Les mots de passe, qui sont utilisés partout pour l'authentification, constituent fondamentalement une lacune en matière de sécurité pour diverses raisons. La raison la plus importante est que les gens ont tendance à utiliser de mauvais mots de passe afin de les rendre plus faciles à retenir. C'est là que réside le problème : les bons mots de passe sont difficiles à déchiffrer mais aussi à retenir ; les mauvais mots de passe sont plus faciles à retenir mais aussi à déchiffrer. Depuis des années, le secteur de la sécurité s'efforce de remplacer les mots de passe par quelque chose de plus simple et de plus sûr. Mais à part un grand nombre d'étranges données biométriques et d'autres idées inspirées de la science-fiction, presque tout le monde utilise encore des mots de passe pour se connecter à divers appareils et services en ligne.
L'idée de créer une authentification par le battement du coeur
Maintenant, il y aquelque chose de nouveau : le cœur humain contient dans son oreillette droite quelque stimulateurs cardiaques. Ce stimulateur cardiaque envoie des impulsions électriques qui font battre le cœur. Ces pulsations et le rythme cardiaque qu'elles génèrent peuvent être mesurés à l'aide d'un électrocardiogramme (ECG). Si ces ECG sont mesurés avec une précision appropriée, ils peuvent être identifiés de manière unique. Tout comme une empreinte digitale, les ECG de chacun sont différents, ce qui est prometteur pour l'authentification biométrique.
Une société appelée Bionym est le dernier participant au concours pour la technologie de suivi de mot de passe : la société travaille sur un nouvel appareil portable qui mesure l'ECG du porteur. Bionym affirme que l'appareil peut distinguer de manière fiable les différents ECG, même si le cœur bat plus vite ou plus lentement que la normale.
L'appareil d'authentification des battements de coeur
L'appareil s'appelle Nymi et se porte comme une montre-bracelet, mais il contient deux électrodes : une au poignet et une de l'autre côté. Lorsqu'un utilisateur pose son doigt sur la deuxième électrode, extérieure, un circuit électrique est fermé, le rythme cardiaque est mesuré et un ECG est généré.
"Nous traitons le signal pour filtrer les propriétés uniques contenues dans la forme d'onde générale", a déclaré une porte-parole de Bionym lors d'un entretien par courrier électronique avec nos amis de Threatpost. "Nous comparons ces propriétés, pas le signal lui-même."
Le logiciel authentifie ensuite l'utilisateur pour chaque appareil avec lequel Nymi peut travailler. Bionym prévoit de lancer l'appareil l'année prochaine. L'entreprise travaille actuellement avec des développeurs pour s'assurer que l'appareil sera compatible avec le plus grand nombre d'appareils possible lorsqu'il sera mis en vente.
Qui a créé l'appareil d'authentification des battements coeur ?
Karl Martin et Foteini Agrafioti, tous deux chercheurs et experts en biométrie à l'université de Toronto, ont fondé Bionym. Ils sont probablement parmi les premiers à produire un appareil portable capable de mesurer des indicateurs biométriques pour l'authentification, mais ils ne sont pas les premiers à avoir cette idée, du moins en théorie.
Bruce Tognazzini, ingénieur dans le domaine de la convivialité et expert en interaction homme-machine, a publié un long article dans son blog personnel au début de l'année, affirmant que l'iWatch d'Apple est un mécanisme d'authentification parmi toutes les autres fonctionnalités. Il estime que les lectures biométriques sont les meilleures pour une authentification de base.
De plus, pas un mois ne semble passer sans que l'on entende parler d'un nouveau biomatériau qui pourrait peut-être remplacer les mots de passe. Le plus remarquable, bien sûr, est le capteur d'identification tactile de l'iPhone 5S d'Apple. Mais moins d'une semaine après l'annonce de la livraison du nouvel iPhone avec un scanner d'empreintes digitales intégré, des chercheurs en sécurité, amateurs et professionnels, ont collecté des fonds et offert une récompense au pirate qui parviendra à contourner Touch ID en premier. Quatre jours après l'annonce du concours, le célèbre Chaos Computer Club allemand semble avoir déjà gagné. Le fait que la récompense soit effectivement versée n'est pas vraiment important, car les recherches du CCC soulèvent une question bien plus importante : les données biométriques sont-elles vraiment le moyen de remplacer les mots de passe ?
L'avantage de l'authentification battement coeur
Il est bien sûr trop tôt pour condamner l'authentification biométrique, mais le CCC allemand a voulu montrer et a probablement réussi à le faire que les scanners d'empreintes digitales, dont on sait depuis des années qu'ils sont sujets à des erreurs, ne sont pas la solution idéale.
"Nous espérons que cela permettra enfin de briser les illusions des gens sur l'authentification des empreintes digitales. C'est tout simplement stupide d'utiliser comme dispositif de sécurité quelque chose que vous ne pouvez pas changer et que vous laissez constamment derrière vous partout", déclare Frank Rieger, porte-parole du CCC. "Le public ne devrait plus être aveuglé par l'industrie de la biométrie avec de fausses affirmations. La biométrie est avant tout une technologie créée pour supprimer et contrôler, et non pour protéger l'accès aux appareils de tous les jours".
Le CCC est clairement d'avis que la biométrie est mauvaise. Mais seul le temps nous dira si cet avis est généralement correct. Jusqu'à présent, nous n'avons vu aucune de ces méthodes utilisées de manière significative dans l'authentification, mais le CCC a définitivement raison sur un point : les scanners d'empreintes digitales ne sont pas une bonne idée car nos empreintes digitales ne peuvent pas être modifiées et nous les laissons partout et sur tout ce que nous touchons. L'authentification par le battement de cœur est un peu meilleure, car nous ne laissons pas le battement de cœur partout. Mais comme toutes les options biométriques, celle-ci est discutable, car elle ne peut pas non plus être modifiée. Après tout, l'un des rares atouts des mots de passe est que vous pouvez les changer très facilement si nécessaire.