L'Agence de presse de l'innovation

Pour que la biométrie comportementale fonctionne correctement, il lui faut acquérir le signal qui vient de la personne, en extraire les éléments significatifs et les classer afin de composer une signature unique.

© Luke Southern / Unsplash

La biométrie comportementale en voie vers la maturité

Avec force intelligence artificielle, la biométrie comportementale tente de s’imposer dans la vérification de l’identité des utilisateurs des services en ligne. Point fort, elle mesure en continu la façon d’utiliser une machine (PC, smartphone, tablette). Le tout sans mot de passe ni empreintes digitales ni reconnaissance faciale. Reste que ces technologies sont généralement employées sans l’acquiescement des utilisateurs.

Article publié sur InfoProtection.fr le 6 mai 2021.

Vous travaillez à distance. Vous vous connectez au système d’information de votre entreprise. Vous consultez l’application de votre banque ou celle de votre organisation… À chaque fois, vous devez saisir pléthore de mots de passe ou autres codes PIN pour vous authentifier. Bonne nouvelle : ce scenario pourrait bientôt prendre fin grâce à la biométrie comportementale. Du moins, c’est ce que promettent les startups de ce secteur. « Au lieu d’essayer de vous authentifier par le visage, les empreintes digitales ou la voix, la biométrie comportementale utilise des algorithmes qui analysent votre manière de marcher, la gestuelle de votre signature ou votre mode d’interaction avec un ordinateur, un smartphone ou une tablette », explique Bernadette Dorizzi, professeur émérite à Télécom SudParis.

la-biometrie-comportementale-verifie-votre-identite-en-analysant-en-continu-votre-mode-d-interaction-avec-un-ordinateur-un-smartphone-ou-une-tablette.
La biométrie comportementale vérifie votre identité en analysant en continu votre mode d’interaction avec un ordinateur, un smartphone ou une tablette. © Andrew Neel / Unsplash

Contre l’usurpation d’identité

« Si je me lève en laissant mon ordinateur ouvert, une personne mal intentionnée pourrait s’en servir et usurper mon identité. La biométrie comportementale promet d’y remédier. Mais, pour l’heure, elle est peu utilisée car elle manque de fiabilité. Les taux d’erreur atteignent 50 % à 60 %, poursuit Bernadette Dorizzi. C’est normal. Lorsqu’on est fatigué, malade ou énervé, notre frappe sur le clavier, notre façon de marcher peuvent changer. Pour que la biométrie comportementale puisse fonctionner correctement, il lui faut acquérir le signal qui vient de la personne, en extraire les éléments significatifs et les classer afin de composer une signature unique. » Bref, les mécanismes de la biométrie comportementale réclament une grande quantité d’informations et des algorithmes très efficaces pour les traiter. Dans la pratique, cette méthode se développe surtout sur le créneau des interactions en continu avec un ordinateur, une tablette, un smartphone. Ou, davantage, sur celui des services en ligne (banque, e-commerce…). Depuis quelques années, les progrès technologiques connaissent une accélération fulgurante.

2 000 paramètres pour s’assurer de votre identité

Citons la société israélienne BioCatch, créée en 2011 à Tel Aviv (Israël). Pionnière de la biométrie comportementale associée à la lutte contre la fraude et l’usurpation d’identité en ligne, cette entreprise mise sur l’intelligence artificielle (IA) pour déduire l’identité des utilisateurs en analysant plus de 2  000 paramètres comportementaux physiques et cognitifs. De quoi prendre en charge différents cas d’utilisation tout au long du cycle de vie de l’identité numérique. Cofondateur de BioCatch avec Benny Rosenbaum, Avi Turgeman se basait déjà sur la théorie selon laquelle les gens interagissent avec les machines de manière unique et mesurable alors qu’il travaillait pour les services de renseignements militaires israéliens. Fort de ses années d’expérience dans le piratage informatique étatique, la gestion de la vulnérabilité des systèmes d’information et les opérations cyberterroristes, Avi Turgeman s’est intéressé aux fraudeurs en ligne et à leurs signatures identifiables. Principales applications : la protection de l’ouverture de nouveaux compte, notamment bancaires, la protection contre les tentatives de prise de contrôle des comptes et la détection des attaques par ingénierie sociale.

pour-que-la-biometrie-comportementale-fonctionne-il-lui-faut-acquerir-le-signal-qui-vient-de-la-personne-en-extraire-les-elements-significatifs-et-les-classer-afin-de-composer-une-signature-unique.
Pour que la biométrie comportementale fonctionne correctement, il lui faut acquérir le signal qui vient de la personne, en extraire les éléments significatifs et les classer afin de composer une signature unique. © Luke Southern / Unsplash

Un milliard de sessions numériques protégées par mois

« Les méthodes d’authentification en ligne doivent changer, en particulier à la lumière du risque de sécurité accru inhérent à l’accès à distance. Avec la biométrie comportementale, nous surveillons passivement les sessions numériques du début à la fin. Tout en éliminant les frictions qui freinent les utilisateurs de la banque en ligne dans un contexte cybercriminalité croissante, estime Howard Edelstein, PDG de BioCatch. Depuis une dizaine d’années, nous avons collectés 150 millions de profils numériques anonymisés d’utilisateurs. C’est pourquoi nous pouvons détecter les anomalies rapidement et avec une grande précision. Même sans collecter les données à caractère personnel. » Forte de ces arguments, BioCtach a levé l’année dernière 145 millions de dollars auprès de Bain Capital Tech Opportunities, Industry Ventures, American Express Ventures, CreditEase, Maverick Ventures et OurCrowd. Surtout elle a déployé ses solutions dans plus de 40 grandes banques et autres institutions financières dans le monde, dont American Express. Désormais, elle analyse plus d’un milliard de sessions numériques par mois.

les-fournisseurs-de-systemes-de-biometrie-comportementale-devront-se-conformer-aux-reglementations-sur-la-protection-des-donnees-personnelles
Les fournisseurs de systèmes de biométrie comportementale devront se conformer aux réglementations sur la protection des données personnelles. © Sigmund Quusek / Unsplash

Des connexions via API

Dans le sillage du succès de BioCtach, quelques startups s’engouffrent dans la brèche de la biométrie comportementale à l’échelle industrielle. Citons la start-up new-yorkaise Socure qui affirme que ses solutions sont capables de vérifier à 95 % la véracité des informations saisies lors du processus d’inscription pour ouvrir un compte. De quoi convaincre Microsoft Azur, la division Cloud du géant Microsoft, d’intégrer les services de vérification d’identité de la startup à sa propre solution Microsoft Azure Active Directory (Azure AD) dans le cadre du travail à distance. De son côté TypingDNA, basée en Roumanie et à New York, se concentre la reconnaissance des personnes par leur façon de taper sur leur clavier (PC/ordinateur portable ou mobile). À l’instar de ses consœurs, TypeDNA propose à ses clients de connecter leur plateforme à la sienne via une interface de programmation applicative (API).

Concilier biométrie comportementale et respect des données personnelles

« Avec la biométrie comportementale, le contrôle de sécurité est certes moins perçu comme une intrusion. En revanche, l’utilisateur est pisté sans qu’il le sache », soulève Bernadette Dorizzi. C’est justement sur le thème de combiner biométrie comportementale et respect des données personnelles que veut s’illustrer la startup suédoise BehavioSec. D’ores et déjà, elle prétend se conformer au Règlement européen sur la protection des données à caractère personnel (RGPD) mais aussi à la Directive européenne sur les services de paiement [Payment Services Directive (PSD2)] ainsi qu’au protocole sécurisé de paiement sur Internet 3D Secure. La biométrie comportementale pourrait même être prête pour de futures législations comme l’arrêt Schrems 2 de la Cour de justice de l’Union européenne. Lequel invalide le système du Privacy Shield qui autorisait le transfert de données personnelles vers les États-Unis et obligeait également les responsables de traitement informatique à repenser les transferts de données personnelles et leur encadrement. « Les fournisseurs de technologies doivent travailler en collaboration avec les pouvoirs publics et les entreprises pour garantir une meilleure protection et une meilleure expérience aux consommateurs ainsi qu’aux employés, tout en restant conformes aux réglementations en vigueur », insiste Neil Costigan, PDG de BehavioSec qui, par ailleurs, a décroché les certifications SOC2 Type 1 (Service Organization Control et ISO 27001 (sécurité des systèmes d’information). C’est lorsque la technologie encontre le juridique que sonne l’heure de la maturité.

© Erick Haehnsen