La comparaison entre mot de passe et biométrie (les partisans de l’un prédisant la mort de l’autre… et réciproquement) est un débat récurrent mais pourquoi comparer l’incomparable puisque les 2 technologies répondant à la fois à des finalités et des contextes d’usages différents ?

C’est l’objet du post que nous avons publié sur le site Les Echos (Mot de passe et biométrie : pourquoi comparer l’incomparable ? ) où nous nous interrogeons sur les raisons et sur la pertinence de comparer mot de passe et biométrie, 2 technologies qui nous apparaissent incomparables.

Prendre du recul, c’est acter que des informations nous concernant sont récupérables : on peut récupérer un mot de passe à l’insu d’un utilisateur tout comme certaines données biométriques. Tout l’enjeu est donc dans l’implémentation de technologies qui vont permettre de conserver des secrets et garantir la protection des données personnelles.

De même que ce n’est pas le PIN seul qui fait la sécurité d’une transaction, mais son utilisation conjointe avec une carte à puce, de même c’est la combinaison avec un objet personnel  (un téléphone, un élément sécurisé dans un token…) qui donne sa force à l’authentification biométrique. Et l’on se situe bien, dés lors, dans une logique 2 facteurs .

  • “Only by combining attributes of different kinds … with different (no overlapping) sets of vulnerabilities is there a significant increase in resistance to attack and, thus, in authentication strength.[1]” 

Cette implémentation suit les recommandations du Conseil de l’Europe[2] selon lequel « Les données biométriques qui sont uniquement utilisées à des fins de vérification devraient être stockées de préférence sur un support individuel sécurisé de stockage, par exemple, une carte à puce, que détiendrait uniquement la personne concernée. »

Parmi les nombreux enjeux autour de l’authentification forte, figurent notamment ceux de l’évaluation et l’agrément. Car si chacun des éléments de la chaine monétique (objet connecté, terminal de paiement…) fait déjà l’objet de  certifications, les spécifications ouvertes de méthode d’authentification forte sont plus rares. C’est tout l’enjeu des travaux menée par la Natural Security Alliance visant à devenir le standard d’implémentation de l’authentification biométrique multifacteur.

 


 

 

[1] “Defining Authentication Strength Is Not as Easy as 1, 2, 3; Update”, 19 September 2011, Gartner, Inc.

[2] Comité consultatif de la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (T-PD), Conseil de l’Europe, Rapport d’étape sur l’application des principes de la convention 108 à la collecte et au traitement des données biométriques, 2005.