Quand on met tous ses œufs dans le même panier, on a tendance à vouloir s’assurer qu’ils y sont en sécurité. C’est un peu ce que nous faisons tous au quotidien avec nos smartphones. Nos contacts, nos échanges et autres communications, nos documents, tout se retrouve dans ces appareils qu’on promène avec nous mais risque à tout instant d’oublier, de perdre ou de se faire voler.
Il est donc essentiel de faire en sorte que l’accès au contenu du smartphone soit sécurisé. A l’heure actuelle, les méthodes de sécurisation des appareils informatiques se rangent en trois classes :
- celles qui font appel à un savoir (code PIN ou mot de passe)
- celles qui font appel à un élément qu’on possède (clé sécurisée physique, ou générateur de token)
- enfin, celles qui font appel à ce que l’on est, la biométrie.
Faux positifs et faux négatifs
C’est cette dernière classe, de plus en plus populaire car plus sûre et facile à utiliser, que Google a décidé de renforcer avec Android O (8.1) et P, la future version de son OS mobile. Les ingénieurs de la société de Mountain View ont donc développé une fonction d’anti-spoofing afin de faire en sorte que les mécanismes d’authentification biométrique soient plus sûrs.
Google utilisait jusqu’à présent deux métriques pour le système d’authentification biométrique d’Android, hérités du Machine Learning, les FAR et FRR, les faux positifs et les faux négatifs. A savoir quand votre smartphone se déverrouille alors que ce n’est pas une personne autorisée qui cherche à l’utiliser ou qu’il refuse de vous donner accès, alors que vous êtes son propriétaire légitime.
Selon la société américaine, au regard de ces critères, aucun des outils biométriques n’est assez précis pour faire la distinction à coup sûr entre des données biométriques entrées par l’utilisateur et celles fournies par un éventuel attaquant. Certains systèmes sont ainsi programmés pour être plus tolérants et accepter plus facilement les faux positifs.
Deux nouveaux critères
Google annonce donc avoir introduit deux nouveaux critères dans Android 8.1 pour renforcer la sécurité biométrique : SAR et IAR, respectivement pour Spoof Accept Rate et Imposter Accept Rate. On pourrait les traduire Taux d’acceptation d’usurpation et taux d’acceptation d’imposture. Leur objectif est de mesurer avec quelle facilité un attaquant pourrait contourner un outil d’authentification biométrique. Le premier sert ainsi à distinguer votre visage ou votre empreinte d’une bonne photographie de vous ou de votre doigt, par exemple ; tandis que le second fait le même travail pour une tentative de vous ressembler ou de vous imiter, que ce soit pour l’apparence ou la voix.
SAR et IAR permettent ainsi de définir si une méthode de sécurité biométrique est forte ou faible. En dessous de 7% de SAR et IAR, un processus est jugé solide, au-dessus de ce score, il n’est pas considéré comme un standard approprié.
L’application au quotidien
Google explique ensuite comment fonctionnera ce nouveau contrôle au quotidien. Ainsi, les procédés, que leur sécurité soit jugée supérieure ou inférieure à ce seuil de 7% (qui pourra être revu à l’avenir), pourront déverrouiller votre smartphone ou un service. Néanmoins, si un système biométrique n’est pas assez sûr ou est jugé comme risquant d’être potentiellement floué, Android se montrera plus exigeant en fonction du contexte :
- Si l’appareil est resté inactif pendant quatre heures, le temps de charger par exemple, Android demandera à l’utilisateur de saisir le code PIN, un mot de passe ou d’utiliser une solution biométrique forte.
- Si l’appareil a été inutilisé pendant 72 heures, ces exigences seront appliquées pour les méthodes biométriques faibles et fortes.
- Enfin, pour plus de sécurité, les utilisateurs qui se sont authentifiés avec une solution biométrique jugée faible ne pourront pas réaliser de paiements depuis leur smartphone ou réaliser des transactions qui impliquent d’accéder à KeyStore, le coffre-fort où Android stockent les clés de chiffrements sur votre appareil.
Evidemment, ces mesures de sécurité renforcées n’auraient pas de sens si les développeurs de l’écosystème Android n’étaient pas encouragés à sécuriser davantage leurs applications. Google met donc à leur disposition une API dédiée, qui permettra d’intégrer des mécanismes d’authentification plus solide, qui bloqueront totalement les authentifications trop faibles.
Avec ces nouveaux outils, Google entend clairement renforcer la sécurité des appareils qui fonctionnent sous Android O (8.1) et P (à venir), un moyen de compliquer la tâche des voleurs de smartphones et aussi des forces de l’ordre qui voudraient accéder à un appareil sans le consentement de son utilisateur.
Source :
Blog Sécurité de Google
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.