Vers une authentification transparente sur les terminaux mobiles
La biométrie comportementale, base de l’authentification dite continue, est appelée à se généraliser. Une jeune pousse comme UnifyID n’est en fait que la partie émergée de l’iceberg.
UnifyID s’est attiré les honneurs du jury d’experts de l’Innovation Sandbox de l’édition 2017 de RSA Conference. Fondée début 2015, cette jeune pousse propose une solution d’authentification dite implicite : celle-ci ne base pas sur des secrets connus comme un mot de passe, ni sur des empreintes digitales ou autres données biométriques, mais sur des caractéristiques comportementales uniques à chacun. Si l’apprentissage automatique, le machine learning, est de plus en plus mis à profit pour établir des profils comportementaux et détecter des divergences, UnifyID s’en sert pour construire une empreinte numérique unique de l’utilisateur à partir des données collectées par les capteurs et interfaces de ses équipements mobiles – smartphone ou montre connectées, notamment : gyroscope, accéléromètre, magnétomètre, baromètre, GPS, Wi-Fi, Bluetooth…
Et John Whaley, Pdg de UnifyID, de revendiquer un taux de rejet – des tentatives d’usurpation d’identité – de 98 % sur la seule analyse de la démarche sur un échantillon de quelques minutes de données. Mais la solution d’UnifyID ne se limite pas à un seul attribut : elle en définit une centaine. Et déjà à partir de quatre capteurs, le niveau de fiabilité atteindrait 99,999 %. Pour établir le profil de l’utilisateur, elle s’appuie des réseaux neuronaux s’exécutant en local sur le smartphone et chargés du traitement des données collectées.
La solution de UnifyID n’est aujourd’hui accessible que par le biais d’un test gratuit, nécessitant au moins un iPhone 5S et le navigateur Chrome de Google. Une extension de ce dernier s’occupe de contrôler l’accès aux services en ligne. Dans la pratique, elle ne demande qu’assez rarement de confirmer son identité via l’application du smartphone. Le plus souvent, cette dernière la valide automatiquement de manière transparente pour l’utilisateur.
Une tendance de fond
Mais UnifyID n’est que l’arbre qui cache la forêt. Déjà en juin 2015, Qualcomm articulait une vision de la sécurité où l’authentification est transparente, continue, basée sur « qui sont [les utilisateurs], ce qu’ils font, et les terminaux qu’ils possèdent ». Il s’agit en fait de combiner biométrie – empreintes digitales, reconnaissance vocale, faciale ou de l’iris, voire rythme cardiaque – avec des données comportementales – habitudes spatiotemporelles, démarche, etc. –, et les terminaux qui accompagnent chacun tout au long de la journée.
Les travaux de recherche sur le sujet sont nombreux, qu’ils portent sur les habitudes de saisie sur l’écran tactile, sur les habitudes gestuelles sur ces mêmes écrans, sur la démarche. Plus généralement, la créativité ne manque pas dans la recherche sur l’authentification implicite : certains chercheurs ont récemment présenté des travaux sur le recours aux profils d’utilisation de la batterie. Le ministère américain de l’Intérieur, le DHS, finance d’ailleurs certains projets. Chez IBM, notamment, mais également chez Kryptowire.
L’approche de Kryptowire fait penser à celle de TwoSense.AI, et inverse à celle de UnifyID ou de CallSign : il s’agit pour lui d’implémenter des contrôles de profil comportemental au sein des applications mobile pour non pas authentifier l’utilisateur, mais pour repérer une tentative d’authentification frauduleuse, sur un terminal mobile physiquement compromis. Loqr se positionne aussi sur cet angle-là.
BehavioSec propose également une solution d’authentification continue. Elle a d’ailleurs tout récemment retenu l’attention de Gemalto, mais aussi de SecureAuth, il y a bientôt deux ans. Un moyen pour lui de se démarquer de concurrents tels que Centrify, OneLogin, Okta ou PingIdentity.
Les services financiers en première ligne
SecuredTouch propose également une solution d’authentification continue, basée sur la collecte d’une centaine de paramètres comportementaux dont la taille des doigts, la pression exercée sur l’écran, la vitesse de glissement, ou encore les limites spatiales de déplacement des doigts sur l’écran. Un éventail qui paraît plus complet que celui proposé par BioCatch.
Les solutions d’authentification continue s’adressent aux entreprises, aux développeurs d’applications, parfois aux utilisateurs finaux directement, comme UnifyID. Mais elles pourraient bien commencer par séduire les entreprises de services financiers. C’est d’ailleurs ce secteur d’activité qui intéresse ouvertement Gemalto dans son partenariat avec BehavioSec. Mais Vasco est également présent sur ce segment avec son Digipass for Apps. Et Veridium ne manque pas non plus de s’y intéresser.
Et il faudra aussi compter en toute logique avec le monde du commerce électronique, toujours en quête de solutions rendant l’expérience client plus fluide et transparente, afin de limiter les obstacles à la conversation.