Sécurité informatique : la "biométrie comportementale" va-t-elle mettre fin au casse-tête du mot de passe ?

Imaginez : vous lancez l'application de votre banque, celle de votre carte de crédit ou d'un service de transfert d'argent en ligne. Pas de mot de passe à l'entrée, même pas une reconnaissance du visage ou de l'empreinte digitale, et pourtant, de l'autre côté de l'écran, l'application, le site, le service savent bien que c'est vous qui êtes connecté. Ou, au contraire, que quelqu'un essaye de se faire passer pour vous.

Comment ça marche ? Grâce la biométrie, une signature qui vous est unique, mais pas celle que vous croyez : cette signature, c'est votre comportement, les façons presque infinies d'utiliser un site ou une application. Mises bout à bout, elles constituent la biométrie comportementale, une technologie d'identification en pleine ascension. Des startups spécialisées proposent ainsi aujourd’hui leurs services à toutes sortes de sites bancaires ou d’e-commerce, c'est-à-dire tous ceux qui ont un intérêt immédiat à détecter la fraude avant qu’elle n’arrive. 

Plutôt qu’un simple garde-barrière à mot de passe, que l’on ne rencontre qu’à l’entrée d’un site ou d’un service, la biométrie comportementale promet une notation en temps réel du degré de confiance dans votre identité. D’abord en détectant tout changement suspect : si vous vous connectez d’une nouvelle machine, d’un nouveau smartphone, votre indice de confiance plongera, au moins temporairement. Si vous vous mettez en outre à utiliser le smartphone d’une autre main que d’habitude, si vous utilisez l’application en mode paysage alors que jusque-là c’était plutôt en mode portrait, l’algorithme commencera à froncer le sourcil. Et si vous vous mettez à utiliser l’application comme si vous la découvriez plutôt que d’aller directement dans vos rubriques habituelles, alors le système se mettre à sérieusement douter de vous. “En cas de doute”, explique à LCI Alain Amiel, Directeur du Développement de Biocatch, l'un des leaders du marché, “nous vous enverrons un challenge invisible. Nous désactiverons par exemple la souris quelques secondes, pour voir comment vous réagissez. Ça aussi, c’est une signature.”

Ça, c’est si le système vous connaissait déjà, s’il avait un comportement habituel auquel vous comparer. Mais le procédé fonctionne aussi pour de nouveaux utilisateurs inconnus. “Les fraudeurs qui veulent créer des comptes frauduleux à la chaîne connaissent parfaitement la navigation des sites. Ils savent exactement où ils vont, utilisent souvent des raccourcis clavier et auront tendance à remplir les formulaires par copier-coller plutôt qu’au clavier. En détectant ce genre de comportements, des sites comme American Express font l’économie d’une dizaine de millions de dollars de fraude chaque année”, détaille Alain Amiel. Vitesse de frappe, déplacement de la souris, mode de remplissage d’un formulaire... : au total, ce sont plus de 2000 paramètres qu’utilise Biocatch.

Parmi les clients du procédé, des assureurs, toujours à l’affût de nouveaux moyens de détecter les fraudes à l’heure où 70% des déclarations de sinistres se font en ligne. Idem pour les banques et les sites d’e-commerce qui font la chasse à la “fraude amicale”, c'est-à-dire quand un vrai client effectue un achat puis le déclare comme frauduleux au site et à sa banque pour solliciter un remboursement indu. Là encore, s’il est certain que c’est bien vous qui avez effectué l’achat, le système saura vous confondre. 

Alors, la biométrie comportementale est-elle prête à nous faire passer à l’ère post-mot de passe ? Techniquement, oui. Mais reste encore à convaincre des services habitués à la sécurité version garde-barrière. “Rien ne l’empêcherait vraiment”, sourit Alain Amiel, “c’est culturellement que nous n'y sommes pas encore prêt.”