Depuis une décennie, je crois, la biométrie comportementale est vantée comme un moyen complémentaire de valider l'identité d'un utilisateur de service en ligne sans impact sur l'expérience. Alors que son déploiement par les institutions financières reste timide, elle s'implante désormais également dans la lutte contre les escroqueries.
D'un côté, un billet d'Akif Khan, analyste chez Gartner, évoque l'intérêt récent montré par ses clients pour le concept avec des questions élémentaires sur son fonctionnement, sa réelle efficacité… L'impression qui ressort de ses propos et qui confirme mes observations (certes limitées) est que le recours aux méthodes comportementales dans le cadre de l'authentification, même en simple appoint de systèmes classiques, est encore loin d'être entrée dans les mœurs et n'est guère perçue que comme une idée de laboratoire.
Rappelons donc à ceux qui auraient raté un épisode ou deux que le principe consiste à exploiter des informations sur la manière dont une personne interagit avec une application – son mode de navigation dans l'interface, ses mouvements de souris ou du doigt, sa fréquence de saisie de texte, sa rapidité ou sa lenteur… – afin de constituer son profil comportemental. Lors de sessions ultérieures, ce dernier permet de vérifier, par comparaison, que le même individu est toujours aux commandes et non un usurpateur.
En dépit de leur immense avantage d'être absolument non intrusifs (sauf en cas de faux positif, le contrôle est totalement transparent pour l'internaute ou le mobinaute), ces dispositifs peinent à séduire les institutions financières. Selon Akif, une raison en serait le surcoût dû à l'introduction d'un composant supplémentaire dans la chaîne de sécurité. Selon moi, il existe aussi un motif « philosophique » sur un mécanisme statistique, non binaire, générateur de doute chez des professionnels de l'exactitude chiffrée.
Pourtant, dans le contexte actuel de fraude croissante, les approches comportementales, qui produisent des résultats mesurables, mériteraient d'être considérées plus sérieusement. Tel est d'ailleurs un des messages qu'affiche Feedzai, fournisseur de solutions de maîtrise des risques pour le secteur financier, en arrière-plan du lancement de sa nouvelle gamme de fonctions ScamPrevent, dédiées à la protection contre les arnaques, qui explosent et provoquent des pertes de plus en plus conséquentes.
En l'occurrence, l'une d'elles propose de repérer dans les actions antérieures à un paiement (par exemple un virement instantané) les indices d'une escroquerie en cours, qui pourrait alors être stoppée à temps. Ce pourrait être l'apparition d'une conduite différente de celle préalablement enregistrée et connue ou bien de gestes formellement identifiés, par un entraînement adéquat sur les cas avérés, comme révélateurs d'une manœuvre malhonnête (notamment ceux exécutés sous la dictée d'un tiers).
Grâce aux progrès de l'intelligence artificielle (ou, plus prosaïquement, de l'apprentissage automatique), la modélisation des comportements, dans tous ses aspects, devient aujourd'hui extraordinairement précise. Parmi ses innombrables applications, celles qui visent à renforcer des mesures de sécurité existantes jamais infaillibles – de surcroît sans aucun impact sur l'expérience client – font certainement partie des plus prometteuses. Il serait temps de les découvrir et les mettre en œuvre à grande échelle !