Qu'est-ce que la biométrie ?
Les données biométriques sont des caractéristiques physiques ou comportementales qui sont uniques à chaque personne et sont utilisées pour authentifier un individu afin qu'il ait accès aux applications et aux autres ressources du réseau. Les empreintes digitales, les modèles faciaux, les modèles de balayage, les rythmes de frappe ou la voix sont des exemples d'identifiants biométriques. L'authentification biométrique est un composant populaire de l'authentification multifactorielle (MFA) car elle combine un défi d'authentification fort avec une expérience utilisateur à faible friction.
Selon Wikipédia, "les identifiants biométriques sont souvent classés en caractéristiques physiologiques ou comportementales. Les caractéristiques physiologiques sont liées à la forme du corps. Les exemples incluent, sans s'y limiter, les empreintes digitales, les veines de la paume, la reconnaissance du visage, l'ADN, les empreintes de la paume, la géométrie de la main, la reconnaissance de l'iris, la rétine et l'odeur/le parfum" La biométrie comportementale est liée à un modèle de comportement, comme le rythme de frappe d'une personne, ou la façon dont elle tient ou fait glisser son téléphone.
La biométrie est de plus en plus utilisée dans les applications bancaires mobiles, ce qui permet aux clients de se connecter facilement et d'ajouter un niveau de sécurité supplémentaire. Les systèmes biométriques ne dépendent pas du fait que les informations biométriques, telles que l'image de votre visage, soient secrètes. Contrairement aux mots de passe et aux codes PIN, les données biométriques ne peuvent être ni oubliées ni partagées et il est plus difficile de les copier ou de les voler.
Comment fonctionne la biométrie ?
Un système biométrique comporte trois éléments différents. Il doit y avoir un capteur pour enregistrer et lire vos informations biométriques, comme une empreinte digitale. Lorsque vous utilisez vos informations biométriques pour accéder à votre téléphone portable, il doit y avoir un ordinateur qui stocke en toute sécurité les informations biométriques pour comparaison. Le troisième composant est un logiciel permettant de connecter le matériel informatique au capteur
Biométrie statique et biométrie comportementale : quelle est la différence ?
Biométrie statique
La biométrie statique utilise des caractéristiques physiques, telles que la numérisation d'une empreinte digitale ou la reconnaissance faciale, pour déverrouiller des téléphones portables, se connecter à des comptes bancaires ou effectuer des transactions.
Voici les principaux types de biométrie statique utilisés pour vérifier votre identité :
- Le logiciel dereconnaissance faciale analyse la distance entre vos yeux et la distance entre votre menton et votre nez pour créer un modèle numérique crypté de votre visage. Lors de votre authentification, le logiciel de reconnaissance faciale scanne votre visage en temps réel et le compare au modèle numérique stocké en toute sécurité dans le système. Les systèmes de reconnaissance faciale avec "détection active de la vivacité" vous obligent à bouger la tête, à cligner des yeux ou à effectuer d'autres mouvements. La détection de l'état vivant peut également être passive, c'est-à-dire qu'elle s'effectue en coulisse à l'aide d'algorithmes qui analysent les échantillons biométriques pour y déceler des signes indiquant qu'ils ne proviennent pas d'une personne vivante, comme la détection de papier, d'écrans numériques ou de découpes dans un masque imprimé en 3D. Une détection forte de la vivacité permet de s'assurer que c'est bien le client qui présente son échantillon biométrique au système, et non un attaquant qui tente de se faire passer pour lui dans ce que l'on appelle une attaque par présentation.
- Lareconnaissance des empreintes digitales est l'une des formes les plus populaires, sinon la plus populaire, d'authentification biométrique utilisée sur les appareils mobiles. Il a été popularisé à l'origine par le Touch ID d'Apple. Un lecteur d'empreintes digitales analyse les crêtes et les motifs de votre empreinte digitale et les compare au modèle numérique stocké de votre doigt pendant l'authentification. La reconnaissance des empreintes digitales peut changer si votre doigt est mouillé ou sale. Il est difficile pour un attaquant de reproduire l'empreinte digitale d'une personne lorsqu'un système de reconnaissance d'empreintes digitales est doté d'une forte détection de la vivacité afin de prévenir les attaques de présentation, qui pourraient utiliser un modèle 3D ou une fausse image.
- Reconnaissance de l'iris : Il existe deux méthodes de balayage des yeux pour authentifier l'identité d'une personne. Lors d'une scintigraphie rétinienne, une lumière est projetée brièvement dans l'œil pour montrer la configuration unique des vaisseaux sanguins de l'œil. En mettant en correspondance ce motif, l'outil de reconnaissance des yeux peut comparer les yeux d'un utilisateur avec un original. Lors d'un scan de l'iris, les anneaux colorés présents dans l'iris sont scannés. Dans certaines utilisations, la reconnaissance des yeux peut être aussi rapide et précise que la reconnaissance des visages, mais il peut être difficile d'obtenir un échantillon pour la comparaison à la lumière du soleil lorsque les pupilles se contractent. La reconnaissance de l'iris peut également être moins fiable lorsqu'un client porte des lunettes.
- Lareconnaissance vocale analyse le son unique de la voix d'une personne, qui est déterminé par la longueur de son conduit vocal et la forme de son nez, de sa bouche et de son larynx. L'analyse de la voix d'une personne est une méthode d'authentification solide, mais un rhume, une bronchite, d'autres maladies et le bruit de fond peuvent déformer la voix et perturber l'authentification.
- Lareconnaissance de la géométrie du doigt utilise la géométrie 3D du doigt pour la vérification de l'identité
Dans l'ensemble, les éléments biométriques statiques sont considérés comme un moyen sûr d'authentifier les clients et devraient inclure la détection de la vivacité pour lutter contre les empreintes digitales ou les photos falsifiées lors d'une attaque de présentation.
Biométrie comportementale
La biométrie comportementale analyse vos habitudes et vos mouvements uniques pour créer un modèle de comportement qui peut être reconnu lorsque vous tapez ou lorsque vous tenez votre téléphone. Comme la biométrie statique, la biométrie comportementale ajoute une autre couche de sécurité pour vérifier votre identité.Selon FinancialIT.net, "cette technologie de pointe utilise des capteurs de mouvement et l'intelligence artificielle pour identifier des comportements uniques, comme la façon dont un téléphone est tenu. Elle est largement considérée comme la dernière frontière en matière de sécurité."
Voici les principaux types de biométrie comportementale :
- Lerythme des frappes analyse la manière et la vitesse de votre frappe pour déterminer des schémas distinctifs. La pression exercée par les doigts lors de la frappe peut également être mise en relation avec un modèle reconnaissable.
- Lafaçon dont vous tenez votre téléphone analyse l'angle selon lequel vous tenez votre téléphone et la main dominante que vous utilisez lorsque vous utilisez votre téléphone. Les biométries comportementales comprennent également la façon dont vous glissez votre téléphone et avec quelle main.
- Votre démarche, ou votre façon de marcher, est également un trait comportemental qui peut être étudié pour trouver un modèle. En outre, l'heure et le lieu habituels de vos connexions et de vos transactions peuvent également être intégrés dans un modèle comportemental.
La biométrie comportementale est une expérience transparente pour les clients, mais un défi pour les fraudeurs, car chaque individu a un profil spécifique de ses habitudes et de ses mouvements. Avec la biométrie comportementale, la session d'un utilisateur est surveillée en permanence de sorte que si, à un moment donné, elle est interrompue ou potentiellement détournée, le système peut le reconnaître et prendre les mesures appropriées pour prévenir la fraude avant qu'elle ne se produise.
Comment la biométrie protège contre la fraude financière
Les institutions financières utilisent les données biométriques aux fins suivantes
- Pour la vérification de l'identité numérique lorsqu'un client ouvre un nouveau compte à distance
- Pour l'authentification du client (lors de la connexion ou pour une authentification continue tout au long de la session bancaire)
- Pour l'authentification des transactions (afin de s'assurer que le propriétaire légitime du compte est bien la personne à l'origine de la transaction)
Les consommateurs sont de plus en plus à l'aise avec la biométrie et beaucoup choisissent d'utiliser une empreinte digitale ou une reconnaissance faciale, par exemple, comme moyen d'authentification et de vérification de l'identité auprès de leur institution financière. La biométrie ajoute une couche supplémentaire de sécurité et contribue à élever le niveau de confiance des clients envers leur institution financière. Touch ID d'Apple, introduit en 2013, a contribué à l'essor de la biométrie dans les services bancaires mobiles, car il fournit aux institutions financières une technologie basée sur un appareil qu'elles peuvent utiliser pour sécuriser leur plateforme bancaire mobile.
De même, Android Fingerprint ID permet aux utilisateurs de vérifier leur identité avec une empreinte digitale sur certains appareils Android. Javelin affirme que les consommateurs exigent un choix d'authentification. Pour plus d'un tiers des utilisateurs, les trois méthodes d'authentification qu'ils souhaitent le plus que leurs institutions financières prennent en charge sont toutes des modalités biométriques. Javelin note également que, alors que l'on s'attendrait typiquement à ce que les consommateurs qui souhaitent un choix biométrique soient concentrés parmi les plus jeunes, environ 40 % d'entre eux ont plus de 55 ans
Comment la biométrie permet une authentification forte des clients
La biométrie fait partie d'un processus d'authentification multifactorielle (AMF), dans lequel plusieurs technologies peuvent être utilisées pour authentifier l'identité d'une personne lorsqu'elle se connecte à une session bancaire ou effectue une transaction financière. Pour réaliser une authentification multifactorielle (AMF), il faut utiliser au moins deux facteurs d'authentification différents. Les facteurs d'authentification comprennent :
Quelque chose que vous savez
Il s'agit généralement d'un mot de passe, d'un code PIN, d'une phrase de passe ou de questions avec leurs réponses correspondantes.
Quelque chose que vous avez
Il peut s'agir d'un code PIN à usage unique ou de votre smartphone avec une application d'authentification qui génère un code d'accès à usage unique en coulisse.
Quelque chose que vous êtes
Il peut s'agir d'empreintes digitales, de scans de la rétine, de reconnaissance faciale, de reconnaissance vocale ou du comportement d'un client (comme la vitesse ou la force avec laquelle il tape ou glisse sur un écran) qui peuvent être utilisés pour vérifier un client unique.
Par conséquent, l'utilisation d'un code PIN avec reconnaissance faciale est une authentification multifactorielle parce qu'elle combine quelque chose que vous savez et quelque chose que vous êtes, alors que l'utilisation d'un code PIN avec un mot de passe ne serait pas considérée comme une authentification multifactorielle parce qu'il s'agit simplement de deux choses que vous savez.
Comment la biométrie contribue à la protection contre la fraude financière
L'utilisation de la biométrie dans le cadre de l'authentification forte du client (SCA) ou de l'AMF peut contribuer à atténuer différents types d'attaques frauduleuses. Lorsque les fraudeurs s'introduisent numériquement dans un compte bancaire pour en prendre le contrôle, ils utilisent souvent des tactiques telles que le phishing pour persuader les gens de révéler par inadvertance leurs identifiants de connexion. Il en résulte une prise de contrôle des comptes, qui constitue une menace majeure pour les institutions financières et leurs clients en raison des pertes financières et des efforts d'atténuation qu'elle implique. La biométrie peut aider à arrêter les attaquants au point d'accès (connexion) en demandant un scan d'empreinte digitale ou un scan facial. L'attaquant ne pourra pas s'authentifier avec succès et sera empêché de s'introduire dans le compte d'une autre personne. En outre, la détection robuste de la lividité et la détection de l'usurpation d'identité rendent la tâche encore plus difficile aux attaquants. L'attaquant ne pourra pas imiter les données biométriques d'un client légitime et sera empêché d'accéder au compte.
Comment la biométrie aide à prévenir la fraude lors de l'ouverture d'un compte à distance
La biométrie joue également un rôle dans la prévention de l'usurpation d'identité lors du processus d'ouverture de compte à distance. Aujourd'hui, grâce à COVID-19, de nombreux consommateurs évitent les visites inutiles dans les agences bancaires. Même lorsqu'un nouveau demandeur n'est pas face à face avec un représentant de la banque, celle-ci doit vérifier que le demandeur distant est bien le propriétaire légitime d'un document d'identité, tel qu'un passeport ou un permis de conduire. C'est essentiel dans la lutte contre la fraude aux demandes.
Les données biométriques font partie de ce processus. Par exemple, la comparaison faciale est utilisée pour la vérification de l'identité, afin de s'assurer que le demandeur distant est bien celui qu'il prétend être. Une fois l'authenticité du permis de conduire, du passeport ou de toute autre pièce d'identité délivrée par le gouvernement vérifiée, le demandeur est invité à prendre un selfie avec son appareil mobile. Lorsqu'un selfie est utilisé pour la reconnaissance faciale, la détection de présence peut être appliquée pour prouver une véritable présence humaine.
Il existe deux types de détection de la vivacité pour identifier si un trait biométrique provient d'une personne réelle ou est une représentation numérique ou fabriquée. La détection active de la vivacité exige qu'une personne cligne des yeux ou tourne la tête, tandis que la détection passive de la vivacité fonctionne en coulisse et utilise des algorithmes pour détecter les signes d'une usurpation potentielle. Les technologies de comparaison faciale utilisent des algorithmes avancés pour examiner les données biométriques des traits d'une personne. Par exemple, la position et la taille des yeux d'une personne les uns par rapport aux autres peuvent être utilisées pour déterminer si le selfie et la pièce d'identité délivrée par le gouvernement proviennent de la même personne
Comment la biométrie améliore l'expérience client
L'utilisation de la biométrie permet aux clients d'interagir plus rapidement et plus facilement avec leur institution financière. La biométrie est un moyen d'authentification plus sûr que les mots de passe, qui sont souvent volés ou oubliés. La biométrie peut accroître la confiance des clients dans leur institution financière, car il est beaucoup plus difficile pour les fraudeurs de réussir en utilisant une fausse empreinte digitale ou un faux selfie. Des expériences positives avec la biométrie pour la vérification de l'identité lors d'une ouverture de compte à distance et pour l'authentification du client lors de la connexion peuvent également accroître la fidélité et la confiance des clients envers leur institution financière.
Il convient de noter que les modèles biométriques peuvent apprendre au fil du temps, de sorte que les modifications des caractéristiques d'une personne dues au vieillissement sont prises en compte et n'invalident pas une correspondance. Lorsqu'un utilisateur s'authentifie régulièrement, de petits changements d'apparence ne seront pas suffisamment significatifs pour invalider la correspondance. Au lieu de cela, le modèle mathématique d'une personne sera mis à jour à mesure que des changements d'apparence seront reconnus.
Ce que les analystes disent de la biométrie
Selon Gartner, "l'authentification biométrique ne peut pas et ne dépend pas du secret des caractéristiques biométriques, mais repose plutôt sur la difficulté d'usurper l'identité de la personne vivante qui présente la caractéristique à un dispositif de capture ("capteur") - c'est-à-dire une attaque de présentation". Gartner ajoute que ce point n'est pas largement connu, ce qui conduit à certaines idées fausses courantes, renforcées par la détection limitée des attaques de présentation (PAD) dans les appareils grand public et la publicité sur les attaques réussies contre Apple Touch ID, les capteurs de Samsung, la reconnaissance faciale Android, etc. Selon Gartner, les avantages de l'authentification biométrique pour les clients ont entraîné une augmentation des applications bancaires mobiles au cours des dernières années.
Juniper Research a estimé que le matériel de reconnaissance faciale, tel que Face ID sur les iPhones récents, sera la forme de matériel biométrique pour smartphone qui connaîtra la plus forte croissance. Il devrait atteindre plus de 800 millions en 2024, contre une estimation de 96 millions en 2019. La nouvelle recherche, intitulée Mobile Payment Authentication : Biometrics, Regulation & Forecasts 2019-2024, note toutefois que la majorité de la reconnaissance faciale des smartphones sera logicielle, plus de 1,3 milliard d'appareils ayant cette capacité d'ici 2024
MarketResearch.com note que la lutte contre la fraude bancaire dans le monde numérique nécessite des technologies plus infaillibles. "La biométrie est une arme puissante pour lutter contre la menace croissante des fraudes financières. Cette technologie occupe donc le devant de la scène grâce à des avantages tels qu'une authentification facile et infaillible basée sur des caractères physiques uniques difficiles à reproduire ou à dupliquer (reconnaissance vocale, lecture de l'iris, empreintes digitales et reconnaissance faciale), l'élimination de la nécessité de se souvenir des mots de passe et de gérer des mots de passe à usage unique (OTP), une sécurité renforcée à l'abri des stratégies de cyberpiratage, une commodité inégalée, une réduction significative du risque d'usurpation d'identité, une expérience utilisateur de meilleure qualité, une interface utilisateur minimale ou nulle, un gain de temps et une réduction de la charge de travail liée à l'authentification en back-office, entre autres".
Javelin affirme que le stockage des modèles biométriques localement sur l'appareil d'une personne réduit les risques associés à la compromission des données, que ce soit en transit ou par des acteurs malveillants ciblant un stockage centralisé de données biométriques. "Lorsqu'elle est associée à des normes d'authentification, telles que celles développées par l'Alliance FIDO, l'authentification biométrique locale est presque impossible à hameçonner ou à utiliser à mauvais escient les données interceptées" Javelin note également que "si un individu malveillant est capable d'inscrire avec succès ses propres caractéristiques dans un authentificateur biométrique, alors même la méthode d'authentification la plus sophistiquée lui permettra de passer les défis de sécurité. Par conséquent, de nombreux fournisseurs proposent des outils d'évaluation des risques supplémentaires intégrés à leur plateforme, tels que l'empreinte digitale des appareils et la géolocalisation. D'autres outils, comme la numérisation de documents, offrent des compléments naturels à la numérisation biométrique, qui permet un certain degré de comparaison entre la saisie biométrique de l'utilisateur et l'image figurant sur un document d'identification."
Biométrie et conformité réglementaire
La biométrie aide les organisations à répondre aux exigences d'authentification forte du client (Strong Customer Authentication, SCA) de la deuxième directive sur les services de paiement (PSD2) de l'Union européenne, qui est une réglementation relative aux services de paiement électronique. Selon les exigences du SCA, l'authentification doit être basée sur deux ou plusieurs des facteurs suivants : la connaissance (comme les mots de passe ou les codes PIN), la possession (comme les jetons ou les appareils mobiles) ou l'inhérence (biométrie).
En vertu du règlement général sur la protection des données (RGPD) de l'UE, l'authentification à deux facteurs est requise pour la conformité. Cela signifie qu'une simple combinaison de nom d'utilisateur et de mot de passe ne suffit plus à assurer la protection des données, car les mots de passe peuvent facilement être volés, partagés ou exploités. Au lieu de cela, l'authentification à deux facteurs, ou 2FA, est utilisée pour identifier une personne lorsque deux des trois facteurs d'authentification possibles sont combinés pour accorder l'accès à un site web ou à une application : quelque chose que la personne sait, quelque chose qu'elle possède ou quelque chose qu'elle est, ce qui implique l'utilisation de données biométriques telles qu'une empreinte digitale ou un scan facial.
Aux États-Unis, le principal organisme de réglementation de l'État, le New York Department of Financial Services, a publié un règlement intitulé Cybersecurity Requirements for Financial Services Companies. Elle exige l'utilisation d'une authentification multifactorielle, qui inclut la biométrie, "pour se protéger contre l'accès non autorisé à des informations non publiques ou à des systèmes d'information", les informations non publiques étant les informations privées de l'individu