Mythes et réalités de l'authentification biométrique : dépasser les idées reçues pour mieux acquérir la finance

Benoit Grangé, décembre 21, 2021

Les services financiers digitaux gagnent en importance - tous comme les cyber-risques qui les entourent. Dans ce contexte, l'authentification biométrique devient un moyen clé de sécurisation de l'expérience utilisateur - mais de nombreuses idées reçues aux sujets de ces technologies circulent. Comment les dépasser pour mieux sécuriser le monde de la finance ?

Dans un contexte marqué à la fois par l’accélération de l'adoption des services bancaires numériques et l’augmentation des risques qui les entourent, l'authentification biométrique gagne en importance en tant que moyen de vérification de l’identité numérique et de sécurisation de l’expérience utilisateur.

De nombreuses idées reçues circulent cependant au sujet des technologies biométriques. Cet article vise à aborder certains des arguments sceptiques les plus courants, et à démontrer en quoi l’adoption généralisée de la biométrie dans le secteur bancaire est une condition vitale face aux cybermenaces.

Un contexte porteur

Les services bancaires mobiles et digitaux ont pris une ampleur considérable, tout comme les risques qui les accompagnent. Plusieurs instances publiques, telles que la Banque de France ou le G20, ont récemment alerté au sujet de la hausse des risques de cyberattaques dans le secteur financier. La sophistication de ces attaques amène de nombreuses entreprises de secteurs variés à délaisser peu à peu les mots de passe pour s’orienter vers la biométrie. Dans le secteur financier, où la majorité des interactions sont sensibles, les moyens d’identification biométriques tels que les empreintes digitales et la reconnaissance faciale deviennent essentiels à la prévention de la fraude.

Même si les mots de passe restent une méthode d’authentification très commune en France, la biométrie fait son chemin auprès des utilisateurs : selon le dernier baromètre de l'authentification de la FIDO Alliance, 34% des Français sondés estiment que la biométrie est la méthode la plus sûre pour s’authentifier en ligne, particulièrement pour les services bancaires. Les institutions financières doivent donc prêter une attention particulière à cet engouement croissant pour la biométrie, et déconstruire les aprioris qui entourent cette technologie.

Un gage de sécurité et de protection des données

Un des apriori courants est que la reconnaissance faciale, ainsi que la reconnaissance par empreintes digitales, peuvent être facilement dupées en utilisant une photo ou une empreinte digitale reconstituée. L’authentification biométrique présenterait donc autant de risques que les méthodes d’authentification dites « classiques ». Cela n’est pas le cas. En effet, les technologies d'authentification biométrique sont en réalité capables de détecter si l’utilisateur est bien présent physiquement grâce à des techniques de vérification à la fois actives et passives. Ces techniques permettent d'identifier si le trait biométrique présenté provient d'un être humain ou d'une représentation numérique statique. La détection de présence passive comprend des techniques très avancées, telles que la détection de mouvement, afin d’identifier des tentatives d’usurpation d’identité.

L'authentification biométrique offre ainsi un niveau de sécurité supérieur par rapport aux autres méthodes d’authentification, les caractéristiques biométriques étant directement liées aux caractéristiques physiques d’un individu – le facteur déterminant étant la difficulté d'usurper l'identité d'une personne vivante, et non la difficulté d’usurper un identifiant secret statique. En effet , toute sécurité apportée par les mots de passe dépend entièrement du fait qu'ils restent secrets – ce qui est beaucoup moins fiable.

L'authentification biométrique est également parfois perçue comme une atteinte à la vie privée, du fait de son association de la part du public avec les technologies de reconnaissance faciale utilisées pour la surveillance d’espaces publics. Il est cependant crucial d’établir une distinction claire : les technologies de comparaison et de reconnaissance faciales utilisées pour l'authentification à distance sont des situations où l’utilisateur utilise volontairement cette technique pour faciliter les connexions à ses comptes et ajouter ainsi un niveau de sécurité supplémentaire à ses transactions en ligne. Cette situation est très différente de celle des technologies de surveillance par reconnaissance faciale, puisque ces dernières sont souvent utilisées sans que les personnes n’y consentent. De plus, l’authentification par reconnaissance faciale ne s’appuie pas sur le stockage de photos à des fins d'identification, mais sur la comparaison de représentations chiffrées du visage. Cette dernière est conservée uniquement à des fins de comparaison lors d’une connexion, et est généralement cryptée, la rendant donc inutilisable par un hacker.

Une avancée technologique essentielle pour la sécurisation du secteur bancaire

Malgré certaines hésitations quant à ses capacités, la biométrie compte en réalité aujourd’hui parmi les technologies plus avancées.

Une idée commune est par exemple l’incapacité de cette technologie à s’adapter aux évolutions physiques d’un individu. Certains marqueurs biométriques, tels que l'iris d'une personne, restent stables dans le temps, tandis que d’autres peuvent changer légèrement. Les changements significatifs dans les marqueurs biométriques se produisent cependant sur un temps long, et ne sont donc pas un problème pour la plupart des applications d'authentification. De nombreuses solutions d'authentification biométrique mettent régulièrement à jour le modèle biométrique stocké en fonction des changements. Les utilisateurs peuvent également enregistrer une deuxième empreinte digitale en cas d'échec de la première. Dans tous les cas, une approche favorisant l’authentification multifacteur reste la plus efficace.

Une technologie biométrique émergente peut également permettre une authentification plus précise de l'utilisateur : la biométrie comportementale. Cette dernière évalue la façon dont un utilisateur interagit avec son appareil connecté et l'application web ou mobile qu'il utilise. Si les habitudes de l’utilisateur changent, cela peut signaler un détournement de session et déclencher une demande d'authentification de plus haute sécurité. La biométrie comportementale est également utile pour évaluer les utilisateurs inconnus par comparaison avec les utilisateurs usuels, par exemple en cas de demande d’ouverture de compte bancaire en ligne. Elle permet d’identifier de potentiels hackers et des attaques de robots.

Les utilisateurs de services bancaires digitaux recherchent aujourd’hui un niveau de sécurité maximal, mais ne sont pas toujours certains du meilleur moyen d’y parvenir. Il est donc vital que les acteurs du secteur de la finance adoptent plus largement l’authentification biométrique, en combinaison avec d’autres méthodes fiables. La biométrie, l'IA et l'apprentissage automatique, et l’analyse des risques sont autant d’outils qui leur permettront de faire face à l’ampleur des cybermenaces sur le long terme, tout en instaurant une confiance durable auprès des utilisateurs.

people in office
Blog

Authentification avancée : un plan d’attaque pour votre pile d’authentification

Comment les banques mettent en œuvre l’authentification avancée, surmontent les réticences à investir et obtiennent l’adhésion des dirigeants.

En savoir plus

Ce blog, écrit par Benoit Grangé, évangéliste en chef de la technologie, OneSpan et publié sur le site JDN (Le Journal du Net) le 23 novembre 2021.