Dans un futur très proche, les PIN et les mots de passe seront les nouveaux trousseaux de grosses clés en fer, une technologie obsolète qui n’était pas particulièrement sûre même lorsqu’on s’y fiait.
A la place, on aura l’impression de vivre dans Minority Report, à devoir cligner des yeux devant un lecteur ou à taper sur un terminal pour payer ses courses à l’épicerie, ses billets d’avion ou encore une nouvelle maison.
Vous pensez que tout cela semble un peu irréaliste ? Ou du moins dans un lointain futur ? Le futur est bien plus proche que vous ne le pensez.
La biométrie pour plus de sécurité
La sécurité biométrique utilise des technologies telles que la technologie des empreintes digitales, les scanners faciaux et même la reconnaissance vocale pour authentifier les utilisateurs et leur permettre d’accéder à une installation ou à un service comme les services bancaires. Elle aide à éliminer les usurpations d’identité en utilisant les caractéristiques physiques d’une personne pour servir d’identificateur, beaucoup plus sûr qu’un PIN ou un mot de passe qui peut être copié ou volé.
Plus tôt ce mois-ci, MasterCard a révélé avoir entamé des discussions avec des banques britanniques pour lancer une carte de paiement biométrique qui comprend un capteur d’empreintes digitales intégré. Pour effectuer un paiement, le titulaire de la carte doit placer son doigt sur le capteur, qui autorise ensuite la transaction.
Cela s’explique en partie par les nouveaux règlements de l’UE visant à lutter contre la fraude bancaire, qui entrent en vigueur dans un peu plus d’un an et qui imposeront aux consommateurs d’utiliser deux méthodes d’authentification pour effectuer un paiement.
Cependant, la fraude est un problème extrêmement coûteux tant pour les banques que pour les consommateurs. Une étude menée par comparethemarket.com l’an dernier a montré qu’une personne sur dix au Royaume-Uni a dû désactiver une carte bancaire au cours de la dernière année en raison d’une fraude et que plus d’un milliard de livres ont été volées sur des comptes bancaires en 12 mois seulement.
Et l’indicateur annuel de fraude estime que la fraude a coûté au Royaume-Uni plus de 190 milliards de livres sterling en 2017, soit une valeur moyenne de 10 000 livres sterling par famille britannique. La majeure partie de la fraude est perpétrée contre le secteur privé, mais nous en payons tous le prix à long terme.
Les consommateurs se méfient de la fraude, mais aussi de la lenteur des processus d’identification ; ils veulent que leurs transactions soient aussi simples que possible. De tels développements technologiques pourraient-ils finalement déjouer les escrocs et les empêcher de voler des identités ou s’agit-il simplement des derniers produits d’une éternelle course à l’armement ?
Généralisation de la biométrie faciale dans peu de temps
Stan Swearingen est directeur général d’IDEX, le fournisseur de technologie biométrique pour MasterCard. Il est persuadé que les cartes à empreintes digitales seront disponibles dans tout le Royaume-Uni d’ici un an ou deux, et qu’il pourrait même y avoir une solution similaire pour les achats en ligne sécurisés dans un proche avenir.
“Quand on parle de l’avenir. Quand on regarde la commodité et la sécurité, et ce que cela fait à l’expérience, je crois que c’est l’avenir. Il y a des essais partout dans le monde et l’année prochaine, on prévoit le déploiement de millions d’unités. Physiquement, la carte est liée à vous, personne ne peut regarder par-dessus votre épaule et voler votre mot de passe.”
Susana Lopes, chef de produit pour la biométrie faciale à la société de vérification d’identité Onfido, est d’accord pour dire que cette technologie va se généraliser dans un très court laps de temps. “D’ici 2020, on estime que la plupart des transactions qui comportent un risque nécessiteront un contrôle d’identité impliquant une certaine forme d’authentification biométrique.”
“Les consommateurs voient déjà la technologie biométrique en action, même si ce n’est qu’à ses débuts : Ant Financial, la branche des services financiers du géant du commerce électronique Alibaba, a récemment lancé un service “Smile to Pay” en Chine, où les clients de certains détaillants peuvent payer avec leur visage. Le FaceID d’Apple est un autre exemple précoce.”
La biométrie peut réduire le risque de fraude courante, par exemple le vol de PIN et le clonage de cartes, mais les créateurs des nouveaux systèmes reconnaissent qu’ils pourraient être piratés par des escrocs particulièrement tenaces.
Swearingen déclare que le vol d’identité avec empreintes digitales relève d’un niveau de complexité à la James Bond : ” Si quelqu’un voulait usurper une empreinte, il faudrait d’abord qu’il obtienne une empreinte digitale latente de haute qualité, puis qu’il l’applique à une substance, peut-être de la gélatine, puis à son doigt pour l’utiliser devant un commerçant.”
Cela pourrait peut-être être fait, mais ce ne serait pas pratique, on ne pourrait pas le faire sur plusieurs comptes. Même si c’était possible, l’analyse en fond signalerait qu’il s’agit d’un comportement inhabituel de la part de l’acheteur. Quand vous combinez tout cela, c’est une offre de sécurité irrésistible.”
“Aussi intelligents que l’on soit, les malfaiteurs sont tout aussi intelligents. Il y a beaucoup de gens intelligents des deux côtés, je pense que ce sera une course à l’armement constante.”
“Mais on arrive à un point où la fraude ne serait pas possible à grosse échelle.”
Avec d’autres nouvelles technologies, cela pourrait jouer un rôle important dans la protection des consommateurs contre les risques de fraude plus quotidiens, explique Lopes : “Les escrocs aiment commettre des fraudes à grande échelle ; mais en introduisant des mesures comme des tests de vie, cela devient plus difficile.’’
“Un test de vie consiste à lire 3 chiffres générés au hasard pour confirmer être vivant, ce qui empêche les tentatives d’usurpation, comme l’utilisation d’une photo d’un visage provenant d’Internet pour tromper la technologie”.
Les nouveaux risques de la biométrie
La biométrie n’est pas une solution miracle et certains commentateurs suggèrent qu’elle comporte de nouveaux risques. Omri Kletter, responsable des solutions de lutte contre la fraude à l’agence NICE Actimize, déclare : “La biométrie présente de nombreux avantages ; cependant, elle n’est pas parfaite, car elle rend la carte plus chère (ce qui peut avoir un impact global sur les coûts opérationnels), nécessite un processus d’inscription [et] expose des risques énormes en cas de violation de données et d’attaques informatiques”.
Son organisme se concentre sur l’amélioration des algorithmes d’apprentissage automatique et le profilage des clients comme mesure supplémentaire pour détecter les fraudes. Après tout, il y a beaucoup de fraude parce que la victime elle-même est dupée en donnant de grosses sommes d’argent ou en autorisant des paiements incorrects. “Alors que les méthodes d’authentification sont de plus en plus avancées (et étendues, la biométrie en étant un bon exemple), les utilisateurs de cartes peuvent être encore plus vulnérables à l’ingénierie sociale, aux escroqueries et aux manipulations qu’une authentification avancée ne peut arrêter.
“C’est pourquoi, tout en adoptant ces nouvelles formes d’authentification, nous devrions également développer une approche plus étoffée basée également sur l’analyse.”
David Emm, chercheur principal en sécurité au Kaspersky Lab, a une préoccupation plus opérationnelle : ” Il y a un inconvénient majeur à l’utilisation de la biométrie. Les données biométriques stockées par un fournisseur de services sont aussi précieuses qu’une base de données contenant des noms d’utilisateur et des mots de passe. À mon avis, elles devraient plutôt être utilisées pour confirmer notre identité, avec un mot de passe (ou un autre mécanisme, ou idéalement plus d’un) utilisé pour confirmer cette identité. Si je choisis un mauvais mot de passe et qu’il est compromis, je peux le changer : si mon empreinte digitale est compromise, je ne peux rien y faire”.
Il est très évident que certains des esprits les plus brillants du monde se concentrent sur l’amélioration et le renforcement des protections contre la fraude. Il est frustrant de constater que certains des autres esprits les plus brillants s’efforcent de contourner ces protections. La biométrie est une étape importante et sera bientôt banale, mais elle ne signifie pas encore la fin de la fraude.