La biométrie comportementale - Une couche discrète de sécurité pour les applications mobiles

Giovanni Verhaeghe, février 27, 2018

Les applications bancaires mobiles et les appareils sur qui elles fonctionnent risquent de plus en plus d'être compromises par les cybercriminels. De nouvelles méthodes sophistiquées d'attaque ont rendu le système classique de nom d'utilisateur-mot de passe carrément obsolète. Même l'authentification à deux facteurs plus sûre mais toujours de base semble insuffisante, car les pirates ont trouvé des moyens de duper les utilisateurs en entrant des codes d'accès dans de fausses interfaces utilisateur.

Le principal défi a toujours été de concevoir un système de sécurité qui est assez dynamique pour contrecarrer les pirates - sans entraver la facilité d'utilisation. Du point de vue de l'utilisateur, constamment avoir à ajouter de nouvelles informations d'identification comme des mots de passe forts et des noms d'utilisateur uniques est un tracas et peut être une raison de passer à un autre fournisseur de services. Il provoque également des raccourcis dans le comportement, par exemple en utilisant le même mot de passe pour plusieurs plates-formes ou en utilisant des mots de passe simples qui sont faciles à rappeler. Cela en soi sape la sécurité, car il est plus facile pour les criminels de trouver des faiblesses à exploiter. Les appareils mobiles sont particulièrement vulnérables car les utilisateurs ont tendance à être moins attentifs à la sécurité qu'ils ne le seraient sur les ordinateurs de bureau ou les ordinateurs portables.

Layers Érigé, Layers Collapse

Comme mentionné sur FinancialIT.net, les couches de sécurité nouvellement ajoutées sont également compromises par les implémentations de buggy ou les faiblesses inhérentes des appareils mobiles et de leurs systèmes d'exploitation. Les cybercriminels sont constamment à l'œuvre pour trouver de nouvelles façons d'exploiter ces vulnérabilités. Chaque hack réussi signifie que les développeurs doivent soit améliorer les couches existantes de sécurité, soit ajouter une nouvelle couche qui contribue à la complexité globale. La technologie n'est pas le seul élément ciblé par les cybercriminels cependant. Ils essaient d'exploiter le manque de connaissances des utilisateurs. Il suffit de l'image de la représentatation des logiciels malveillants, où l'utilisateur est présenté avec un faux écran de connexion. Les types de clients dans leurs informations d'identification et tout code d'authentification envoyé par SMS, tandis que le malware change secrètement le numéro de compte cible, par exemple.

Pour ces raisons, les institutions financières ont, à juste titre, ajouté une sécurité plus discrète à leurs applications, une sécurité qui n'interfère pas avec la facilité d'utilisation. Par exemple, en tenant compte du temps et de l'endroit où les utilisateurs se connectent à leurs applications bancaires mobiles, les banques peuvent rapidement détecter les tentatives de connexion potentiellement suspectes. Si quelqu'un essaie de faire une grosse transaction au milieu de la nuit à partir de l'autre bout du monde, quelque chose n'est généralement pas juste. Bloquer la transaction jusqu'à ce qu'il y ait eu une vérification supplémentaire est la meilleure ligne de conduite. Mais les institutions financières peuvent ajouter plus d'éléments comportementaux au mélange à côté du temps et du lieu. Par exemple, la pression des doigts lorsque vous tapez ou faites glisser l'écran tactile du smartphone, ou la vitesse de frappe. Si quelque chose est éteint, il se peut qu'un appareil a été volé ou que l'utilisateur utilise sans le savoir une commission mise en place par les cybercriminels au lieu de l'application bancaire réelle.

Missing élément de média.

Le comportement en tant que facteur ajouté

Ce type de sécurité est devenu connu sous le nom de biométrie comportementale et peut être ajouté comme une couche supplémentaire aux solutions de sécurité. En capturant la façon dont l'utilisateur utilise généralement l'appareil sur une période de temps, les algorithmes de biométrie comportementale peuvent définir une sorte d'empreinte digitale. Si les actions de l'utilisateur correspondent à cette empreinte digitale, il y a une plus grande probabilité qu'elles soient légitimes et il n'est pas nécessaire d'interférer et peut-être de compromettre l'expérience utilisateur. Cependant, un changement soudain de comportement pourrait indiquer quelque chose de suspect. La banque peut alors intervenir et demander une vérification supplémentaire.

Comme mentionné sur FinancialIT.net, parce que la biométrie comportementale est un moyen discret de vérifier les transactions, le fardeau de la sécurité s'éloigne de l'utilisateur. Normalement, les utilisateurs ne remarqueront pas la couche car elle n'exige pas d'action supplémentaire de leur part. Cela signifie à son tour que le temps passé à authentifier un utilisateur est minimalisé, de sorte que l'utilisateur passe plus de temps à utiliser l'application réelle. Pendant tout ce temps, la session est sécurisée au niveau auquel les utilisateurs s'attendent.

La biométrie comportementale réduit la fraude tout en minimisant l'occurrence de faux positifs. En outre, il ne s'immisce pas dans la vie privée des utilisateurs comme le font la biométrie traditionnelle, comme les bases de données d'empreintes digitales, de scans d'iris ou d'empreintes vocales. Le modèle comportemental d'un utilisateur est stocké comme une équation mathématique qui est inutile pour les criminels à la recherche de données personnelles.

La biométrie comportementale offre une sécurité sur une base transaction-à-transaction. Il ne garantit pas une seule avenue. Il est donc très difficile pour les criminels de surmonter, car il n'y a pas une seule faiblesse qui peut être exploitée. Dans le même temps, l'utilisateur n'est pas accablé par les malaises couches de sécurité supplémentaires apportent normalement avec eux.

Pour plus d'informations sur la biométrie, téléchargez :

Biométrie comportementale : améliorer la sécurité et l'expérience client

L'article suivant, rédigé par Giovanni Verhaeghe, Directeur Market and Product Strategy, VASCO, est paru pour la première fois le 4/04/2018 dans le blog Financial IT.net.

Giovanni Verhaeghe est vice-président du développement corporatif et des opérations matérielles pour OneSpan. Il s'est joint à l'entreprise en 2000 et a joué un rôle déterminant dans la croissance significative de l'entreprise. Giovanni a été directeur de la gestion des produits et des produits de OneSpan et, plus récemment, directeur de la stratégie d'entreprise et des DPI. Il a créé les Centres d'Innovation de OneSpan à Cambridge et bruxelles. Avant de rejoindre OneSpan, Giovanni était IT