Biométrie comportementale par frappe au clavier
Autorisation de recours à un dispositif biométrique fondé sur la reconnaissance de la frappe au clavier de l'identifiant et du mot de passe.
Rédigé par la Rédaction de Net-iris, le 22/09/2011.
La Commission nationale informatique et Libertés a autorisé pour la première fois, dans le cadre prévu par l'article 25-I-8° de la loi informatique et libertés, l'utilisation d'un dispositif biométrique reposant sur la reconnaissance de la frappe au clavier, qui s'appuie sur les variations de la durée séparant la frappe de deux touches du clavier d'un ordinateur lors de la saisie d'un identifiant et d'un mot de passe.
Il s'agit d'un système d'authentification qui s'ajoute à celui reposant sur les codes secrets seuls connus de l'utilisateur (identifiant et mot de passe), destiné à renforcer l'authentification d'une personne et à lui permettre d'accéder à des applications Internet ou à un système d'information (ex : intranet de l'entreprise).
La biométrie comportementale permet d'identifier un individu en utilisant une ou plusieurs de ses caractéristiques non physiques, comme la manière et la rapidité de frappe au clavier, le maniement de la souris de l'ordinateur ou encore la démarche d'un individu. Sa mise en oeuvre doit être préalablement autorisée par la CNIL, même si contrairement à d'autres types de biométrie, la reconnaissance de la frappe au clavier ne nécessite pas de matériel particulier, car il suffit de disposer d'un clavier, d'un ordinateur et du logiciel de reconnaissance biométrique installé sur un serveur pour la mettre en oeuvre.
Lors de l'examen de la demande, la Commission a vérifié que plusieurs mesures de sécurité seraient déployées pour assurer la confidentialité des données, à savoir que :
le résultat de l'analyse des données de frappe est chiffré afin de garantir sa confidentialité ;
chaque société qui met en oeuvre la solution dispose d'une clef de chiffrement personnelle ;
la base de données du démonstrateur est hébergée par la société démonstratrice et non par un prestataire ;
la société s'assure qu'aucun logiciel ou dispositif matériel permettant d'enregistrer puis de simuler les caractéristiques de la frappe clavier d'une personne, notamment à son insu, ne soit installé sur le poste informatique utilisé ;
seules les données des personnes volontaires sont traitées, et supprimées à l'issue de la démonstration.
Notons que l'autorisation de recours à ce dispositif a été limitée à des fins de démonstration auprès de clients potentiels de la société ayant obtenu l'autorisation, et que la CNIL examinera attentivement les demandes d'autorisation individuelles qui lui seront soumises par les sociétés ayant acquis le logiciel de biométrie comportementale.
Pour aller plus loin :
Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies (26/09/2011)
mam
Autorisation de recours à un dispositif biométrique fondé sur la reconnaissance de la frappe au clavier de l'identifiant et du mot de passe.
Rédigé par la Rédaction de Net-iris, le 22/09/2011.
La Commission nationale informatique et Libertés a autorisé pour la première fois, dans le cadre prévu par l'article 25-I-8° de la loi informatique et libertés, l'utilisation d'un dispositif biométrique reposant sur la reconnaissance de la frappe au clavier, qui s'appuie sur les variations de la durée séparant la frappe de deux touches du clavier d'un ordinateur lors de la saisie d'un identifiant et d'un mot de passe.
Il s'agit d'un système d'authentification qui s'ajoute à celui reposant sur les codes secrets seuls connus de l'utilisateur (identifiant et mot de passe), destiné à renforcer l'authentification d'une personne et à lui permettre d'accéder à des applications Internet ou à un système d'information (ex : intranet de l'entreprise).
La biométrie comportementale permet d'identifier un individu en utilisant une ou plusieurs de ses caractéristiques non physiques, comme la manière et la rapidité de frappe au clavier, le maniement de la souris de l'ordinateur ou encore la démarche d'un individu. Sa mise en oeuvre doit être préalablement autorisée par la CNIL, même si contrairement à d'autres types de biométrie, la reconnaissance de la frappe au clavier ne nécessite pas de matériel particulier, car il suffit de disposer d'un clavier, d'un ordinateur et du logiciel de reconnaissance biométrique installé sur un serveur pour la mettre en oeuvre.
Lors de l'examen de la demande, la Commission a vérifié que plusieurs mesures de sécurité seraient déployées pour assurer la confidentialité des données, à savoir que :
le résultat de l'analyse des données de frappe est chiffré afin de garantir sa confidentialité ;
chaque société qui met en oeuvre la solution dispose d'une clef de chiffrement personnelle ;
la base de données du démonstrateur est hébergée par la société démonstratrice et non par un prestataire ;
la société s'assure qu'aucun logiciel ou dispositif matériel permettant d'enregistrer puis de simuler les caractéristiques de la frappe clavier d'une personne, notamment à son insu, ne soit installé sur le poste informatique utilisé ;
seules les données des personnes volontaires sont traitées, et supprimées à l'issue de la démonstration.
Notons que l'autorisation de recours à ce dispositif a été limitée à des fins de démonstration auprès de clients potentiels de la société ayant obtenu l'autorisation, et que la CNIL examinera attentivement les demandes d'autorisation individuelles qui lui seront soumises par les sociétés ayant acquis le logiciel de biométrie comportementale.
Pour aller plus loin :
Les données personnelles et la protection de la vie privée à l'heure des nouvelles technologies (26/09/2011)
mam
