• Aucun résultat trouvé

D´ efinitions et concepts

Dans le document The DART-Europe E-theses Portal (Page 62-65)

1.4 Authentification implicite

1.4.2 D´ efinitions et concepts

Dans cette sous-section, une d´efinition pr´ecise de l’authentification implicite s’ap-puyant sur l’´etat de l’art est donn´ee. La litt´erature est riche de travaux qui s’int´eressent

`

a l’authentification implicite `a base d’´etudes comportementales. Nous pr´esentons quelques uns de ces travaux. Enfin, les questions de recherche li´ees `a l’authentification implicite sont abord´ees.

1.4.2.1 Implicite vs explicite

Un moyen d’authentification est un processus permettant de s’assurer que l’identit´e d´eclar´ee lors de l’acc`es est bien celle de l’utilisateur (cf. [61]). Traditionnellement un utilisateur s’authentifie en donnant une preuve d’identit´e (cf. [67]). Ce processus est appel´e authentification explicite. Par opposition, l’authentificationimplicite ne demande rien `a l’utilisateur mais ´etudie son comportement, la trace de ces actions et valide ou non l’identit´e d´eclar´ee (cf. Tableau 1.2). Elle est transparente pour l’utilisateur.

Exemple 9 Par exemple sur le tableau 1.2, un mot de passe est entr´e par un utilisateur via le clavier de son ordinateur. Le mot de passe est un moyen d’authentification dit explicite car l’utilisateur est sollicit´e.

Par contre, ce moyen d’authentification est menac´e par les logiciels espions qui enregistrent les touches utilis´ees par un utilisateur sur son clavier.

Dans plusieurs articles (cf.[68], [69], [66], [70], [71], [72], [73] et [74]), l’authentification implicite est avant tout un moyen d’am´eliorer la s´ecurit´e du syst`eme mis en place.

L’authentification implicite est d´efinie plus pr´ecis´ement dans [68] par l’utilisation de donn´ees comportementales et biom´etriques de l’utilisateur par le syst`eme de mani`ere

transparente dans le but de v´erifier le propri´etaire d’un appareil mobile. Le tableau 1.2 est repris de l’article [68] et montre les ´el´ements biom´etriques et comportementaux utilis´es pour faire de l’authentification implicite.

1.4.2.2 Authentification implicite bas´ee sur le comportement des utili-sateurs

Pour que le fournisseur de service puisse garantir la s´ecurit´e lorsque l’utilisateur acc`ede `a un service en ligne, l’utilisateur doit fournir au moins un des trois types d’´el´ements suivant : un ´el´ement qu’il connait (par exemple un mot de passe), un ´el´ement qu’il poss`ede (par exemple une carte `a puce) ou ce qu’il est (par exemple l’empreinte digitale). L’authentification faible (au moins un des ´el´ements cit´es pr´ec´edemment doit ˆetre fourni) et l’authentification forte (combinaison d’au moins deux ´el´ements) ont d´ej`a fait leur preuve et sont largement utilis´ees de nos jours. Nous rappelons que l’authentification implicite est un moyen d’authentification compl´ementaire aux moyens d’authentification classiques. L’authentification implicite, bas´ee sur le compor-tement habituel de l’utilisateur, a montr´e son efficacit´e dans le domaine de la s´ecurit´e notamment sur les appareils mobiles et pourra ˆetre utilis´ee lors de l’acc`es `a tout objet connect´e. L’authentification implicite utilise ce que l’utilisateur est. On suppose que le comportement habituel de l’utilisateur est une caract´eristique biom´etrique. Le comportement habituel satisfait les exigences d’un syst`eme biom´etrique classique. En effet, un syst`eme biom´etrique permet deux fonctions : la v´erification et l’authentifica-tion. Il est possible de v´erifier un comportement grˆace `a son caract`ere habituel. On

´emet l’hypoth`ese suivante : la routine est pr´esente chez la plupart des utilisateurs et est unique. La routine est alors un crit`ere qui permet de reconnaitre un utilisateur et de l’authentifier. Le caract`ere unique de la routine ´etant discutable, l’authentification

`

a base de comportement reste un compl´ement `a d’autres m´ecanismes biom´etriques.

Dans l’´etude [75], les auteurs introduisent les syst`emes de reconnaissance biom´etrique. Ces syst`emes sont bas´es sur une liste des caract´eristiques biom´etriques physiologiques telles que l’acide d´esoxyribonucl´eique (ADN) et la voix, ou comporte-mentales (cf. [76]). Toute caract´eristique biom´etrique doit satisfaire un ensemble de propri´et´es selon [63]. Le syst`eme biom´etrique dans [75] utilise les donn´ees biom´etriques d’un individu et compare ces donn´ees `a un template (profil de l’utilisateur) enre-gistr´e auparavant dans la base de donn´ees du syst`eme. Ce syst`eme a deux modes de fonctionnement qui d´ependent du contexte de l’application : le mode d’identification et le mode d’authentification.

Les syst`emes d’authentification implicite ont tr`es vite ´et´e ´etudi´es pour les t´el´ephones mobiles. Dans [69] et [66] les auteurs ´etudient le comportement des utilisateurs en

se basant sur des variables propres aux smartphones tels que les appels, les sms, la navigation entre les applications, la localisation et l’heure de la journ´ee. Les exp´erimentations ont ´et´e men´ees `a partir des donn´ees de 50 utilisateurs sur une p´eriode de 12 jours. Les donn´ees ont ´et´e collect´ees grˆace `a une application install´ee par des utilisateurs volontaires. Les profils des utilisateurs sont construits `a partir des fr´equences d’´ev´enements positifs ou n´egatifs et de la localisation. Dans ce contexte, un ´ev´enement positif est un ´ev´enement coh´erent avec des informations collect´ees en amont. A titre d’exemple, appeler un num´ero qui se trouve dans le r´epertoire du t´el´ephone est un ´ev´enement positif. Les r´esultats de cette ´etude montrent qu’`a partir d’une dizaine d’actions on peut d´etecter une utilisation frauduleuse d’un smartphone avec une pr´ecision de 95%.

L’article de [71] propose une architecture efficace qui respecte aussi la vie priv´ee des utilisateurs dans un syst`eme d’authentification implicite. Dans [73], le syst`eme d’au-thentification implicite propos´e dans le contexte des appareils mobiles est d´ecentralis´e.

Chaque application authentifie l’utilisateur implicitement. L’´etude de [73] permet d’avoir des r´esultats plus pr´ecis et am´eliore le syst`eme d’authentification implicite.

Les syst`emes propos´es dans la litt´erature sont centralis´es (cf. [69]). En effet, l’appareil mobile authentifie l’utilisateur implicitement.

1.4.2.3 Questions de recherche

L’objectif de cette ´etude est de mettre en place un syst`eme d’authentification implicite comme le montre la figure 1.17 afin de produire de la confiance num´erique.

Pour cela, il est n´ecessaire de :

• Construire un profil utilisateur a partir de son comportement pass´` e par appren-tissage. Dans notre ´etude, nous regardons `a partir de quel moment le profil construit est fiable. Par contre, la mise `a jour du profil ainsi que sa suppression ne sont pas ´etudi´ees ;

• Calculer unscore en utilisant une fonction de comparaison (mesure de distance ou similarit´e) optimale et adapt´ee ;

• Authentifier un utilisateur en fonction de son profil. Le param`etre seuildoit ˆ

etre r´egl´e en fonction d’un niveau de risque accept´e par l’entreprise. Cependant les niveaux de risque ne sont pas trait´es dans ces travaux.

Exemple 10 La figure 1.17 illustre le mod`ele que nous proposons. Sur ce mod`ele, l’authentification implicite se base sur de l’identification. En

? ?

F i g u r e 1.17 – Architecture de l’authentification implicite `a base d’identification effet, l’id´ee est de v´erifier l’identit´e de l’utilisateur ayant un comportement anonyme pour ensuite l’authentifier.

Dans le document The DART-Europe E-theses Portal (Page 62-65)