Biométrie non, on ne va quand même pas fournir des infos d'identification uniques, non-modifiables, et encore moins en les agrégeant à d'autres. Ce serait le paradis des annonceurs ça en plus. Oubliez votre combine.

Le mot de passe est très bien, il faut réellement éduquer les gens là-dessus ( et pas simplement en mettant "votre MDP doit faire minimum 8 caractères, comporter au moins une majuscule, un caractère spécial et un chiffre", sinon on se retrouve avec des " Poisson1! ".
Au taf c'est comme ça que ça se passe, je dis au client "vous avez mis un chiffre après la septième lettre et un point d'exclamation à la fin ?"
"Ah parce que vous le voyez mon mot de passe ?"
Euh non, mais je sais reconnaître les nœuds-nœuds.


neuneu pas forcément.
honnêtement je comprends qu'on cherche à aller au plus simple. avec l'histoire du chiffre + caractère spécial c'est plus compliqué de se souvenir d'un mot de passe du coup on garde la même séquence (même chiffre + même caractère) pour tous nos pass.

alors oui on me dira qu'il y a des gestionnaires de mots de passe qui évite qu'on se souvienne de nos mdp, mais si quelqu'un trouve LE mot de passe du gestionnaire (par ex un keylogger peut enregistrer ce qui est tapé au clavier), il ouvre la boite de pandore et a accès à tous les autres mots de passe à volonté.
Ou alors s'il y a un problème quelconque qui fait qu'on perde ce gestionnaire (réinstallation suite à une panne subite materielle ou de l'os) on ne se rapellera plus de nos mdp car on a aura trop compté sur celui du gestionnaire.

Je trouve que la biométrie a un côté très pratique car il n'y a rien à se rappeler (même pas les 1eres lettres des mots d'une phrase à retenir) et qu'elle ne permet une autorisation qu'à la personne sensée avoir accès à quelque chose.

Le problème qu'on soulève sur la biométrie c'est qu'on peut copier les empreintes digitales ou photographier l'oeil etc... Oui c'est vrai mais ca veut juste dire que c'est le système biométrique qui n'est pas au point. Son principe lui reste bon.
Avec un système bien construit une photo ne devrait pas se substituer à une véritable empreinte. Peut être en ajoutant la détection de la chaleur corporelle+pression du sang au rythme cardiaque+analyse de sueur par les pores de la peau... bref j'en sais rien j'y connais rien mais un truc qui detecte la vie quoi.
Ce qui fait que la question du changement d'empreinte ne doit pas se poser car ca ne devrait pas être nécessaire.
Il faut "juste" trouver un bon moyen pour faire la difference entre une empreinte légitime d'une empreinte factice et quand on y arrivera ce sera gagné.


Apparemment le concept de l'épée et le bouclier vous est inconnu .Depuis la nuit des temps l'épée et le bouclier sont en compétition tantôt l'un gagne tantôt l'autre c'est sans fin.
Seul l'arme nucléaire actuelle gagne car elle perd en même temps.
Pour la sécurité de ses données est illusoire de rechercher la sécurité à 100% .
On ne peut pas vérifier l'intégralité de son OS,ni de son hardware,les programmes que l'on utilise non plus.
Alors un bon mot de passe pour sauvegarder des données pas très sensibles ,pour plus ne pas laisser trainer ses données sur un ordi non sécurisé .Et sécurisé le en fonction de votre (paranoïa ) besoin .
Et là on peut aller très loin.


ok alors pour simplifier ce que je voulais dire:
j'ai pas envie d'apprendre mon numero de carte bleue quand je paye avec.
la biometrie est plus pratique dans le sens où on n'aura rien à apprendre. c'est surtout ça que je veux mettre en avant dans mon commentaire.
Le #1967180
cycnus a écrit :

Et pour le moment, rien n'est satisfaisant. Le capteur d'empreinte digitale pour dévérouiller, sur le Note 4 j'ai abandonné depuis des lustres : le schéma est plus rapide ! Il n'y a que la reconnaissance du visage sur Surface pro 4 qui semble intéressante (et encore avec des râtés, parfois impossible de faire reconnaître quoi que ce soit mais heureusement rarement).


J'avais le note 4 aussi et il est vrai que son lecteur d'empreintes est assez pourris j'avais aussi abandonné mais actuellement, j'ai changé pour le S8+ et là, ça a rien à voir, mon empreinte est détectée 9 fois sur 10 dès la première pose du doigt.
Avant je mettais que le "glisser pour déverrouiller", trop agaçant les mots de passe et compagnie... mais du coup, maintenant, j'utilise l'empreinte, c'est devenu quand même bien fiable et bien pratique.
Le #1967187
la biométrie ne va pas tuer les mots de passe.. Mais provoquera des morts, histoire de voler une main ou une oreille...

Un bon mot de passe, ça n'est pas nécessairement quelques chose de difficile à retenir. Il suffit de prendre une phrase que vous aimiez et de ne garder qu'une lettre par mot. Ensuite vous ajoutez devant la 1ere lettre du service (f pour facebook, g pour gmail, etc..) et un chiffre qui correspond au nombre de lettre du service (8 pour facebook, 5 pour gmail, etc..)
ça donne des mots de passe facile à retrouver, et uniques par site..
Le #1967188
a écrit :

Subutox a écrit :

Aller c'est reparti, ça faisait "longtemps" (un article sur "le mot de passe c'est terminé").

Biométrie non, on ne va quand même pas fournir des infos d'identification uniques, non-modifiables, et encore moins en les agrégeant à d'autres. Ce serait le paradis des annonceurs ça en plus. Oubliez votre combine.

Le mot de passe est très bien, il faut réellement éduquer les gens là-dessus ( et pas simplement en mettant "votre MDP doit faire minimum 8 caractères, comporter au moins une majuscule, un caractère spécial et un chiffre", sinon on se retrouve avec des " Poisson1! ".
Au taf c'est comme ça que ça se passe, je dis au client "vous avez mis un chiffre après la septième lettre et un point d'exclamation à la fin ?"
"Ah parce que vous le voyez mon mot de passe ?"
Euh non, mais je sais reconnaître les nœuds-nœuds.


neuneu pas forcément.
honnêtement je comprends qu'on cherche à aller au plus simple. avec l'histoire du chiffre + caractère spécial c'est plus compliqué de se souvenir d'un mot de passe du coup on garde la même séquence (même chiffre + même caractère) pour tous nos pass.

alors oui on me dira qu'il y a des gestionnaires de mots de passe qui évite qu'on se souvienne de nos mdp, mais si quelqu'un trouve LE mot de passe du gestionnaire (par ex un keylogger peut enregistrer ce qui est tapé au clavier), il ouvre la boite de pandore et a accès à tous les autres mots de passe à volonté.
Ou alors s'il y a un problème quelconque qui fait qu'on perde ce gestionnaire (réinstallation suite à une panne subite materielle ou de l'os) on ne se rapellera plus de nos mdp car on a aura trop compté sur celui du gestionnaire.

Je trouve que la biométrie a un côté très pratique car il n'y a rien à se rappeler (même pas les 1eres lettres des mots d'une phrase à retenir) et qu'elle ne permet une autorisation qu'à la personne sensée avoir accès à quelque chose.

Le problème qu'on soulève sur la biométrie c'est qu'on peut copier les empreintes digitales ou photographier l'oeil etc... Oui c'est vrai mais ca veut juste dire que c'est le système biométrique qui n'est pas au point. Son principe lui reste bon.
Avec un système bien construit une photo ne devrait pas se substituer à une véritable empreinte. Peut être en ajoutant la détection de la chaleur corporelle+pression du sang au rythme cardiaque+analyse de sueur par les pores de la peau... bref j'en sais rien j'y connais rien mais un truc qui detecte la vie quoi.
Ce qui fait que la question du changement d'empreinte ne doit pas se poser car ca ne devrait pas être nécessaire.
Il faut "juste" trouver un bon moyen pour faire la difference entre une empreinte légitime d'une empreinte factice et quand on y arrivera ce sera gagné.


Et les moyens mnémotechniques ? C'est la solution la plus fiable ET sécurisée pour retenir les mots de passe.

Exemple : !!Lpcbja2lN!!
Découpé : ! ! L p c b j a 2 l N ! !
Signification : Le petit chien blanc joue avec de la neige
Explication :On a mis la première et dernière en majuscule, le mot "de" s'est transformé en "chiffre 2", et on colle au choix un simple ou double point d'exclamation, croisillon, dollar, livre, ect.

De plus, on peut écrire sur un "post-it" "Chien blanc neige = Gmail" pour s'en rappeler, et personne ne trouvera le mot de passe juste avec cette indication sur un papier.

Très tordu : on prend la photo d'un chien qui joue avec de la neige, on l'encadre, on écrit "Gmail" derrière le cadre, on pose ça sur le bureau, et voilà . On peut se faire un bureau avec plein de jolies photos signifiant plein de mots de passe différents inoubliables, c'est beau n'est-ce pas .
Le #1967195
Et puis si on tue ce genre de connerie, que va-t-il nous rester ?
https://www.intersideral.be/content/images/2015/04/carottes.jpg
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]