Le problème, c’est que plus le temps passe, plus cette confiance s’éloigne. Alors, comment être sûr que c’est toujours la même personne qui est encore connectée. On peut éventuelement lui redemander de s’authentifier, la confiance reviendra, mais de la même manière, au fur et à mesure que le temps passe, on perdra de nouveau cette confiance. Dans ce contexte, des risques liés à l'usurpation d'identité, tels que le vol de données où encore l'application de modifications malsaines sur les existants, ne sont pas à exclure. On comprend alors mieux pourquoi il est important de sécuriser l'authentification, sachant en plus qu'elle fait partie de l'un des maillons faibles de la chaîne d'accès aux systèmes d'information.
Il existe différentes méthodes d'authentification :
- L’authentification basic : Elle est basée sur un secret partagé. On demande à la personne ce qu’elle sait : un mot de passe, un code PIN, un mécanisme de questions/réponses, et on vérifie qu’on a bien connaissance de ces mêmes informations.
- L’authentification forte : On rajoute à l’authentification basic des contraintes :
- Qui elle est : On va contrôler par exemple ses empreintes digitales, vocales ou encore faciales.
- Qu’est-ce qu’elle possède : on va lui demander par exemple une carte à puce, un token de connexion, une carte RFID...
- L’authentification adaptative : On rajoute à l’authentification forte des conditions de connexion :
- Quand peut-elle se connecter : dans quels créneaux horaires, combien de temps…
- D’où elle se connecte : Depuis un réseau connu, de quel endroit… On adapte l’authentification en fonction du contexte de connexion de la personne.
- L’authentification continue : On rajoute à l’authentification adaptative, des conditions de vérification :
- Ce qu’elle fait
- Comment elle le fait. On contrôle ses actions pour construire une empreinte biométrique comportementale qu’on pourra ensuite comparer à d’autres pour s’assurer que c’est la bonne personne qui est connectée.
La biométrie comportementale, basée sur des technologies de machine learning (IA), regroupe l’ensemble des techniques permettant d’identifier une personne en fonction de son comportement. Dans le domaine de l'authentification, ça peut être sa manière de déplacer sa souris, ses frappes claviers (vitesse, pression sur les touches), sa manière de saisir son mot de passe, etc... Des mesures précises sur ce type de comportements, concertés avec des algorithmes spécifiques, permettent d’identifier des caractéristiques particulières et uniques de la personne et de construire son empreinte biométrique comportementale, son ADN numérique. L’utilisation de cette empreinte rend impossible l’utilisation d’identifiants de connexion usurpés. Les empreintes de toutes les personnes identifiées sont catégorisées et classées de manière à pouvoir les distinguer les unes des autres et approuver ou non leur légitimité. Une plateforme de biométrie comportementale peut collecter en temps réel les données de comportement d'une personne et les comparer à son ADN numérique. En cas de doute, une action préventive sera opérée.
Par
Francis MILLOT