Depuis une dizaine d'années, les spécialistes affirment que les systèmes d'authentification traditionnels, à base d'un identifiant et d'un mot de passe plus ou moins complexe, sont condamnés à disparaître face à la croissance exponentielle de la cybercriminalité. Ils sont pourtant toujours en vigueur dans la plupart des banques, le seul ajout « récent » étant l'introduction d'un deuxième facteur pour les opérations sensibles, pour lequel l'usage quasi-généralisé du SMS n'est désormais plus considéré fiable.
Pendant la même période, plusieurs entreprises – startups et acteurs historiques de la sécurité – ont développé des mécanismes alternatifs fonctionnant par une analyse continue du comportement de l'utilisateur, mais ils sont restés dans l'ombre, surtout depuis l'engouement suscité par les dispositifs biométriques. Les défauts de ces derniers et, surtout, l'impossibilité pratique de les substituer entièrement au vieux mot de passe conduisent (enfin !) une compagnie d'assurance américaine, Aetna, à s'y intéresser.
Son CISO (directeur de la sécurité de l'information) estime clairement que le principe du mot de passe est maintenant obsolète. En conséquence, ses applications mobiles en abandonnent totalement l'usage et adoptent, en remplacement, un mécanisme d'authentification continue : pendant l'utilisation du logiciel, 30 à 60 paramètres techniques – le smartphone employé, la localisation, l'horaire de connexion, les mouvements des doigts… – sont constamment évalués pour confirmer l'identité du mobinaute.
Cette analyse permanente est exécutée par un algorithme statistique afin d'affecter un score de confiance à la personne identifiée, qui détermine à son tour les autorisations d'accès à différentes fonctions, selon leur sensibilité. Outre le niveau de sécurité élevé obtenu avec une telle approche, un de ses plus grands avantages est d'être parfaitement transparente pour le consommateur… si aucun dysfonctionnement ne vient perturber l'expérience, par exemple en cas d'urgence dans des circonstances exceptionnelles…
En réalité, l'authentification n'est pas complètement invisible, puisque la capture de l'empreinte digitale ou la saisie d'un code PIN fait partie du protocole de diagnostic comportemental. En tout état de cause, il semble important de maintenir une étape « active » de contrôle permettant à l'utilisateur de percevoir concrètement l'existence d'une protection sur l'application et sur ses données personnelles. Par ailleurs, bien qu'il n'en soit pas fait mention, la phase d'apprentissage de l'algorithme requiert, au moins temporairement, de pouvoir accéder au service par un moyen classique.
En comparaison d'autres systèmes biométriques (puisqu'il fait naturellement partie de cette catégorie), celui que privilégie Aetna présente, entre autres, la particularité de ne pas se contenter d'une seule caractéristique physiologique pour remplir son office. Il est ainsi beaucoup moins sensible aux risques d'imposture. Il ne faudrait cependant pas croire qu'il sera longtemps hors de portée des cybercriminels : s'il représente aujourd'hui un substitut crédible aux mots de passe, il faut déjà envisager ses successeurs…