La biométrie, ou l’art de “mesurer le vivant” à des fins de reconnaissance, d’authentification et d’identification, est particulièrement en vogue actuellement. SYNETIS suit quotidiennement l’actualité autour du monde de la biométrie appliquée à l’authentification.

Quand on parle de “biométrie”, on pense généralement aux empreintes digitales du doigt ou de la main, mais encore à un scanner rétinien ou facial. Or depuis plusieurs mois, de nombreuses évolutions et nouveautés ont vu le jour, certaines d’une grande originalité.

Nous vous présentons par la suite quelques mécanismes insolites d’authentification biométrique qui pourraient devenir des standards dans le futur de demain.

Le bracelet Nimy, authentification 3FA par électrocardiogramme :

La startup Bionym a conçu un bracelet innovant, capable de récupérer l’électrocardiogramme d’un utilisateur pour une authentification 3-facteurs (3FA). L’activité électrique du cœur des utilisateurs est unique, d’où son intérêt pour remplacer les mots de passe traditionnels. Une fois la signature cardiaque d’un utilisateur vérifiée vis-à-vis du propriétaire légitime du bracelet, une autorisation d’accès peut être émise vers un récepteur, une ressource ou un équipement dédié. Les deux autres facteurs qui entrent en jeu en plus de l’électrocardiogramme sont le fait de porter physiquement le bracelet, ainsi que de coupler cet outil avec la ressource protégée. Selon le CEO de Bionym, Karl Martin :

It was actually observed over 40 years ago that ECGs had unique characteristics. The modern research into practical systems goes back about 10 years or so. What we do is ultimately look for the unique features in the shape of the wave that will also be permanent over time. The big breakthrough was a set of signal-processing and machine-learning algorithms that find those features reliably and to turn them into a biometric template.

En plus d’un outil d’identification/authentification, ses fonctionnalités peuvent évoluer vers des actions/commandes réalisées par des gestes. Cette nouveauté n’a pas encore été soumise à un audit de sécurité intensif, mais elle exploite des mécanismes cryptographiques reconnus comme fort au travers de courbes elliptiques. L’outil peut être pré-commandé pour $79, et les livraisons commenceront en 2014.

Cette technique d’authentification par “heartbeats” semble intéresser particulièrement le secteur médical. Notamment pour sécuriser les équipements médicaux implantés. Des chercheurs ont publié un article dédié au H2H “Heart-to-Heart Authentication for Implanted Medical Devices“.

La pilule à ingurgiter émettant un signal :

Google a présenté via sa filiale Motorola de nouveaux mécanismes d’authentification biométrique lors de la conférence WSJ/All Things Digital. La pilule à avaler permet une authentification par simple contact sur un smartphone ou un ordinateur. Ronde et plate, cette pilule intègre une petite puce électronique, qui, une fois dans l’estomac, émet un signal contenant les divers crédentiels de l’utilisateur porteur. Le corps de l’utilisateur devient le vecteur d’authentification dès que l’on se rapproche d’un équipement couplé. Seulement ingurgiter une pilule chaque matin peut freiner de potentiels utilisateurs…

Le tatouage de type code-barre :

Un tatouage sous forme de code-barres, sur l’avant bras, a également été présenté lors de la conférence WSJ/All Things Digital. Conçu par l’entreprise MC10, l’utilisateur n’a qu’à présenter son tatouage à un scanner pour s’authentifier auprès d’un système.Cette autre technique d’authentification, généralement appelée “BioStamps” est principalement destinée au monde médical pour faciliter l’authentification des patients.

Les ondes cérébrales :

Les étudiants et chercheurs sous la direction de John Chuang de l’Université de Californie à Berkeley ont découvert une méthode d’identification/authentification par le biais d’une électro-encéphalographie (EEG). L’idée est d’analyser les ondes électriques cérébrales via un casque “Neurosky Mindset” puis de déchiffrer les signaux au travers d’un programme.Le fonctionnement du casque consiste à penser à quelque chose et l’outil enregistre le signal correspondant, avec un taux d’erreur inférieur à 1% selon les chercheurs. Le principe est aussi bien exploité pour autoriser l’accès à des fichiers sur une machine, que pour l’utilisation au travers de jeux vidéos.

We find that brainwave signals, even those collected using low-cost non-intrusive EEG sensors in everyday settings, can be used to authenticate users with high degrees of accuracy.

Disponible entre $100 et $200, cet outil pourrait devenir un standard dans l’avenir.

Démocratisation de l’authentification biométrique

Certes, ces mécanismes d’authentification biométrique sont encore au stade de prototype ou ne sont pas encore près pour un utilisation à grande échelle. Toutefois la biométrie s’ancre de plus en plus dans le quotidien des utilisateurs.

Autrefois déployée uniquement dans les lieux d’une extrême sensibilité (laboratoires scientifiques, secteur de la défense et des renseignements), les mécanismes d’authentification se démocratisent et sont de plus en plus adoptés par le grand publique. La nouvelle version de l’iPhone d’Apple en est un très bon exemple, avec son lecteur d’empreinte digitale intégré à l’équipement. On peut également citer les rumeurs d’intégrer un scanner rétinien aux futurs smartphones, comme Samsung et son Galaxy S5.

Les services administratifs tendent à intégrer de plus en plus des données biométriques dans les documents officiels, le passeport ou la carte d’identité en sont de bons exemples. Les banques et services de paiements, quant à eux, envisagent d’assurer des transactions “à la tête du client” via reconnaissance faciale.

Enfin, de nombreux éditeurs exploitent le filon pour proposer des solutions aux particuliers et entreprises. Comme c’est le cas de McAfee et Intel, qui présentent des espaces de stockage sécurisés, protégés par une reconnaissance faciale et vocale de l’utilisateur via son ordinateur.

Ces avancés technologiques et nouveaux mécanismes de sécurité deviennent un sujet d’actualité et d’inquiétude. Beaucoup de chercheurs, pentesteurs et pirates s’intéressent à ces solutions. Des concours de hacking dédiés aux systèmes biométriques voient le jour, tout comme des contres-mesures via des consortiums ou encore des fonds d’investissements pour améliorer la sécurité de ces équipements.

Sources & ressources :

• Vers la fin du mot de passe classique ? – ImNotGeek
• Brainwave Passwords Are The Next Futuristic Thing – Redorbit
• Fingerprints, Faces Can Be Faked, But Not Brain Patterns – Redorbit
• Le bracelet Nimy, une solution d’authentification à 3 facteurs utilisant un capteur d’ECG – SecuObs
• Replacing passwords and PINs with your heartbeat – Net Security
• Une pilule ou un tatouage pour ne plus oublier ses mots de passe – Mag Securs
• The hi-tech tattoo that could replace ALL your passwords: Motorola reveals plans for ink and even pills to identify us – DailyMail
• Biométrie… sécurité bon pied bon oeil pour Apple ? – DataSecurity Breach
• Using heartbeats as passwords to secure medical devices – NakedSecurity
• Medical Devices Secured Against Hackers by Using Heartbeats as Passwords – Softpedia
• Des fonds européens pour parer les attaques les systèmes de reconnaissance biométrique – GlobalSecurityMag

Yann

Consultant Sécurité