Partager :
Pour lutter contre la fraude et l’usurpation d’identité, le bon vieux mot de passe, l’authentification multifactorielle et la biométrie physiologique semblent parfois dépassés. D’où l’intérêt de l’authentification par la biométrie dynamique qui se base sur le mouvement, la démarche, la frappe sur le clavier…
Empreintes digitales, rétine, paume de la main, système veineux de la main… la biométrie traditionnelle, basée sur des mensurations, dimensions et caractéristiques particulières du corps humain se voit concurrencer par la biométrie comportementale qui promet de nouveaux gisements d’efficacité opérationnelle. Contrairement à la biométrie physiologique dont les caractéristiques physiques sont figées, la biométrie comportementale se fonde sur des caractéristiques comportementales dynamiques : la façon de bouger, la gestuelle de la signature (directions, pressions du tracé, forme…), l’intonation de la voix, la démarche, la frappe sur le clavier, la manière d’utiliser la souris… Lesquelles sont également très personnelles et constituent des moyens physiologiques d’authentification. Objectif : confirmer que l’on est qui l’on prétend être. Aujourd’hui, un grand nombre de smartphones embarquent des procédés de biométrie comportementale pour éviter d’avoir à taper un code. Ainsi les iPhones d’Apple, par exemple, sont-ils capables de reconnaître leur propriétaire même s’il porte des lunettes de soleil ou un masque anti-covid, ce qui n’empêche pas de régler un achat avec la carte bancaire embarquée. À présent, des usages spécifiques et très ciblés ne cessent d’étendre la palette des applications de la biométrie comportementale.
Plus de 3 milliards de cessions sont analysés sur la plateforme chaque mois, soit 230 millions d’utilisateurs. © BioCatch
Combler les failles de la biométrie physiologique
En témoigne la société israélienne BioCatch, fondée en 2011 par des experts de la recherche en sciences cognitives, qui se spécialise dans la lutte contre la fraude et l’amélioration de l’expérience client auprès des banques en ligne. Pionnière dans la biométrie comportementale, l’entreprise compte parmi ses clients, entre autres, American Express, Citi ou HSBC… Usurpation, prise de contrôle du compte bancaire, détection de comptes mules (stratégie cybercriminelle pour extorquer ou blanchir des fonds volés) ou encore détection d’escroquerie par ingénierie sociale… tels sont ses terrains de jeu. « Ces dernières années, le mode opératoire des fraudeurs s’est considérablement sophistiqué. À titre d’exemple, ils ont réussi à obtenir des données de connexion sur le dark web et à s’en servir à la place des utilisateurs, constate Max-David Ghozlan, représentant de BioCatch en France. Nous avons vu aussi des fraudeurs intervenir dans des sessions d’utilisateurs légitimes au moyen des partages d’écrans en se faisant passer pour des employés de leur banque… Et plus récemment, des sessions frauduleuses menées de bout en bout par un utilisateur légitime mais guidé au téléphone par un fraudeur. »
En clair, les solutions de détection classiques sont insuffisantes pour faire face à l’évolution de ces modes opératoires. Sur ce terrain, BioCatch met à la disposition des banques en ligne une plateforme qui -rassemble un panel de solutions de biométrie comportementale faisant, au total, l’objet de 80 brevets. Citons la détection de la moindre différence de comportement de l’utilisateur sur son terminal (frappe sur le clavier, utilisation de raccourcis, mouvements de souris…), que ce soit sur un ordinateur, une tablette ou un téléphone. Ensuite, BioCatch établit un score de prédiction des risques de 0 (plus haut niveau de confiance) à 1 000 (plus haut niveau de risques) parmi une cinquantaine des risques. Chaque mois, la société israélienne analyse ainsi plus de 3 milliards de sessions sur sa plateforme qui rassemble 230 millions d’utilisateurs !
Le tableau de bord de Neomia Pulse donne la possibilité aux utilisateurs d’avoir une vision synthétique de leurs connexions. © Neomia
L’IA pour sécuriser l’analyse en continu de la frappe sur clavier
Répondre aux nouvelles cybermenaces, c’est le crédo de Neomia, créée en avril 2021 au sein du groupe Systancia, éditeur de cybersécurité. Baptisée Neomia Pulse, sa plateforme de biométrie comportementale analyse en continu la dynamique de la frappe sur clavier et les mouvements de la souris de ses utilisateurs afin de sécuriser l’accès au système d’information (SI) des organisations publiques et privées. « Un peu à l’instar des empreintes digitales, le principe est de générer des empreintes biométriques de référence pour chaque utilisateur, une sorte de signature de biométrie comportementale, précise Yannick Boehmann, directeur général de Neomia. La comparaison en temps réel des empreintes dynamiques avec celles de référence permet alors de savoir si l’utilisateur est légitime. Tout en sachant qu’une empreinte n’est pas reproductible à l’identique, du fait de sa nature intangible. »
Pour y parvenir, la filiale de Systancia propose différents niveaux d’authentification. D’abord, l’authentification forte à la saisie lors de la connexion à un système, couplé ou non à un mot de passe. « Depuis sa création dans les années 60, le mot de passe parvient à ses limites. Il fallait trouver en parallèle des alternatives pour sécuriser les connexions », poursuit Yannick Boehmann. Dans le cas de la connexion sans mot de passe (Passwordless), le système demande au salarié de reproduire une série de mots affichés aléatoirement pour l’identifier. Et, pour empêcher les éventuelles usurpations une fois connecté, le système analyse en tâche de fond et en temps réel l’empreinte comportementale de l’utilisateur via un processus d’authentification EN continue. Enfin, pour sécuriser des processus internes à des applications métiers (export de fichiers, e-commande…), Pulse propose l’authentification ciblée. Pour chapeauter le tout, plusieurs algorithmes d’IA à base d’apprentissage profond (Deep Learning) tournent en parallèle afin d’assurer le bon fonctionnement de la plateforme.
Authentification adaptative
Également positionnée sur le créneau des institutions financières, Onespan, créée en 1984, se spécialise dans les solutions d’identité numérique pour lutter contre les fraudes. Son offre, Onespan Mobile Security Suite met en œuvre plusieurs méthodes d’authentification dans le cas de l’ouverture d’une session ou de transactions sur téléphone par les clients d’une banque. Et notamment, dans un premier lieu les plus communes : code pin, envoi par SMS d’un numéro à saisir, appel vocal…), mot de passe à usage unique ou encore géolocalisation… Dans la foulée, l’offre Intelligent Adaptive Authentication d’Onespan combine à son tour IA (apprentissage automatique) et biométrie comportementale, digitale ou faciale. Plus précisément, elle détecte la façon dont un utilisateur tient son téléphone, écrit sur son clavier grâce au profil établi, sans que cela ne vienne interrompre la personne dans l’utilisation de son smartphone.
Erick Haehnsen et Maxence Rysmann
Interface de pilotage du système Kilpi de Sensivic. © Sensivic
Détecter les incivilités, pas les conversations
Basée à Orléans (Loiret), la start-up Sensivic est connue pour Urban Soundscape, son système de détection automatique de bruits anormaux : coups de feu, explosions, bris de glace, attaques à la disqueuse, collisions automobiles, tentatives d’effraction, agressions verbales, cris… Autant de sons qui sortent de l’ordinaire et nécessitent d’envoyer des forces de l’ordre ou de secours. « Agents de banque, hôtesses d’accueil, vendeurs en stations-services… nos systèmes servent à protéger les professionnels susceptibles d’être victimes d’incivilités, souligne Pascale Demartini, PODG de Sensivic, créée en 2015. Notre dispositif est à l’écoute de l’ambiance sonore dans l’environnement d’accueil. »
Autrement dit, Sensivic détecte dans la voix une comportement qui devient agressif. L’équipement n’accèdent pas à la compréhension des mots que prononce l’agresseur mais le changement du rythme de la voix, son niveau sonore et la manière de s’exprimer. Et ce, quelle que soit la langue employée. Du coup, l’agent agressé n’a pas besoin d’appeler à l’aide en appuyant sur un bouton de détresse. Le détecteur de Sensivic s’en charge en envoyant une notification au système de sécurité. En clair, cette biométrie comportementale à des fins de sécurité-sûreté est compatible avec le Règlement général sur la protection des données personnelles en Europe (RGPD).
« Nous avons déjà installé une centaine de nos systèmes essentiellement dans le secteur bancaire, reprend Pascale Demartini. Nous sommes en train de porter ce système sur smartphones et tablettes de sorte à protéger les équipes mobiles sur le terrain. » De quoi intéresser les agents de sécurité dans les supermarchés, les agents placiers dans les stades, les vendeurs dans les grands magasins ou les contrôleurs dans les trains… Une contrainte : le portable doit être placé à l’extérieur, pas dans la poche.
Erick Haehnsen
Commentez