Contrôle d’identité online
Alors que la technologie s’améliore, il devient de plus en plus difficile d’attester qui est qui, notamment sur Internet et avec des méthodes d’identification non traditionnelles.
Des logiciels espions capturent les noms d’utilisateur et les mots de passe. Des boîtiers pirates interceptent les éléments supposés sécurisés des cartes de crédit. Et des citoyens respectueux de la loi sont victimes d’usurpation d’identité en ligne.
Alors que nous évoluons vers cet avenir incertain pour nos identités, des équipes de chercheurs tentent de garder une longueur d’avance sur les escrocs électroniques et d’empêcher les voyous d’accéder aux informations, que ce soit dans le monde réel comme sur les réseaux électroniques.
Dan Bogdanov est chef de projet de recherche chez Cybernetica, société technologique basée en Estonie et partenaire du projet VirtualLife du Septième Programme Cadre de la Commission Européenne, conçu pour créer une plateforme sécurisée du monde virtuel. Cybernetica est également le concepteur du système de vote électronique en Estonie et d’une large gamme de solutions e-Gouvernement.
Les principaux défis auxquels a été confronté M. Bogdanov dans sa recherche de solutions d’identification électronique pour Cybernetica ont été de pouvoir identifier la source des informations ; de savoir si une personne du « monde réel » les avaient vérifiées, et si l’identité de la personne se déclarant comme celle envoyant l’information est vraiment la bonne.
Dans sa quête de vérification d’une identité sécurisée, M. Bogdanov explique qu’une solution fiable consiste à utiliser une communication peer-to-peer. « Quand deux utilisateurs veulent communiquer l’un avec l’autre, ils établissent une connexion réseau directe, négocient un canal sécurisé et se prouvent l’un l’autre leur identité en utilisant la cryptographie à clé publique standard », explique M. Bogdanov. « C’est l’une des meilleures solutions qui existent aujourd’hui. »
Les difficultés inhérentes à l’identification en ligne s’appliquent également dans le monde réel. La société HID Global basée à Irvine, en Californie, pense avoir développé une plateforme technologique capable de surmonter le problème de l’établissement et du contrôle d’identités, d’autant plus que les espaces physiques deviennent de moins en moins délimités et de plus en plus flexibles.
La plateforme TIP (Trusted Identity Platform) est une architecture conçue par HID Global pour le transfert des droits d’accès et l’établissement d’identifications sur des réseaux non sécurisés, tout en maintenant un niveau de contrôle similaire à un système confiné à un bâtiment sécurisé traditionnel.
Avec l’évolution des systèmes, cet enjeu devient en effet de plus en plus important.
Traditionnellement, les systèmes d’accès étaient gérés et sécurisés par le biais de la sécurité physique du bâtiment, explique Daniel Bailin, directeur Gestion de programmes Innovation Stratégique pour HID Global.
« Aujourd’hui, certains veulent enregistrer leur droit d’accès sur leur téléphone, tandis que d’autres veulent avoir un lecteur intégré à leur ordinateur portable. Les anciennes méthodes ne conviennent donc plus dans cette nouvelle ère », poursuit-il. La technologie TIP rend ces méthodes d’identification non ordinaires possibles.
La plateforme TIP est basée sur trois concepts clés : une “Enceinte Sécurisée,” une “Politique de Gestion de Clés” et un protocole technologique permettant de fonctionner sur les réseaux publics.
« Ces systèmes nous donnent la possibilité de modifier les droits d’une carte ou d’un lecteur en dehors d’un bâtiment sécurisé et nous pouvons utiliser tous les moyens non sécurisés par nature », poursuit M. Bailin.
À l’aide de la technologie TIP, des sociétés pourraient en théorie établir une connexion sécurisée avec un téléphone sans fil NFC, par exemple, et installer un droit d’accès dans ce téléphone pour ainsi éliminer la nécessité pour le propriétaire de transporter une carte à puce pour établir une identification réellement sécurisée.
« Le gros avantage compétitif de TIP, ajoute M. Bailin, c’est que la plateforme fonctionne non seulement sur le matériel fabriqué par HID, ce qui était le modèle dans le passé, mais également sur le matériel de n’importe quel autre fabricant. Cela permet ainsi à des équipements terminaux open-source que nous n’avons pas fabriqués de fonctionner malgré tout de manière sécurisée. »
Mais même avec un système open-source, l’établissement sécurisé d’identités nécessite parfois des lecteurs onéreux, ce qui peut devenir trop coûteux pour des institutions de grande taille comptant un grand nombre d’utilisateurs finaux, comme les universités.
De nombreuses universités recherchent donc des méthodes alternatives pour établir de manière sécurisée les identités dans leur espace virtuel. Cela devient d’autant plus important que certaines opérations, comme les examens en ligne, nécessitent obligatoirement la vérification de l’identité de l’utilisateur final.
Des juristes américains ont même légiféré sur ce point dans la dernière version de la loi sur l’Opportunité d’Éducation Supérieure. Cette loi impose aux universités de développer des méthodes sécurisées pour identifier et vérifier les identités des étudiants inscrits dans des classes en ligne et qui passent leurs examens à distance sur ordinateur.
La clé de cette « surveillance à distance » selon les responsables sécurité des universités, est de trouver une solution qui offre un niveau de sécurité plus élevé qu’une simple combinaison de nom d’utilisateur et mot de passe, mais à un coût très bas pour l’utilisateur final.
Une solution émerge actuellement : une approche uniquement logicielle, comme la biométrie de la dynamique de frappe au clavier. Combinée à une technologie associée comme des clics sur souris d’ordinateur, cette méthode permet à un logiciel d’analyser la durée pendant laquelle chaque touche du clavier est enfoncée, le vitesse de frappe d’une combinaison donnée de touches, la façon unique d’utiliser la souris ou d’autres comportements que chaque utilisateur d’ordinateur développe au fil des ans et qui peuvent servir à identifier la personne à qui appartiennent les mains sur le clavier.
L’université Maryland University College (UMUC) a utilisé uniquement ce type de système pendant un programme pilote d’un mois, impliquant 27 étudiants et trois professeurs. Les étudiants volontaires pour ce programme ont utilisé la biométrie comportementale pour s’identifier avant de passer leurs examens en ligne. La plupart des participants ont trouvé le programme efficace, non intrusif et pratique.
D’autres universités explorent des options variées pour se mettre en conformité avec la législation d’identification. Certaines options comprennent l’utilisation de web cams, qui sont désormais pratiquement toujours intégrées sur les nouveaux modèles d’ordinateurs, pour capturer la photographie des utilisateurs, ou même établir une identification par un logiciel de reconnaissance faciale. D’autres envisagent même d’imposer aux étudiants d’acheter des lecteurs d’empreinte digitale USB bon marché pour contrôler régulièrement les identités des utilisateurs pendant le déroulement de l’examen.
Mais l’un des principaux problèmes avec les systèmes biométriques est leur incidence relativement élevée de « faux résultats négatifs » entraînant le rejet d’un utilisateur autorisé, une perspective particulièrement frustrante pour un étudiant en plein examen. Par exemple, plusieurs systèmes utilisant une technologie similaire au programme pilote de l’UMUC sont affectés par des taux de faux résultats négatifs approchant les 4 %, soit beaucoup plus que les systèmes d’identification éprouvés utilisés avec la technologie TIP.