Finis les mots de passe, bonjour les selfies : et voilà le nouveau mode de protection et d'identification sur Internet<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Selfie
Selfie
©

Ouistiti !

Finis les mots de passe, bonjour les selfies : et voilà le nouveau mode de protection et d'identification sur Internet

De nombreuses industries et entreprises se servent déjà de la reconnaissance faciale pour améliorer leur sécurité sur Internet. Ce procédé, intégré à une application sur smartphone, est en passe de devenir l'outil le plus simple pour se connecter sur Internet, améliorer sa sécurité et peut-être faire ses achats.

Jean Martin
Jean Martin

Jean Martin

Jean Martin travaille sur l'impact des nouvelles technologies sur la société.

Voir la bio »

Atlantico : Comment fonctionne exactement le principe du selfie pour s'identifier sur Internet sans utiliser de mots de passe ? Sur quelles avancées récentes de la reconnaissance faciale repose-t-il ?

Jean Martin : C’est un système qui permet de comparer les images de face et de profil prises par l’utilisateur avec son téléphone, avec ses portraits conservés par le service auquel il souhaite accéder. Cela repose sur des technologies de reconnaissance faciale relativement courantes depuis quelques années, il ne s’agit pas d’une rupture dans le domaine. L’usage de la reconnaissance faciale pour la sécurité n’est pas nouveau non plus, Safran propose ces technologies depuis quelques années déjà pour des applications professionnelles ("Morpho"), sans que ce ne se soit développé rapidement et largement. La technologie est à présent déclinée sur des smartphones et proposée pour des applications plus larges. On peut aussi remarquer que les smartphones avaient déjà été avancés au début de la décennie comme une solution pour s’identifier par différents moyens biométriques (iris, pouls, voix…), ce qui n’a pas connu un grand succès jusqu’à présent. Il s’agit cependant d’un champ large et potentiellement critique, exploré par de grandes sociétés, et qui pourrait arriver rapidement à maturité.

Ce procédé est-il réellement fiable pour se protéger efficacement contre les risques d'usurpation d'identité (personnes qui nous ressemblent, vol de photo, etc.) ?

Non, le vol de photo, ou le cas de jumeaux, ne peuvent pas être totalement évités. Il ne serait pas très judicieux de ne reposer que sur une identification visuelle, sans aucune autre composante telles que l’authentification de l’appareil utilisé, de sa localisation, ou les traditionnels mots de passe ou empreintes digitales. Cela dit, une photo peut ajouter une couche de sécurité. Si le mot de passe de compte bancaire, d’email ou de téléphone d’une personne était utilisé par une personne de son entourage, une vérification par photo rendrait ce type d’indiscrétion plus difficilement réalisable, pour un coût de mise en œuvre assez faible. Mais dans le cas de services professionnels, utilisés plus fréquemment, et exigeant déjà des moyens de protection plus conséquents, la valeur ajoutée n’est que marginale. Au-delà de la fiabilité, il faut aussi considérer l’ergonomie. Parler à son téléphone, ou se prendre en photo à chaque validation de transaction peut parfois s’avérer plus compliqué que de taper un code, par exemple dans des situations de promiscuité, ou lorsque l’on est en mouvement, ou simplement lorsque l’on est déjà en communication téléphonique.

Quelles sont les autres alternatives au système traditionnel du mot de passe ? A quel stade développement en sont-elles et quelle est leur fiabilité ?

L’une des approches actuellement les plus efficaces consiste à utiliser deux voies, deux facteurs de communication. Le cas le plus courant est la validation d’une transaction Web par un SMS. Pour contrer ce système, il faut à la fois frauder la transaction Web et la communication mobile. Ou bien contrôler le smartphone des victimes sans qu’elles ne puissent noter l’arrivée d’un SMS de confirmation, ce qui reste relativement difficile à réaliser. D’une manière plus générale, les approches modernes reposent sur des facteurs multiples de vérification. L’identité du matériel utilisé, du logiciel utilisé, de leur degré de sécurité et de mise à jour… On peut voir un exemple très complet de ces techniques dans l’infrastructure "Beyondcorp" de Google. À cela peut s’ajouter la localisation de l’utilisateur, la possession d’un objet particulier (par exemple un "bipper" indépendant qui fournit des codes d’accès à usage unique). Bien entendu, l’ajout d’une photographie peut aider à améliorer l’ensemble. Il faut cependant garder à l’esprit que chaque renforcement de l’identification renforce aussi la connaissance que le service a de ses utilisateurs. Il serait donc judicieux de s’assurer de la loyauté et de la responsabilité d’un service qui possèderait une photo à jour de chacun de ses utilisateurs, en plus de leurs empreintes digitales, de leur âge, de leur équipement électronique, de leurs habitudes de connexion, de leur emplacement en temps réel... Plutôt que les informations de compte d’un utilisateur, à moins qu’il ne soit un employé-clé d’une banque, ce sont ces informations groupées, centralisées par le service, qui seraient les plus intéressantes pour un attaqueur.

Propos recueillis par Thomas Gorriz

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !