Biométrie comportementale et réseaux de neurones

Cloud

MFA, Step-Up, … Non il ne s’agit pas de nouvelles activités sportives à la mode.

Authentification multi-facteurs (MFA) et authentification graduelle

Non, il ne s’agit pas non plus d’authentifier des identités avec un nouveau facteur en remplacement du simple mot de passe. Il s’agit plutôt d’élever et/ou d’adapter le niveau d’authentification sur la base de certains critères, au-delà du premier mode d’authentification utilisé (en général le mot de passe).

Ainsi, si l’on considère qu’une identité évolue dans un contexte à risque ou inhabituel, un second facteur d’authentification pourra lui être demandé (MFA), tant pour renforcer l’authentification primaire, que pour confirmer qu’elle est bien qui elle prétend être lors d’une opération sensible par exemple (Step Up).

Une authentification basée sur le risque intègre ainsi un moteur qui va calculer le niveau de risque en fonction de critères liés notamment au contexte dans lequel évolue l’identité. Notez qu’on ne parle plus uniquement d’utilisateurs, ce qui sous-entend que l’on pourrait intégrer pourquoi pas ici également : les objets connectés (au sens large), les applications, les capteurs, les robots, les machines, … En fait, tout type d’identité digitale.

Les critères utilisés pour modéliser le contexte peuvent être de plusieurs natures : la géolocalisation, l’heure, l’adresse IP, l’empreinte du terminal utilisé, les propriétés (attributs) même de l’identité, …

Si les concepts sont connus depuis quelques années déjà, ceux-ci se démocratisent de plus en plus, notamment auprès du grand public et pas seulement en entreprise.

Biométrie comportementale

Rien de nouveau sous le soleil donc… Sauf que… Tout porte à croire que ce n’est qu’un début. De façon notable, les critères qui déclenchent la MFA tendent de plus en plus à utiliser une « Intelligence Artificielle (IA) » pour analyser le « comportement » des identités.

Quelques exemples : la vitesse de frappe sur le clavier, les mouvements de la souris, les opérations effectuées au cours d’une « session », une succession d’événements, un parcours de navigation, … Il est devenu indéniable que nous produisons de plus en plus d’informations pouvant être utilisées entre autres pour analyser nos comportements.

IBM Security Trusteer Pinpoint Detect incorpore la détection cognitive de la fraude avec l’introduction de fonctionnalités de biométrie comportementale

Ainsi, si l’on se limite au cas des utilisateurs humains, des algorithmes vont déterminer si nous sommes bien qui nous prétendons être en analysant notre comportement. Dans le cas de la frappe sur le clavier, il s’agit par exemple d’analyser la vitesse de frappe, le temps entre chaque lettre tapée, les fautes de frappe et les corrections, le temps entre la dernière lettre tapée et la touche « Entrée », le bruit du clavier en fonction des touches tapées, … Tout ce qui pourrait semble-t-il définir, non pas ce que nous savons, possédons ou sommes, mais ce que nous faisons et la façon dont nous le faisons. Et ainsi constituer un second facteur d’authentification, forte… Vaste sujet avec beaucoup de débats à la clé sur l’intelligence et la capacité des machines à analyser et comprendre nos sentiments et les impacts qu’ils peuvent avoir sur notre comportement.

Vitesse de frappe sur le clavier et son des touches[1]

Authentification continue et Intelligence Artificielle

Au-delà d’un court processus d’apprentissage, il est alors possible d’analyser le comportement tout au long d’une session par exemple. Ainsi, on parlera d’authentification continue, plutôt que d’une simple authentification multi-facteurs à un instant T.

Nous proposons dans cet article d’étendre les cas d’usages d’IA et de réseaux de neurones pour authentifier les utilisateurs non pas sur la base de facteurs physiques mais comportementaux.

L’idée est de classer les identités par groupes, sous forme de réseaux de neurones. Un comportement suspect pourrait se traduire par une différence suffisamment grande entre le comportement historique (acquis au préalable en phase d’apprentissage) et le comportement actuel d’une identité. Toute suspicion sur une identité pouvant déclencher des modes d’authentification forte complémentaires.

Classification par réseaux de neurones (Self-Organizing Map)

En supposant que le comportement humain ne diffère pas de façon fondamentale du jour au lendemain, le système d’authentification peut accepter les changements sans remise en cause et adapter sa connaissance du comportement des identités. Tant que A reste dans sa « classe », il est toujours considéré comme étant A. C’est la capacité des machines à « accepter » le caractère humain des utilisateurs, et à adapter l’image qu’ils en ont, notre comportement n’étant pas exactement identique dans le temps. C’est aussi la force des réseaux de neurones d’apprendre et d’adapter la classification à force d’apprentissage.

Toutefois, si A passe soudainement dans une classe éloignée, il peut être nécessaire de déclencher un second facteur d’authentification. L’objectif n’est pas forcément de bloquer, mais de contrôler un accès ou une opération, puis adapter la classification comportementale réalisée par l’IA : accepter que les hommes puissent changer.

A contrario, si notre utilisateur a exactement le même comportement dans le temps, cela peut également faire l’objet d’une suspicion d’usurpation d’identité par vol d’empreinte comportementale, dans le sens où il est très peu probable qu’une personne tape par exemple un même mot exactement de la même façon dans le temps.

On pourrait aussi identifier des classes comme étant frauduleuses et tout comportement qui s’en rapprocherait serait suspicieux.

Un autre cas d’usage que nous proposons consiste à détecter ou reconnaître qui se cache derrière une tentative d’usurpation d’identité. Quelqu’un prétend être A, mais son comportement est celui de B…

Limites et évolutions

Dans le domaine de la biométrie comportementale, si les faux positifs et les faux négatifs sont malgré tout significativement plus importants par rapport à un mode d’authentification forte physique (empreinte digitale, …), il a été démontré que ceux-ci tendent à se réduire quand on combine les modes d’authentification comportementale (ex : vitesse de frappe + son des touches). Sans compter les progrès réalisés autour de la collecte et du traitement des informations. Ainsi, la biométrie comportementale semble être un mode d’authentification alternatif ou complémentaire à la biométrie physique de plus en plus fiable, même s’il reste encore du chemin à faire.

Quand le mot de passe est maintenu comme mode d’authentification primaire, celui-ci est de nos jours de plus en plus renforcé par des techniques d’authentification forte de nature physique comme l’empreinte digitale. Demain, de nouveaux modes d’authentification forte liés au comportement des utilisateurs seront proposés. Les machines qui étudieront nos comportements le feront de façon extrêmement scientifique notamment au travers de réseaux de neurones. Les défis de la recherche et de la science consistent alors à modéliser ce qu’il y a de plus humain en nous, nos comportements, nos sentiments, notre état. Mais souhaitons-nous vraiment prendre cette voie ?

[1] Dozono H., Nakakuni M., Itou S., Hara S. (2010) The Adaptive Authentication System for Behavior Biometrics Using Pareto Learning Self Organizing Maps. In: Wong K.W., Mendis B.S.U., Bouzerdoum A. (eds) Neural Information Processing. Models and Applications. ICONIP 2010. Lecture Notes in Computer Science, vol 6444. Springer, Berlin, Heidelberg

Auteur
En savoir plus 
Security Associate Partner
IBM France
Au cours de ces 15 dernières années, Vanik s'est spécialisé dans la gestion des identités et des accès en réalisant et pilotant plusieurs dizaines de projets chez ses clients. Selon son expérience, ce domaine n'a cessé de renaître de ses cendres et a ainsi connu plusieurs cycles, chacun portant un thème particulier : les référentiels centralisés d'identité, le provisioning de comptes, la synchronisation de mots de passe, le SSO, les comptes à privilèges, la gouvernance des identités, l'authentification multi-facteurs, IDaaS, consumer IAM, ... L'émergence de l'IoT, de l'Intelligence Artificielle et de la Blockchain sont autant de sujets qui le poussent à croire que l'Identité est et restera au coeur des problématiques de sécurité au moins pour les 15 prochaines années : identité des objets, biométrie comportementale, identité décentralisée... Tels sont les prochains défis que les entreprises devront relever.
En savoir plus 

Livres blancs A la Une