Services bancaires sans mot de passe : les avantages de l'authentification biométrique et de la détection du caractère vivant

Samuel Bakken, janvier 28, 2020
Passwordless Banking: A Deeper Look at Biometric Authentication and Liveness Detection

Je déteste les mots de passe. J'aimerais pouvoir accéder à davantage de services en ligne ou sur mobile sans avoir à taper des combinaisons de chiffres et de lettres et autres caractères. Les mots de passe ne sont pas pratiques et présentent plus de risques que les options d'authentification proposées de nos jours, car il est possible de deviner, voler ou craquer ces derniers. Je me suis donc intéressé de près aux avancées effectuées dans le domaine de l'authentification biométrique en tant que facteur d’authentification plus robuste et sécurisé.

Un rapport Gartner datant d'octobre 2019, intitulé « Technology Insight for Biometric Authentication » (Aperçu des technologies d'authentification biométrique), indique que l'authentification biométrique est généralement adoptée pour « proposer une authentification sans mot de passe et ainsi améliorer l'expérience utilisateur/client, et potentiellement gagner en confiance et en responsabilité ». Selon moi, il s'agit de la solution idéale et d'un atout de taille pour les entreprises de services financiers qui se battent pour séduire des clients.

Le rapport Gartner décrit la banque en ligne comme une « application idéale » (c'est-à-dire, qui va vite devenir indispensable pour l'utilisation des services bancaires sur mobile) pour l'authentification biométrique. Nous sommes persuadés qu'il est l'heure pour les institutions financières d'adopter l'authentification biométrique pour les services bancaires en ligne afin de gagner en confiance et en responsabilité, et d'améliorer l'expérience des clients, un aspect primordial pour augmenter leurs revenus.

Les consommateurs sont-ils prêts à adopter la biométrie pour leurs achats et services bancaires ?

Selon une récente enquête réalisée par Visa auprès de 1 000 consommateurs américains, la réponse est oui. La majorité des participants préfère l'authentification biométrique à l'authentification par mot de passe :

  • Les participants déclarent trouver la biométrie plus simple (70 %) et plus rapide (61 %) à utiliser que les mots de passe
  • 52 % d'entre eux déclarent qu'ils seraient prêts à changer de banque si la leur ne venait pas à proposer l'authentification biométrique à l'avenir
  • Les avantages de l'authentification biométrique les plus souvent mentionnés par les participants sont :
    • Le fait de ne pas avoir besoin de se souvenir de plusieurs mots de passe/codes PIN (50 %)
    • Le niveau de sécurité plus élevé que pour les mots de passe/codes PIN (46 %)
    • L'absence de risque d'oublier/de perdre cette méthode d'authentification (33 %)

Pour mesurer la qualité de l'expérience client, il est important de prendre en compte le taux d'abandon des transactions. Près de 50 % des participants à l'enquête Visa déclarent avoir abandonné un achat en ligne car ils ne se souvenaient plus de leur mot de passe. 

« Les avantages de l'authentification biométrique pour l'expérience client ont entraîné une légère hausse des applications bancaires sur mobile au cours des dernières années, » peut-on lire dans le rapport Gartner. Lorsqu'elles étudient les solutions d'authentification biométrique, les institutions financières ne doivent pas oublier la différence entre les méthodes natives à l'appareil et les méthodes tierces. Les méthodes biométriques tierces, qui consistent à intégrer un SDK à une application mobile (comme la solution proposée par OneSpan), possèdent un avantage : les banques peuvent rendre service à une plus grande partie de leur base de clients. Tous les utilisateurs ne possèdent pas un appareil mobile qui intègre un dispositif et un logiciel de biométrie. En revanche, la quasi-totalité des appareils mobiles possèdent un appareil photo qui peut servir à analyser le visage d'un utilisateur dans le cadre de l'authentification biométrique.

L'authentification biométrique est-elle plus fiable que les autres méthodes d'authentification ?

Oui, selon moi, l'authentification biométrique offre plus de sécurité que le reste des méthodes d'authentification. Le secret d'un système d'authentification biométrique fiable réside dans sa capacité à détecter et empêcher l'usurpation d'identité à l'aide des caractéristiques biométriques d'une personne existante. Une empreinte digitale, une « empreinte du visage » ou toute autre caractéristique biométrique ne représente pas une autre forme de mot de passe ou de jeton.

Sans analyse supplémentaire, il est impossible de dire qui fournit un mot de passe. Tout ce que l'on sait, c'est qu'un mot de passe a été saisi et qu'il correspond au mot de passe enregistré en back-end. Au contraire, un système d'authentification biométrique fiable doté d'une détection du caractère vivant efficace et d'une fonction de réduction des tentatives d'usurpation de l'identité offre un indicateur de confiance supplémentaire en validant la personne qui fournit l'échantillon biométrique en vue d'une vérification. En effet, l'empreinte digitale, le visage ou [insérer ici votre identifiant biométrique préféré] est présenté en temps réel et est relié directement à l'utilisateur en personne.

Réfuter les fausses idées en matière d'authentification biométrique

D'après Gartner, « l'authentification biométrique ne peut pas dépendre et ne dépend pas de la confidentialité des caractéristiques biométriques. En revanche, elle repose sur le fait qu'il est très difficile de se faire passer pour la personne qui doit présenter ces traits à un dispositif de capture (« capteur »). Peu de personnes le savent, c'est pourquoi de fausses idées circulent à ce sujet, renforcées par l'utilisation limitée de la détection d'attaque de présentation (PAD) par les appareils des consommateurs et la médiatisation des attaques fructueuses contre les fonctionnalités Touch ID d'Apple, les capteurs de proximité de Samsung, la reconnaissance faciale d'Android, etc. »

Vous êtes sûrement au fait de cette critique comme quoi « il n'est pas possible de modifier votre empreinte digitale ou votre empreinte de visage si cette dernière est compromise ». C'est vrai, vous ne pouvez pas modifier vos caractéristiques biométriques comme vous modifieriez un mot de passe. Toutefois, il est faux de penser que si un cybercriminel vient à subtiliser vos données biométriques, il parviendra à tromper le système d'authentification lors des étapes de capture biométrique correspondantes.

1. Vous ne pouvez pas voler le visage/l'empreinte digitale/etc. d'une personne1 : dans la réalité, contrairement aux films d'horreur, les cybercriminels ne cherchent généralement pas à retirer (comprendre « voler ») le visage ou l'empreinte digitale du corps d'un individu. Les systèmes biométriques correctement conçus ne « stockent » pas ces données. À la place, ils conservent une représentation mathématique de l'échantillon biométrique inscrit dans le système (nommé modèle). À elle seule, la représentation mathématique ne sert à rien au moment de la capture (consultez le premier point en évidence sur l'image ci-dessous).

Source : ISO/IEC 30107-1:2016(E)
Source : ISO/IEC 30107-1:2016(E)
 

2. La présentation en temps réel des caractéristiques biométriques joue un rôle primordial : comme l'affirme Gartner dans son rapport, « avec une méthode par empreinte digitale robuste, le fait qu'un pirate puisse présenter un fac-similé de l'empreinte d'un individu ne devrait même pas poser problème ; tout élément autre que la véritable empreinte digitale (toujours rattachée au corps de l'utilisateur vivant) ne devrait pas fonctionner ». Une attaque de présentation signifie qu'une personne malintentionnée présente une reproduction d'une caractéristique biométrique (une « fraude ») qui imite une référence enregistrée pour un utilisateur légitime (par ex. modèles imprimés en 3D, masques, images, vidéo, etc.). La détection du caractère vivant identifie si une caractéristique biométrique présentée appartient à une personne vivante ou à une représentation numérique ou fabriquée (ou une nouvelle fois, une fraude). La détection d'attaque de présentation (PAD) associe des mécanismes anti-fraude et de détection du caractère vivant. Dans certains cas, la PAD intégrée aux systèmes biométriques des appareils destinés aux consommateurs peut manquer par rapport à une technologie d'authentification biométrique tierce. La norme ISO/IEC 30107 décrit une méthodologie qui permet d'évaluer l'efficacité d'une solution biométrique en termes de PAD.

Bien évidemment, la sécurité de bout-en-bout d'un système d'authentification biométrique ne se limite pas aux attaques de présentation au niveau des capteurs qui recueillent les données biométriques. Les attaques par rejeu représentent un autre risque, mais dans la plupart des cas, la technologie qui garantit l'intégrité de l'application (comme la protection propre à l’application et l'auto-protection des applications en exécution) permet de réduire ces risques. Toutefois, les institutions financières doivent faire preuve d'une attention particulière lors de la conception, de la mise en œuvre, du déploiement et de la configuration d'une solution biométrique.

Téléchargez le rapport « Technology Insight for Biometric Authentication » de Gartner

Les institutions financières qui cherchent à offrir une expérience utilisateur de meilleure qualité et renforcer la confiance des clients envers leurs processus d'authentification doivent regarder vers l'avenir et envisager d'adopter l'authentification biométrique. D'après nous, ce rapport offre un bon cadre pour aider les institutions financières à évaluer et choisir la meilleure solution en fonction de leurs besoins, car il aborde les points importants suivants :

  • Les cas d'utilisation de l'authentification biométrique qui rapportent le plus de valeur (par exemple, les services bancaires mobiles et la vérification d'identité)
  • Les problèmes de confidentialité et la confiance des consommateurs
  • La réduction des risques liés à la sécurité de la plateforme d'authentification biométrique complète, y compris les attaques de présentation et autres
  • Le choix entre une méthode intégrée à l'appareil ou tierce
  • Les vendeurs, dont OneSpan, qui prennent en charge toute une gamme de modes et de cas d'utilisation biométriques

Téléchargez le rapport Technology Insight for Biometric Authentication de Gartner pour obtenir de l'aide dans l'évaluation des technologies d'authentification biométrique.

Rapport Gartner : Aperçu technologique pour l'authentification biométrique
Rapport d'analyste 2019 de Gartner

Aperçu technologique pour l'authentification biométrique

Téléchargez Technology Insight pour l'authentification biométrique pour savoir où cette technologie est la mieux déployée et comment elle peut être exploitée pour améliorer l'expérience utilisateur et accroître la confiance.

Télécharger

Gartner ne fait la promotion d'aucun des vendeurs, produits et services qui figurent dans ses publications de recherche et ne recommande pas aux utilisateurs de technologie de ne sélectionner que les vendeurs les mieux notés ou bénéficiant d'autres appellations. Les publications de recherche de Gartner se composent de l'avis de l'organisme de recherche de Gartner et ne doivent pas être interprétées comme des faits. Gartner ne reconnaît aucune garantie, expresse ou implicite, en rapport avec cette étude, y compris toute garantie de commercialisation ou d'adéquation à un but particulier.

Sources :
Gartner, Technology Insight for Biometric Authentication, Ant Allan,16 octobre 2019

1. Il existe évidemment des cas de coercition, tels que forcer une personne à déverrouiller son téléphone sous la menace d'une arme, mais cela s'applique également aux mots de passe et codes PIN. Il est également arrivé que quelqu'un déverrouille le téléphone de son/sa partenaire grâce à son empreinte digitale pendant son sommeil. La technologie de reconnaissance faciale intègre une technologie efficace de détection du caractère vivant et anti-fraude qui permet de réduire ce risque.

 

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.