Odio dignissimos blanditiis qui deleni atque corrupti.

The Point Newsletter


Sed ut perspiciatis unde omnis iste natus error.

Follow Point

Commencez à taper votre recherche ci-dessus et appuyez sur Retour pour lancer la recherche. Appuyez sur Echap pour annuler.

Biométrie comportementale et identités rythmiques

Illustrations d'Aurélia Noudelmann. La biométrie comportementale, une nouvelle façon de déterminer l'identité (rythmique) de quelqu'un.

Jules Metge (rédacteur), Aurélia Noudelmann (artiste)

 

La biométrie nous entoure : nos passeports portent la marque de nos empreintes, nos téléphones reconnaissent la forme de notre visage…. Depuis quelque temps, le secteur de la sécurité s’intéresse à de nouvelles formes de reconnaissance, basées sur nos comportements et attitudes. Petite présentation de la « biométrie comportementale ».

Qui a écrit cet article ? Pour le savoir, le lecteur n’a qu’à consulter le nom qui le signe. Pour le savoir, un ordinateur n’aura eu qu’à écouter le rythme de mes doigts sur le clavier. Je frappe, il m’identifie.

Depuis quelques années, nos sociétés commencent à intégrer de nouvelles formes de reconnaissance, basées sur nos comportements et attitudes. Révolus, les mots de passe et empreintes digitales… Accueillons frappe, rythme et démarche.

 

 

La biométrie comportementale : comment nos attitudes nous identifient   

 

La littérature scientifique spécialisée dans les questions de biométrie et de sécurité tend à distinguer deux grands types de biométrie : la biométrie physiologique et la biométrie comportementale.

Vous connaissez sans doute déjà la biométrie physiologique. Celle-ci s’appuie sur les caractéristiques physiques propres à chacun : nos empreintes digitales, l’iris de notre oeil… À ces données relatives à la forme de notre corps et de ses membres s’ajoutent les données biologiques, telles que la salive, l’urine, le sang et bien sûr, l’ADN. La biométrie physiologique est utilisée dans les terminaux d’aéroports, les enquêtes judiciaires et, depuis quelque temps, dans certains téléphones portables.

La biométrie comportementale, elle, est encore au stade expérimental. Comme son nom l’indique, celle-ci repose sur nos comportements et attitudes. Un des exemples les plus commentés ces derniers temps est la « frappologie », soit la reconnaissance de frappe.

Car la façon dont nous écrivons sur un téléphone ou un ordinateur peut nous identifier. Chez certains, les doigts effleurent à peine le clavier, chez d’autres ils s’attardent lourdement sur les touches… Virtuose ou maladroit, peu importe. À chacun son style. Un logiciel de reconnaissance de frappe pourra mesurer le temps de pression d’une touche, le temps de relâchement et le temps de passage d’une touche à une autre. Contrairement à la reconnaissance digitale qui nécessite un scanner spécifique intégré à l’appareil, la reconnaissance de frappe peut se faire à partir de n’importe quelle machine dotée d’un clavier.  

biométrie-comportementale-frappologie-identité-Aurélia-Noudelmann-unsighted

Quelles sont les autres formes de biométrie comportementale ? La reconnaissance vocale est à l’intersection entre les deux types de biométrie, physiologique et comportementale. Notre voix dépend en partie de la forme et de la taille de notre appareil vocal, mais elle n’a pas d’attribut permanent : notre voix change selon notre humeur, notre âge ou notre état de santé.  

 

Du télégraphe au smartphone

 

La biométrie comportementale n’est cependant pas si récente. Et si les journaux se sont enthousiasmés récemment pour la « frappologie », le principe existait déjà à l’époque des premières télécommunications . Pendant la Seconde Guerre mondiale, les opérateurs télégraphistes pouvaient reconnaître leurs collègues, qu’ils soient alliés ou ennemis, grâce à leur façon de frapper le morse. Chaque opérateur avait son propre « doigté », une manière de pianoter les points et tirets selon une certaine cadence, permettant ainsi au destinataire de vérifier l’authenticité des messages reçus en code. Mais la Gestapo était devenue experte dans le Funkspiel, opération consistant à imiter le doigté d’un opérateur ennemi ou à le faire continuer à émettre sous la contrainte.

Une des premières formes modernes de reconnaissance « comportementale » mise au point ces dernières années est la reconnaissance de signature. Ou plus précisément, la reconnaissance de dynamique de signature. Si une signature n’est pas très difficile à copier – beaucoup ont déjà reproduit au moins celle d’un parent pour sortir du collège plus tôt que prévu – imiter le mouvement de la main sur le papier est quasiment impossible.

Le stylo accentue sa pression sur la base du j, accélère sa vitesse pour la courbe du u, ralentit et relâche à la chute du l… Reproduire le visuel d’une signature ne signifie pas reproduire le rythme avec lequel elle a été tracée. Et c’est là tout l’intérêt de la reconnaissance comportementale.

Illustrations d'Aurélia Noudelmann. La biométrie comportementale, une nouvelle façon de déterminer l'identité (rythmique) de quelqu'un.

Biométrie et sécurité : les failles à venir

 

Si la biométrie comportementale présente bien un avantage, c’est qu’elle ne nous demande pas d’effort. Sans nous en rendre compte, nous nous identifions. Celui qui a depuis longtemps mémorisé son mot de passe peut quasiment le taper les yeux fermés, sans y penser. Machinalement, mais avec un certain rythme qui lui appartient. Celui qui voudrait entrer dans notre ordinateur sera plus hésitant, son rythme de frappe différent. La machine refusera de l’authentifier, même s’il a entré le bon mot de passe.

La biométrie comportementale garantit-elle une sécurité totale de nos données ? Pas totalement. Il sera toujours possible pour les hackers les plus inventifs d’enregistrer puis de simuler le rythme de frappe d’un individu.

Dans le cas des biométries physiologique et comportementale, un « modèle biométrique », aussi appelé « gabarit », est stocké. Lorsque nous devons nous authentifier, la donnée – iris, empreinte, comportement… – est comparée à ce modèle. Dans l’exemple de la « frappologie », lorsque nous entrons notre mot de passe, la machine compare notre style de frappe au modèle enregistré. L’endroit où est stocké le modèle peut être interne ou externe à l’appareil. Et cette distinction a son importance. Lorsque nos données sont conservées localement sur notre téléphone ou ordinateur, nous gardons un certain contrôle sur elles. Dans un système centralisé et distant, le risque est que nos données soient détournées ou utilisées à d’autres fins, sans même que nous le sachions.

Surtout, l’enjeu réside dans le caractère permanent de nos données biométriques. Contrairement à un mot de passe, celles-ci ne peuvent-être modifiées : nos empreintes digitales resteront les mêmes toute notre vie, ainsi que notre iris ou notre ADN. Si un pirate s’en empare, il n’y a pas de recours…

Certes, contrairement aux données biométriques « physiologiques », nos données comportementales changent au cours de notre existence. Lentement, presque imperceptiblement, notre voix se modifie, notre style de frappe se transforme, notre coeur suit un autre rythme. Bien sûr, nous pouvons ponctuellement « feindre » une voix plus grave qu’elle ne l’est réellement ou encore pianoter plus rapidement sur notre clavier. Mais ces imitations et brefs changements ne fondent pas un comportement. Les véritables changements d’attitude sont inconscients.

Mais si nos données comportementales se modifient, comment être sûr que notre ordinateur ou notre application puissent nous reconnaître ? Pour éviter qu’arrive un moment où la machine cesse de nous authentifier, les algorithmes utilisés dans la biométrie comportementale doivent se mettre à jour régulièrement. Ces mises à jour suivent ainsi le parcours de notre existence.

 

La biométrie comportementale et son cadre juridique

 

Qui utilise la biométrie comportementale ? Pour l’instant, celle-ci est en phase d’expérimentation. Cette nouvelle méthode d’authentification intéresse d’abord les banques. L’an dernier, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé neuf banques à expérimenter durant un an un système d’authentification vocale auprès de leurs clients.

Et ces expérimentations ne sont pas encore ouvertes à tout le monde. Les entreprises doivent d’abord demander l’autorisation à la CNIL, et prouver la nécessité d’un système de biométrie, qu’elle soit comportementale ou non.

À partir du 25 mai 2018, les questions de biométrie entreront dans un nouveau cadre juridique : le règlement européen sur la protection des données (RGPD). Le système d’autorisation de la CNIL prendra fin, pour basculer vers « un système de responsabilisation des acteurs ».

 

« Bouger pour s’identifier », Le Journal du CNRS.

New Directions in Behavioral Biometrics, Khalid Saeed.

L’Identification biométrique : Champs, acteurs, enjeux et controverses, Ayse Ceylan, Pierre Piazza.

Vous avez aimé ce contenu ? Faites le savoir !