Site icon Sophos News

Authentification multifacteur : une extension Chrome analyse vos schémas de frappe

authentification multifacteur

L’utilisation d’une authentification multifacteur (MFA) est plus sûre que de se fier uniquement aux mots de passe, mais pourrait-elle être encore plus sécurisée ?

Les idées ne manquent pas ! L’une d’entre elles se base sur la dynamique du clavier (ou biométrie), en utilisant l’observation prolongée du style de frappe qui est propre à chaque personne.

Récemment, une startup roumaine appelée TypingDNA a transformé le concept en une extension Chrome gratuite, qui peut être utilisée pour ajouter une couche supplémentaire d’authentification au niveau d’un large éventail de sites web en utilisant ce principe.

Selon l’entreprise, les schémas de frappe permettent à leur algorithme d’apprentissage automatique de générer un vecteur se basant sur 320 caractéristiques, en notant le temps qu’il faut à une personne pour se déplacer parmi 44 caractères couramment utilisés, et ce combiné à la durée d’enfoncement de chaque touche.

Donc, ce n’est pas ce que vous tapez qui compte mais comment vous le tapez.

Une fois inscrite, la façon dont une personne entre son nom d’utilisateur et son mot de passe lors de la connexion à un site est comparée aux enregistrements précédents effectués par l’utilisateur.

Si des correspondances sont trouvées, les serveurs de TypingDNA envoient une clé de chiffrement qui sera utilisée pour déverrouiller les clés locales nécessaires pour chaque service avec lequel l’extension est utilisée, permettant ainsi à l’utilisateur de procéder à une authentification multifacteur conventionnelle.

Cette étape génère un code d’authentification standard unique dans le navigateur, prenant en charge cette tâche à partir d’applications pour smartphones telles que Google Authenticator.

Il s’agit d’une authentification multifacteur améliorée : à savoir, tous les avantages de l’authentification à deux facteurs (2FA) avec un avantage supplémentaire, qui se base sur la façon dont l’utilisateur effectue ses frappes, constituant  une vérification d’identité additionnelle. La cerise sur le gâteau est que la partie liée au 2FA est exécutée dans le navigateur.

De manière impressionnante, l’extension fonctionne avec de nombreux sites web, y compris Google/Gmail, Amazon AWS, Azure, Dropbox, Evernote, Reddit et Facebook.

Les inconvénients ? Outre la prise en charge unique par Chrome, chaque compte utilisateur est destiné uniquement à un ordinateur particulier, car les clés de chiffrement pour les services concernés sont stockées localement. Ajouter un second ordinateur signifie créer un deuxième compte.

En théorie, les faux positifs (où un utilisateur légitime est invité à retaper ses identifiants) sont un autre problème, bien que TypingDNA affirme que ces derniers chutent rapidement à 0,1%, chiffre commun à tous les systèmes biométriques.

La plus grande question est de savoir où cette authentification améliorée ou basée sur le comportement de l’utilisateur va nous mener.

Une possibilité est “l’authentification continue” où le comportement de l’utilisateur est constamment surveillé pour vérifier l’identité d’un individu.

Les exemples incluent le projet américain DARPA qui étudie les “empreintes digitales cognitives”, ainsi que les systèmes commerciaux d’entreprises telles que BehavioSec et BioCatch, qui intègrent également les empreintes digitales du clavier et de la souris.

Ironiquement, certains s’inquiètent que cette technologie puisse éventuellement être utilisée pour profiler les internautes, sans qu’aucun système d’obfuscation (Tor, VPN) ne soient en mesure de la déjouer.

Les chercheurs Per Thorsheim et Paul Moore ont même créé une extension Chrome pour contrer cette possibilité en rendant les schémas de frappe aléatoires.

Pour les utilisateurs préoccupés par la protection de la vie privée, le problème de la biométrie au niveau des claviers n’est peut-être pas un souci concernant la fiabilité, mais au contraire une préoccupation concernant une trop grande efficacité !


Billet inspiré de The Chrome extension that knows it’s you by the way you type, sur Sophos nakedsecurity.

Exit mobile version