Discussion :

[Stan Adkens]

A l’avenir, vos réactions cérébrales pourraient devenir des mots de passe
Car elles sont uniques et vous n’aurez rien à retenir

L’évolution technologique a fini par connecter la quasi-totalité des dispositifs électroniques faisant de chaque appareil un point accès potentiel à la vie privée de son possesseur. Pour cela, la sécurité d’accès à ces systèmes est devenue un sujet très sensible à une période où les données sont plus exposées que jamais. La nature des mots de passe est en perpétuelle progression afin de s’adapter aux exigences du temps : des codes confidentiels composés de lettres et de chiffres à la numérisation de la rétine en passant par les empreintes digitales et la reconnaissance faciale. En 2017, un groupe de chercheurs chinois a même proposé le cœur humain comme pièce centrale d’un dispositif d’authentification dénommé Cardiac Scan, s’appuyant sur des propriétés géométriques (forme et taille) et rythmiques du cœur comme paramètres d’identification du possesseur d’un système.

Un autre groupe de chercheurs, Wenyao Xu, professeur assistant en informatique et en ingénierie à l'université de Buffalo, à l'université d'État de New York ; Feng Lin, professeur adjoint en sciences informatiques et en ingénierie à l'Université du Colorado à Denver et Zhanpeng Jin, professeur agrégé d'informatique et d'ingénierie à l'université de Buffalo, vient de révéler un nouveau dispositif d’authentification basé sur le cerveau. Considérant les limites des paramètres d’authentification actuels, l’équipe de chercheurs a décidé d’explorer le cerveau considéré par elle comme une source inépuisable de mots de passe sécurisés et qui n’oblige pas à retenir quoi que ce soit.

En effet, selon les chercheurs, les codes confidentiels faits de lettres et chiffres sont difficiles à retenir et facile à pirater. C’est pour cette raison que la biométrie a été adoptée avec les empreintes digitales, la reconnaissance faciale et la numérisation de la rétine pour l’identification des possesseurs des systèmes tels que des ordinateurs, smartphones et autres appareils courants. Selon les chercheurs, bien que l’authentification par la biométrie soit plus fiable que les premiers moyens, elle présente une vulnérabilité. C’est que chaque personne n’a qu’un seul visage, deux rétines et 10 empreintes digitales qui ne peuvent pas être réinitialisés en tant que mot de passe en cas de compromission.

Selon les chercheurs, si ces données biométriques tombent dans des mains des personnes malveillantes à la suite d’une violation de données comme, par exemple, en 2015, où une base de données contenant les empreintes digitales de 5,6 millions d'employés fédéraux américains a été piratée, les propriétaires ne pourront plus les utiliser comme mot de passe. Il en ait de même pour les données numérisées de la face et de la rétine qui pourraient ne plus servir.

Le nouveau système d’identification révélé, dans un article de The Conversation le 25 octobre, est lié à un seul être humain et peut être réinitialisé s'il est nécessaire.

De quoi s’agit ?

Les chercheurs ont exploité les réactions électriques différentes d’une personne à une autre que le cerveau de chaque humain émet en réponse à des stimulus tels que regarder une photo ou écouter un morceau de musique. Selon eux, même si deux personnes regardent la même photo, les lectures de leur activité cérébrale seront différentes. Et le processus est automatique et inconscient de sorte qu’il échappe au contrôle des personnes en qui cela se produit.

Les chercheurs ont vu en ce phénomène unique et propre à chaque personne une opportunité de construire une combinaison unique qui pourrait servir de « mot de passe cérébral » à l’aide de ce mélange de la structure cérébrale biologique unique de la personne et de sa mémoire involontaire qui déterminent la façon dont elle répond à un stimulus particulier. Selon eux, le mot de passe cérébrale sera plus fiable car il n’est pas basé sur des attributs physiques de la personne.

Procédure de création du mot de passe et d’authentification

L’authentification par mot de passe du cerveau d'une personne est une lecture numérique de son activité cérébrale tout en regardant une série d'images. Comme tout mot de passe, le mot de passe cérébral se défini au préalable et s’utilise ensuite.

Selon les chercheurs, pour définir le mot de passe, une personne doit enfiler un chapeau ou un casque rembourré avec des capteurs électriques à l'intérieur. Un moniteur afficherait, par exemple, des photos ou du texte auxquels le cerveau va réagir. Les ondes cérébrales de la personne seront enregistrées par les capteurs électriques tout comme lors de l' enregistrement d'une empreinte digitale pour le Touch ID d'un iPhone ou lors de l’enregistrement d’un visage pour l’écran d’un PC. Plusieurs lectures d’images différentes seraient nécessaires pour chaque personne afin de collecter un enregistrement initial complet constituant pour les capteurs des lectures d’onde cérébrale unique à une personne en particulier et cohérente pour une tentative unique de connexion.

Au moment de la connexion à un système ou de l’accès à lieu sécurisé, la personne devra mettre son casque ou chapeau pour regarder la séquence d'images. Un système informatique comparera alors les ondes cérébrales à ce qui avait été stocké initialement afin d’autoriser ou d’interdire l'accès, en fonction des résultats. Selon les chercheurs, cela ne devrait prendre qu’environ cinq secondes, pas plus que le temps nécessaire pour la saisie d’un mot de passe ou la saisie d’un code PIN sur un clavier numérique.

Le mot de passe cérébral est fiable et sécurisé

A la différence des autres mots de passe biométriques qui ne sont plus valables après la violation des données liées (empreintes digitales, photo de visage et de la rétine), le mot de passe cérébral pourrait résister au piratage. En effet, selon les chercheurs, une personne ne peut pas changer son visage ni ses empreintes digitales qui sont des attributs physiques, mais elle peut changer son mot de passe cérébral en définissant un nouveau par une nouvelle série de lecture de nouvelles images. Le mot de passe cérébral peut donc être réinitialisé à maintes reprises et aura autant de force car il existe plusieurs images.

Les chercheurs ont rassuré également que la définition du mot de passe cérébral ne prélève qu’un minimum de données concernant l’activité cérébrale des personnes, rassurant ainsi les utilisateurs qui pourraient s’inquiéter d’avoir leur données d’activités cérébrales entre les mains de tiers.

Les chercheurs ont déclaré également que leur solution pourrait rendre difficile le vol des voitures qui seront désormais démarrées par les ondes cérébrales du propriétaire.

Source : The Conversation

Et vous ?

Que pensez-vous de cette nouvelle découverte ?
Y a-t-il des inconvénients possibles de ce nouveau mot de passe ?

Voir aussi

Biométrie : le cœur humain comme « mot de passe », pour renforcer la sécurité des systèmes
Étude : Lastpass révèle huit réalités sur les menaces que posent les mots de passe, dans les milieux de travail des entreprises
Neuralink, le projet d'Elon Musk pour qu'un cerveau humain interagisse directement avec un PC, et l'Homme fusionne avec l'IA, aberration ou fiction ?
Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type, dans l'environnement professionnel
Le Conseil d'État tiendra une audience le 3 octobre sur le fichier TES, vu par la Quadrature du Net comme une prémisse à la surveillance de masse

[transgohan]

Des inconvénients ? il n'y a que cela en fait quand on y réfléchi.

Ont-ils confirmé qu'on avait la même réaction électrique sur une longue période ?
Vu le système il est impensable de renouveler la signature tous les 6 mois car soit on réinjecterai la même, soit on ne pourrait déjà plus s'authentifier pour la changer...

Quid de cette réaction quand la personne fait une dépression ?
On ne pense pas du tout de la même façon quand on est heureux que quand on est malheureux, de ce fait je ne serai pas étonné que la réaction qu'ils mesurent soient modifiée suivant l'état d'esprit de la personne.

[Aiekick]

qu'est ce qu'on en sait qu'elle sont unique, ni si elles sont répétables....

[Maschmalow]

Des inconvénients ? il n'y a que cela en fait quand on y réfléchi.

Ont-ils confirmé qu'on avait la même réaction électrique sur une longue période ?
Vu le système il est impensable de renouveler la signature tous les 6 mois car soit on réinjecterai la même, soit on ne pourrait déjà plus s'authentifier pour la changer...

Quid de cette réaction quand la personne fait une dépression ?
On ne pense pas du tout de la même façon quand on est heureux que quand on est malheureux, de ce fait je ne serai pas étonné que la réaction qu'ils mesurent soient modifiée suivant l'état d'esprit de la personne.

Pour info, l’article est ici:
http://cse.ucdenver.edu/~linfen/pape...n_Password.pdf

Et ils mettent bien en avant que l’intérêt premier de leurs techniques par rapport à l'existant est:

• L'activité cérébrale qui sert de "mot de passe" est stable car il s'agit de réponses quasi-instantanées (inconsientes) à un stimuli particulier. Ils disent clairement que cette réponse n'est quasiment pas affectée par l'état mental de la personne, et que même 5 mois plus tard ils n'ont pas observé de différence dans les réponses.
• Le fait que la réponse soit unique à chaque stimuli permet de changer de "mot de passe" biométrique facilement, autant de fois que l'on veut.

Je vois pas tellement le problème à réenregistrer une nouvelle réponse tous les X mois. La procédure d'enregistrement est pas vraiment plus lourde que celle authentification, et cette dernière est bien censé être faite assez souvent.

Pour moi leur gros désavantage est commune à toutes les techniques d'authentification biométrique dont j'ai connaissance. C.a.d. que la machine qui t'authentifie récupère toujours les données permettant de se faire passer pour toi. Mais sinon je trouve que c'est une piste intéressante pour l'authentification biométrique, car elle rends justement ce problème moins gênant.

qu'est ce qu'on en sait qu'elle sont unique, ni si elles sont répétables....

Tu te doute bien que l'on ne peut pas publier des résultat avant de savoir si les techniques employées fonctionnent ou pas... Si tu pense qu'ils ont commis des erreurs dans leur méthodologie je t'invite à lire leur publication, et à rédiger une critique plus construite.

PS: Je n'ai aucun lien avec les auteurs ou le labo de recherche et je ne cherche pas particulièrement à les défendre, mais je trouve ça assez abusé de critiquer avec des arguments dont on ne sait même pas si ils sont valides ou pas.

[mith06]

J'attend avec impatience l’authentification par analyse de la flore intestinale!!!
Je suis sure que elle aussi elle est unique à chaque personne.

[transgohan]

Merci pour le lien vers l'article scientifique, je vais tâcher de trouver du temps pour lire ça.

mais je trouve ça assez abusé de critiquer avec des arguments dont on ne sait même pas si ils sont valides ou pas.

Bah en même temps on avait aucune source fiable sur leurs résultats, tu es le seul à l'avoir posté.
Je ne suis pas chercheur dans le domaine, donc je me pose des questions, questions que je n'aurai pas mis en avant au travers de mes propos si j'avais eu cet article sous la main.

[Advaxendayi]

Ceux qui volaient les mots de passes pour se connecter sur les comptes des autres auront à souffrir pour se rendre semblables à l'utilisateur pour la validation du mot de passe.

je serai très rassuré que personne ne tentera d'accéder à nos comptes, mauvaise habitude qui parfois causait la perte d'éventuelles données.