Authentification, l’essor des solutions digitales et vocales
Les moyens d’identification et d’authentification ne cessent de se diversifier. Outre les traditionnels badges ou l’utilisation grandissante du smartphone, des solutions vocales et digitales voient désormais le jour sur le marché du contrôle d’accès.
Clé biométrique, l’alternative digitale
Déverrouiller son smartphone par le biais d’une empreinte digitale est entré dans les habitudes ces dernières années. Le monde de la sécurité n’échappe pas à cette tendance. Preuve en est avec la clé biométrique KeoPass.
Conçue et fabriquée en France, cette solution se matérialise sous la forme d’un boîtier de la taille d’une clé de voiture. Lancé sur le marché en 2020, il n’aura fallu que quelques mois à ce produit pour recevoir une première distinction majeure, en étant notamment primé sur le salon ExpoProtection 2021 dans la catégorie « Cyberprévention ». En l’espace de deux ans, les entreprises utilisant cette technologie se multiplient.
Celle-ci concerne d’ailleurs divers secteurs d’activités : du domaine agricole à la défense, des transports à l’énergie en passant par les collectivités.
Contrôle d’accès physique et logique
Cette clé sert de solution aussi bien pour le contrôle d’accès physique que logique. Sur le premier aspect, ce boîtier peut remplacer le traditionnel badge d’accès physique. Il est ainsi possible de s’en servir pour s’authentifier et permettre l’ouverture d’une porte sécurisée, quelle que soit la technologie de contrôle d’accès utilisée.
Dans l’usage, l’utilisateur entre ses dix empreintes digitales dans cette solution.
La clé ne peut alors s’activer que lorsque l’une de ces empreintes est reconnue. Une personne qui n’est pas propriétaire de cette clé n’a donc pas la possibilité de s’en servir.
L’utilisateur entre ses dix empreintes digitales dans la solution. La clé ne peut s’activer que lorsque l’une de ces empreintes est reconnue. Crédit photo : KeoPass.
Contrairement à un badge, présenter cette clé devant une tête de lecture ne permettra pas de franchir une porte si elle n’a pas été préalablement activée par une empreinte identifiée.
Sur le plan logique, la solution KeoPass s’applique aux ordinateurs, smartphones et tablettes. Plus particulièrement pour le déverrouillage des sessions ou encore comme solution d’identification sur les applications et les sites internet.
Dans les deux cas de figure, la clé biométrique se connecte à l’ordinateur de diverses manières : en NFC, RFID, Bluetooth mais également par branchement USB. Lorsqu’elle est connectée, les empreintes de l’utilisateur final sur le terminal du boîtier permettent alors de remplacer la traditionnelle saisie des mots de passe mais également d’en générer si besoin.
Dans le sens inverse, la session se verrouille de manière automatique lorsque la clé s’éloigne de l’ordinateur ou de l’appareil auquel elle est connectée.
RGPD et sécurisation
Dès lors qu’il s’agit de biométrie, et qu’importe sous quelle forme celle-ci se présente (faciale, digitale ou vocale), la première question est de savoir si la solution est « RGPD compatible ».
Le numéro 584 de Face au Risque sur « La reconnaissance faciale » (juillet-août 2022) expliquait d’ailleurs les spécificités à respecter sur les données pour rester dans le cadre légal fixé par la Cnil.
Selon Hervé-François Le Dévéhat, président et fondateur de KeoPass, la réflexion autour du RGPD a été opérée en amont. La clé biométrique KeoPass est en effet « Secure by Design », autant sur le côté matériel du produit que dans sa partie logicielle. Preuve en est : la moindre tentative d’ouverture physique du boîtier entraînerait un effacement automatique des données et de la biométrie présentes en son sein, d’après notre interlocuteur.
S’agissant de la question primordiale des données, l’intéressé nous a précisé que la biométrie est analysée par la clé et n’en sort jamais. Aucune communication n’existe de fait entre les données de la clé et les autres composants matériels ou logiciels auxquels elle serait raccordée (lecteur de badges, imprimante, ordinateur, applications, sites internet…). Cet aspect décentralisé de la biométrie permettrait ainsi de répondre aux préconisations de la Cnil.
À noter par ailleurs que pour éviter le déverrouillage via une empreinte falsifiée ou volée, cette solution recoupe treize points de biométrie. La plupart du temps, les capteurs sur smartphones ne possèdent que deux points de biométrie, confie Hervé-François Le Dévéhat.
Quid de la biométrie vocale ?
À l’instar de l’authentification digitale, la biométrie vocale progresse ces dernières années. Il serait question d’un marché mondial florissant, qui reste malgré tout restreint, voire inexistant en Europe et en France en raison du RGPD selon Jean-François Kleinfinger, président de Whispeak, entreprise spécialisée dans l’authentification biométrique vocale.
D’un point de vue technique, cette technologie est en évolution. Si à une époque il était possible de piéger les algorithmes avec un banal enregistrement vocal ou des applications de deep fake, les moyens d’identification et d’authentification ont été renforcés par les concepteurs de solutions.
L’identification et l’authentification par la voix passent en premier lieu par un enregistrement vocal de l’utilisateur via un logiciel. Crédit photo : Whispeak.
« Dans une même authentification, on reconnaît un facteur de possession (smartphone ou autre), un secret partagé (une phrase à lire) et un facteur d’inhérence (voix de l’utilisateur détectée et reconnue à la lecture de la phrase) » nous précise-t-on chez Whispeak. Au sein de cette entreprise, le processus se fait en deux étapes : l’utilisateur parle au moins six secondes pour être identifié. Puis il doit répéter oralement une phrase qui s’affiche à l’écran durant le même laps de temps.
Cette phrase peut être totalement aléatoire et changée à chaque identification si l’utilisateur le souhaite. La méthode est sensiblement similaire chez Vivoka, également spécialisée dans la signature vocale.
Florian Guichon, chief operating officer au sein de cette entreprise, nous confirme d’ailleurs que « l’usurpation de la voix ne peut pas se faire sur la tournure de la phrase grâce au côté “dynamique” : si le client le souhaite, la phrase change tout le temps. Donc ce n’est pas uniquement votre voix qui compte, mais aussi la phrase. Il faudrait alors que l’usurpateur prononce les bons mots, avec tous les critères d’une voix, au bon moment, dans une précision absolue… Dans ce cadre-là, ceci est impossible. »
Comme pour la biométrie digitale, les potentiels cas applicatifs concernent tout aussi bien le contrôle d’accès physique que logique.
Digital ou vocal, quelques contraintes d’utilisation
Comme toute solution, l’identification par biométrie digitale ou vocale présente des limites d’usage. Il est par exemple impossible de s’identifier avec les doigts mouillés ou avec un gant pour ce qui est de l’application digitale.
De même, l’identification peut s’avérer délicate oralement dans un environnement bruyant ou avec une transformation de voix (rhume ou extinction de voix par exemple). Cela est susceptible de déboucher sur un faux négatif. Autrement dit: l’usager est le bon mais il n’est pas reconnu immédiatement par le logiciel en raison de son changement de voix.
Reste donc à chaque utilisateur de définir le modèle d’identification biométrique le mieux adapté à son environnement.
Article extrait du n° 585 de Face au Risque : « Communication de crise » (septembre 2022).
Eitel Mabouong – Journaliste
Les plus lus…
Le secteur du nettoyage industriel étant particulièrement exposé aux risques d’accidents du travail ou de maladies professionnelles, l’entreprise SafetyKleen…
Le 3 décembre dernier, le ministère de la Transition écologique a adressé aux préfets l’instruction fixant les actions prioritaires…
Grâce à une résistance chimique, une durabilité et une solidité supérieures, les polyamides renforcés se distinguent en tant…
Le monde de la sûreté et de la sécurité incendie évolue, et avec lui, les technologies connectées. Grâce à…
La tempête Martin, qui a touché une large moitié sud de la France fin décembre 1999, a provoqué une…
Un essai de feu sur batteries lithium réalisé pour France Assureurs s’est tenu sur le site de CNPP à…