Les mots de passe, le moyen d’authentification de facto, représentent une sérieuse faiblesse en matière de sécurité pour de nombreuses raisons. La principale étant que les hommes ont tendance à créer de mauvais mots de passe dans le but de s’en souvenir plus facilement. Et c’est là tout le problème : les bons mots de passe sont difficiles à deviner mais ils sont également difficiles à retenir. Les mauvais mots de passe quant à eux, sont faciles à retenir et facile à deviner. Depuis des années, remplacer les mots de passe par quelque chose de plus simple et de plus sécurisé est une priorité pour l’industrie de la sécurité, et malgré un déluge d’indicateurs biométriques approximatifs et autres idées inspirées de la science-fiction, presque tout le monde les utilise pour s’identifier dans ses appareils ou en ligne.
Notre cœur contient dans son atrium droit un groupe de cellules nerveuses ainsi que des synapses qui agissent comme un stimulateur cardiaque. Ce stimulateur cardiaque émet des petites pulsions électriques qui font battre le cœur humain. Ces pulsions électriques et les battements de cœur qu’elles produisent peuvent être mesurés par un électrocardiographe, afin de créer ce qu’on appelle un électrocardiogramme (ECG). Ces ECG – s’ils sont mesurés avec assez de précision – sont uniques. Tout comme une empreinte digitale, deux êtres humains ne produisent pas le même électrocardiogramme, une réalité prometteuse pour les partisans de l’authentification biométrique.
Une compagnie, connue sous le nom de Bionym, est la nouvelle participante dans cette course pour remplacer les mots de passe puisqu’elle est en train de développer un nouvel appareil portable qui réalisera l’ECG de son porteur. Bionym affirme que l’appareil peut différencier un ECG d’un autre de manière fiable, même dans les cas où le cœur bat plus rapidement ou plus lentement qu’à son habitude.
Leur appareil est appelé Nymi. Il se porte comme une montre, mais il contient deux électrodes : un qui est en contact avec le poignet de l’utilisateur, et un autre situé à l’extérieur du bracelet. Quand l’utilisateur touche avec son doigt le second électrode (celui qui ne touche pas le poignet), un circuit est établi et le rythme cardiaque du cœur est mesuré afin de créer un ECG. Cet ECG est ensuite analysé par un logiciel développé par Bionym et intégré dans Nymi comme une application.
« Nous réalisons une analyse du signal pour extraire des caractéristiques uniques exprimées par la forme générale du tracé« , a expliqué un porte-parole de Bionym dans une interview accordée à nos amis de Threatpost. « Nous utilisons ces caractéristiques et non pas le signal brut. »
L’application identifiera ensuite l’utilisateur sur n’importe quel appareil disposant de Nymi. Bionym a l’intention de lancer cet appareil courant 2014. Ils sont actuellement en collaboration avec des développeurs, de façon à ce que quand l’appareil sera lancé, il soit compatible avec le plus d’appareils possible.
Karl Martin et Foteini Agrafioti, tous deux chercheurs et experts en biométrie à l’Université de Toronto, ont fondé Bionym. Ils sont peut-être parmi les premiers à produire un appareil portable capable d’utiliser un indicateur biométrique comme moyen d’authentification, mais ils ne sont pas les premiers à avoir trouvé cette idée.
Bruce Tognazzini, un ingénieur en ergonomie et expert en interaction homme-machine, a écrit un article très complet sur son blog personnel au début de l’année où il affirmait que – dans le but de réussir – la future iWatch d’Apple devrait être dotée d’un mécanisme d’authentification en plus de toutes ses fonctionnalités. Il a suggéré que les mesures biométriques étaient les meilleurs outils d’authentification.
Au delà de ça, pas un mois ne passe sans qu’on nous présente une nouvelle technologie biométrique qui pourrait éventuellement remplacer les mots de passe. Et il y a bien évidemment le lecteur Touch ID de l’iPhone 5S d’Apple. Au cours de la semaine où Apple a annoncé que son téléphone haut de gamme, l’iPhone 5S, était doté d’un lecteur d’empreintes digitales intégré, aussi bien les amateurs que les professionnels de la sécurité ont commencé à réunir des fonds pour offrir une prime au premier pirate qui réussirait à contourner Touch ID. Quatre jours seulement après le début de la compétition, le célèbre groupe de pirates allemand, Chaos Computer Club avait gagné. Que les participants les paient n’est pas l’important ici car le travail du CCC soulève une question plus importante : la biométrie est-elle la solution pour remplacer les mots de passe ?
Il est bien sûr bien trop tôt pour abandonner complètement l’idée de la biométrie, mais le CCC voulait montrer – et pense qu’il a démontré – que les lecteurs d’empreintes digitales, dont on connait les vulnérabilités depuis des années, ne sont pas la réponse.
« Nous espérons que cela mettra, une bonne fois pour toutes, fin aux illusions que les gens se font sur les lecteurs d’empreintes digitales. Il est idiot d’utiliser quelque chose que vous ne pouvez pas changer et que vous laissez partout, tous les jours, comme un outil de sécurité« , a déclaré Frank Rieger, un porte parole du CCC. « Le public ne devrait plus être trompé par l’industrie biométrique et sa fausse sécurité. La biométrie est fondamentalement une technologie conçue pour l’oppression et le contrôle, et non pour sécuriser l’accès quotidien à un appareil. »
Il est clair que le CCC ne considère pas la biométrie comme une solution. Seul le temps nous dira s’ils ont raison d’avoir cette opinion, mais nous n’avons pour le moment vu aucune de ces mesures fonctionner de manière significative pour l’authentification, mais le point réellement intéressant du CCC est le suivant : le lecteur d’empreintes digitales est une mauvaise idée car nos empreintes ne peuvent pas être changées, nous les laissons partout où nous allons et sur tout ce que nous touchons. Un outil se basant sur nos battements de cœur est un peu mieux car nous ne les laissons pas partout, néanmoins ils ne peuvent pas être modifiés non plus. Après tout, l’un des points forts des mots de passe est que vous pouvez les changer chaque fois que vous le souhaitez.