L’authentification invisible : la technique pour protéger son identité numérique

AZERTY, 12345, le nom de mon animal de compagnie… Tous les ans, différentes études montrent que les mots de passe les plus utilisés sont très faciles à deviner et donc à pirater. Irrémédiablement, de nombreuses personnes sortent l’argument qu’elles considèrent comme imparable : « je n’ai rien à pirater ou à cacher ».

Toutes les personnes qui sont victimes d’usurpation d’identité ne partagent certainement pas cette affirmation. Un compte facile à pirater permet en effet de récupérer des données à caractère personnel pour usurper une identité afin de monter un dossier de crédit par exemple. Un compte facile à pirater permet aussi d’infiltrer le réseau informatique d’une entreprise pour voler des données sensibles.

Le mot de passe n’apporte pas suffisamment de sécurité sauf à avoir des mots de passe « forts » et administrés par un logiciel appelé gestionnaire de mot de passe. Cette pratique étant, hélas, pas assez répandue, Google a décidé de renforcer la confidentialité de vos comptes en imposant la double authentification.

La double authentification obligatoire

Le géant américain a expliqué que 150 millions d’utilisateurs seront automatiquement inscrits à la vérification en deux étapes d’ici la fin de 2021, ainsi que deux millions de Youtubeurs qui ont jusqu’au 1er novembre pour activer la fonction. « En plus des mots de passe, nous savons que le fait de disposer d’une deuxième forme d’authentification diminue considérablement les chances d’un attaquant d’obtenir l’accès à un compte », écrit Google sur son blog.

La double authentification implique donc une… seconde procédure afin de confirmer son identité numérique. En plus de son login et de son mot de passe, il est nécessaire de taper un code reçu par SMS ou email. Il est également possible d’utiliser des petites clés USB spécialisées dans la double authentification.

Avec ce système, le mot de passe reste encore incontournable ! Autre alternative qui se développe depuis quelques années, l’authentification par empreinte et plus récemment avec la reconnaissance du visage. Intégrée à de plus en plus de smartphones, elle évite de retaper son mot de passe pour s’identifier sur certains comptes.

Mais à plus ou moins long terme, on utilisera peut-être ce qu’on appelle l’authentification dite « invisible », car elle n’exige rien de l’utilisateur. Il existe deux options principales.

1- L’authentification biométrique comportementale

Cette méthode analyse les frappes au clavier, la dynamique de la souris ou même la façon dont une personne tient son téléphone. Un exemple simple de ce type d’authentification serait le suivant : si une personne ne tape pas aussi vite que d’habitude, le système ne parviendrait pas à l’authentifier. Une méthode qui remonte à la fin du XIXe siècle. Les opérateurs télégraphiques se reconnaissaient entre eux par la façon dont ils envoyaient des signaux de tirets et de points.

2- L’authentification contextuelle

C’est une approche innovante de l’authentification des utilisateurs fondée sur la création d’un profil unique pour chaque client. Elle peut inclure la géolocalisation, l’environnement informatique et la nature de la transaction tentée.

Mais la collecte de données biométriques comportementales est-elle compatible avec le respect de la vie privée ? Quelle que soit la solution d’authentification retenue, il est indispensable que ces données personnelles soient parfaitement sécurisées par le terminal lui-même ou le tiers qui les stocke.

L’expérience montre que ce genre de précautions n’est pas toujours assuré correctement et que cela entraîne des fuites de données massives…