Les insuffisances de l’authentification multifactorielle alors que les gens du monde entier mélangent travail domestique et professionnel, comment rendre absolument aucune confiance possible et les vulnérabilités de la détection de la vivacité avec reconnaissance faciale faisaient partie des problèmes biométriques et numériques sujets de sécurité abordés par les intervenants aujourd’hui lors de la conférence européenne sur l’identité et le cloud 2021 qui se tient cette semaine à Munich.
La conférence, animée par les experts en sécurité KuppingerCole, couvre les meilleures pratiques de la blockchain, le changement numérique et le système expert et intelligence artificielle en sécurité. Biometric Update apporte une introduction des sujets abordés à travers un choix de conférences et de panels.
Revelock : biométrie comportementale normalisée pour une absence de confiance continue
La normalisation de la biométrie comportementale en fera un composant plus facile à intégrer dans un mélange de sources pour une vérification constante d’un utilisateur, selon Mateusz Chrobok, vice-président de l’innovation chez Revelock (anciennement Bugaroo).
Chrobok déclare que de nombreuses entreprises voient désormais leurs clients uniquement à travers les données – téléphone, navigateur Web, empreintes digitales de l’appareil – et non en vrai la vie, ce qui implique qu’ils comptent sur des sources d’information peu fiables. Chrobok déclare qu’aucun élément ou moteur d’information ne peut être fiable à lui seul et que plusieurs moteurs doivent être utilisés simultanément et continuellement. Pour suivre le rythme des dangers, ils doivent également être continuellement recyclés pour rester efficaces.
Il ne faut pas faire confiance à la biométrie comportementale en elle-même, car elle peut être usurpée. Ils peuvent être utilisés parallèlement à l’analyse comportementale (comment un utilisateur parcourt une interface utilisateur), mais l’analyse générale doit surveiller en permanence une série de sources ou de moteurs pour déterminer le degré de dangerosité d’un comportement ou d’une action actuelle.
« Pour ne plus dépendre d’un seul moteur, vous devez les connecter pour voir comment ils se rapportent du point de vue des séries temporelles, des données », déclare Chrobok.
Avoir simplement plus d’informations sur un individu ne résoudra pas nécessairement le problème, décrit Chrobok, et peut avoir des ramifications supplémentaires sur la vie privée telles que des gyroscopes et des accéléromètres d’appareils utilisés pour identifier le code PIN d’un individu lorsqu’il le saisit, ils peuvent également être piratés et intégrés pour fonctionner comme un type du microphone, des écouteurs sans fil piratés pour recueillir la voix et même déterminer la démarche d’un porteur.
« Il n’y a pas d’ensembles de données normalisés, en particulier pour la biométrie comportementale. Pour la biométrie, il existe des exigences ISO, etc. C’est assez facile à déplacer d’un fournisseur à un autre », déclare Chrobok. Zero Trust nécessitera l’analyse continue de nombreux moteurs en temps réel, qui sont continuellement partagés et recyclés contre les risques émergents.
Le COVID pourrait-il accélérer la fin de la « AMF standard » ?
Un panel de professionnels de l’identité s’est penché sur l’avenir de l’authentification multifacteur (MFA) « traditionnelle » alors que les gens du monde entier mélangent la maison en travaillant avec un retour partiel au bureau.
Le panel a convenu que les mots de passe constituaient une vulnérabilité unique, ainsi que tout autre aspect qui devait être « compris » tel qu’un OTP pour accéder à un réseau ou à une application. Andrew Shikiar, directeur exécutif et directeur du marketing de l’Alliance FIDO, a déclaré que tout ce qui a besoin de compréhension est ouvert à l’ingénierie sociale. Déplacer la sécurité au-delà des mots de passe nécessitera la prise en charge continue des plates-formes pour aider à façonner les habitudes des utilisateurs.
Patrick McBride, CMO chez Beyond Identity a précisé que la biométrie des gadgets de l’utilisateur final, tels que ceux sur un iPhone, est désormais vraiment forte , et une grande partie au sein de MFA, mais une préoccupation essentielle est que les entreprises n’exigent que MFA accède à quelques applications que le personnel utilise, plutôt qu’un accès total. Il a déclaré qu’il ne peut y avoir de confiance zéro tant qu’il y a des mots de passe « sinon, aucune confiance ne sera une idée fausse pour toujours. »
Joni Brennan, président du Digital ID & Authentication Council of Canada, pense qu’en tant que l’innovation intègre la biométrie, l’identité décentralisée et finalement des informations d’identification vérifiables, l’éducation des utilisateurs va être la clé. Elle pense que « MFA est la méthode à suivre », mais avec des facteurs plus puissants et plus forts.
Aux États-Unis, la Cybersecurity and Infrastructure Security Firm (CISA) devrait recevoir 25 millions de dollars de financement fédéral pour aider les entreprises à s’intégrer MFA, tandis que le CISA promeut l’exigence de dépasser le MFA à zéro confiance.
iProov : éclairage géré pour protéger la vérification biométrique
La détection de la vivacité intégrée à la reconnaissance faciale ne suffit plus, selon Tom Whitney, responsable mondial du conseil en solutions chez iProov.
La menace croissante des « attaques injectées numériques » qui contournent l’action de la caméra de détection de vivacité et d’appariement des visages, en insérant une attaque directement dans le flux d’informations, nécessite un tiers action pour « aujourd’hui », confirmation en temps réel que l’individu est une personne réelle et vivante, correspond à la reconnaissance faciale et est là devant la caméra électronique car le profil d’éclairage capturé par la caméra électronique est le même que celui en cours de développement géré par le système iProov.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
