Vous êtes ici
Doigt, iris, visage : pour nous assurer un accès sécurisé aux ordinateurs et aux services en ligne, de plus en plus de parties de notre corps sont susceptibles de passer au scanner afin de nous authentifier. Or nos doigts révèlent bien plus sur nous que nos seules empreintes digitales… Quelques lettres tapées à la hâte sur un clavier peuvent, par exemple, permettre à la machine de nous identifier. Les techniques d’authentification biométrique ne cessent de s’affiner depuis des décennies. Désormais, les recherches se concentrent sur les interactions homme-machine. Car chacun aurait sa propre façon de manipuler son smartphone ou son ordinateur, à commencer par la manière dont il tape sur un clavier.
Identité frappante
Une nouvelle méthode d’authentification biométrique, surnommée avec humour « frappologie », est apparue en France dès 2007 sous la direction de Christophe Rosenberger et de son équipe du laboratoire Greyc1. L’analyse de la dynamique de frappe au clavier part d’un principe simple : nous possédons chacun une façon unique de taper sur un ordinateur ou un smartphone. Tendance à enfoncer brutalement les touches ou doigts légers et rapides : la dynamique de frappe trahit facilement notre identité. « Pour identifier une personne grâce à son style de frappe, nous mesurons seulement trois paramètres : le temps de pression sur chaque touche, de relâchement ainsi que le temps de vol entre deux touches », précise Christophe Rosenberger, professeur des universités à l’ENSICAEN. Il suffit alors de taper cinq fois son mot de passe personnel pour que le logiciel puisse apprendre la signature de frappe unique à l’utilisateur, à l’aide d’un modèle mathématique. « Lors de l’authentification, la machine compare le style de frappe du mot de passe tapé au modèle enregistré auparavant pour l’utilisateur », ajoute le chercheur.
compare le style
de frappe du mot
de passe tapé au
modèle enregistré
pour l’utilisateur.
Si cette technique peut paraître futuriste, reconnaître quelqu’un à sa façon de pianoter sur un clavier n’a rien de nouveau… À l’époque du télégraphe déjà, des personnes à l’oreille particulièrement affûtée réussissaient à identifier des utilisateurs, grâce au rythme de leur codage en morse. Cette technique fut utilisée pendant la Seconde Guerre mondiale par les Russes et les Anglais, pour démasquer les Allemands se faisant passer pour des alliés via les radios clandestines.
Simplifier les mots de passe
L’analyse de la dynamique de frappe moderne fonctionne aussi bien avec un clavier classique qu’avec un clavier tactile ou même directement sur une page Web. Elle agit comme une seconde porte de sécurité, couplée avec le mot de passe. Dans seulement 6 % des cas, l’analyse du style de frappe échoue, « mais en supposant que la personne connaisse déjà le mot de passe », souligne le chercheur. Une garantie de sécurité à moindre coût, car cette technique n’impose aucun périphérique supplémentaire, contrairement à d’autres méthodes biométriques. « Les ordinateurs n’ont pas tous des capteurs d’empreintes digitales, mais ils ont tous un clavier ! », relève Christophe Rosenberger, qui souligne la simplicité de cette méthode : « Taper un mot de passe est quelque chose de quotidien, d’instinctif. »
Dans la pratique, la frappologie intéresse déjà les services de banque en ligne. « Actuellement, on demande des mots de passe très complexes pour accéder à ses comptes, que la plupart des utilisateurs stockent quelque part sur leur ordinateur, ce qui est peu sécurisé », rappelle le chercheur. En intégrant le style de frappe à l’arsenal de sécurité, les mots de passe pourraient donc retrouver leur simplicité, au grand bonheur des internautes. Fini donc les mots de passe à 15 caractères, intégrant ponctuation, chiffre, caractères spéciaux et majuscules… Grâce à l’analyse de la frappe au clavier, nous pourrons peut-être bientôt conserver en toute sécurité nos mots de passe préférés : date de naissance, « 12345 » ou le très classique « azerty ».
Danse avec la biométrie
À l’instar de la « frappologie », chaque méthode d’authentification, qu’elle soit ou non biométrique, possède ses avantages et ses inconvénients. D’où l’intérêt d’en combiner plusieurs pour chercher à atteindre la sécurité la plus parfaite. Sur smartphone, le pas est déjà presque franchi avec Google. Le géant américain a lancé le projet Abacus, qui vise à supprimer totalement l’utilisation du mot de passe pour déverrouiller un smartphone, en le remplaçant intégralement par des méthodes d’authentification biométrique : reconnaissance du visage, de la voix ou même de la façon de respirer…
À ces paramètres s’ajoute l’analyse de la façon dont l’utilisateur interagit avec son portable, développée par Christian Wolf et Natalia Neverova à l’Insa de Lyon, en collaboration avec Graham Taylor, à l’université de Guelph au Canada. Car, comme lorsqu’il tape un texte, chaque utilisateur a sa propre façon de prendre en main son téléphone ! « Au début, nous n’étions pas sûrs que les données seraient assez efficaces. Mais les résultats montrent finalement que les mouvements sont très corrélés à chaque personne », révèle Christian Wolf, maître de conférences au Liris2, s’appuyant sur les résultats d’une étude préliminaire menée par Google sur 1 500 personnes.
L’analyse de la gestuelle se base sur les capteurs gyroscopiques et l’accéléromètre intégrés dans chaque smartphone (voir illustration ci-dessous). Ils permettent de distinguer finement la rotation et le mouvement linéaire de l’appareil. « Nous avons conçu un modèle mathématique permettant à la machine d’apprendre à identifier les mouvements et donc l’utilisateur, explique Christian Wolf. Basée sur une technique appelée le Deep Learning, le programme est entraîné de manière automatique, à partir d’un grand ensemble de données d’utilisateurs enregistrées par Google. Comme lorsque, dans notre enfance, nous apprenons à distinguer l’image d’un chat, ici la machine apprend à reconnaître une personne via ses mouvements. » Point positif : ce système ne transmet jamais les données personnelles, qui sont entièrement maîtrisées par l’utilisateur. La machine s’adapte à lui et intègre ainsi en permanence de nouvelles données.
Peut-on frauder la biométrie comportementale ?
En prenant en main son téléphone, l’utilisateur n’aura donc plus à entrer de mot de passe, l’appareil se déverrouillant automatiquement. « Si au bout de trente secondes, la machine détecte que ce n’est pas vous grâce aux gestes ou à la reconnaissance faciale par exemple, alors elle se verrouille », précise le chercheur. Une manière de rendre plus confortable la vie quotidienne. Et la fiabilité de ce projet, dit multimodal, paraît presque incroyable… En combinant ces différentes techniques d’identification, l’efficacité est supérieure à celle d’une empreinte digitale ou d’un code PIN.
trente secondes, la
machine détecte
que ce n’est pas
vous, alors
elle se verrouille.
Seulement, tout comme pour un mot de passe classique, se pose la question de la fraude. Est-il possible d’imiter la manière de frapper de quelqu’un, sa façon de tenir son portable ? Ou tout simplement, est-il possible que ces comportements changent au cours de notre vie ? Pour Christian Wolf comme pour Christophe Rosenberger, ces failles sont envisageables, mais il suffit d’affiner l’algorithme de la machine et de le mettre à jour régulièrement.
La biométrie comportementale interroge également la protection de la vie privée. D’autant plus que, à l’instar de la controversée graphologie, l’analyse de la dynamique de frappe pourrait servir au profilage psychologique. « Cela ne marche pas à 100 %, mais nous arrivons quand même à déterminer le genre de l’utilisateur dans près de 80 % des cas », souligne Christophe Rosenberger, qui précise que cela fonctionne également pour l’âge. Si c’est confirmé, la frappologie pourrait alors être utilisée pour repérer les pédophiles sur les sites de chat pour mineurs ou encore pour déceler les faux avis sur les sites de e-commerce… Des techniques « totalement déployables dès demain » ajoute Christophe Rosenberger. En termes d’authentification biométrique, « la machine semble, dans certains cas, dépasser l’homme », conclut Christian Wolf.
Voir aussi
Auteur
Léa Galanopoulo est journaliste scientifique indépendante.