Comment la technologie de localisation et l’authentification à facteur zéro pourraient changer le paysage de la sécurité [Q&A]
La mort du mot de passe est prédite depuis longtemps, mais bien qu’elle ait été augmentée par des éléments tels que l’authentification multifacteur et la biométrie, elle s’accroche toujours à la vie.
Cependant, les entreprises recherchent des moyens d’éliminer la fraude sans affecter l’expérience client. Une façon d’y parvenir consiste à utiliser la technologie de localisation pour fournir une authentification « facteur zéro », permettant aux entreprises de se protéger et de protéger leurs clients sans perturber l’expérience client.
Nous nous sommes entretenus avec André Ferraz, PDG d’Incognia pour en savoir plus sur son fonctionnement.
BN : Pourquoi la technologie de localisation est-elle une forme supérieure de technique de prévention de la fraude ?
AF : Avec la pertinence croissante du mobile en tant que principal canal en ligne, les données de comportement de localisation sont exploitées pour identifier le moment où l’utilisateur accède ou effectue une transaction à partir d’un emplacement de confiance. Une étude récente menée par Incognia a révélé que 90 % des connexions légitimes et 95 % des transactions légitimes à haut risque se produisent à partir d’un emplacement de confiance. Un emplacement de confiance est un endroit qui fait partie de la routine de l’utilisateur, comme sa maison, son bureau ou son restaurant préféré. Cela signifie que les utilisateurs peuvent être authentifiés en toute sécurité dans plus de 90 % des cas sans friction. De plus, étant donné que les comportements de localisation sont dynamiques, une identité basée sur elle est plus difficile à imiter ou à forger. Le taux d’échec de cette technologie est actuellement de un sur 100 000 000. Étant donné que les fraudeurs font constamment évoluer leurs processus et leurs tactiques, il est essentiel d’utiliser la technologie de localisation pour les éloigner.
BN : Qu’est-ce que l’authentification zéro facteur ?
AF : L’authentification à facteur zéro (0FA) offre une solution native pour mobile pour une authentification continue et basée sur les risques qui fonctionne silencieusement en arrière-plan, ne nécessitant aucune action de la part de l’utilisateur. C’est complètement sans friction du point de vue de l’expérience utilisateur. Les utilisateurs n’ont qu’à s’inscrire pour les services de localisation. Les principales applications de services financiers qui suivent les meilleures pratiques atteignent des taux d’adhésion supérieurs à 90 %. En conséquence, les utilisateurs mobiles ne sont plus obligés de compromettre la sécurité pour plus de commodité.
En tirant parti des technologies et des capteurs des appareils mobiles d’aujourd’hui, 0FA utilise les données de réseau, de localisation et d’appareil de l’appareil mobile pour détecter avec précision les utilisateurs à faible et à haut risque, ce qui fait de la technologie 0FA d’Incognia une alternative solide aux OTP, mots de passe et biométrie traditionnelle.
BN : Comment la technologie de localisation permet-elle une approche 0FA ?
AF : Le modèle de comportement de localisation de chaque utilisateur est unique et composé de « lieux de confiance » fréquemment visités. Selon les données du réseau de plus de 100 millions d’appareils d’Incognia, 90 % des connexions d’utilisateurs légitimes sur les applications bancaires et fintech se produisent à partir d’un emplacement de confiance. Mais les solutions de localisation basées uniquement sur le GPS sont facilement falsifiées et offrent moins de précision, notamment en intérieur. Cependant, il existe des approches 0FA de localisation qui détectent l’usurpation d’emplacement et sont précises à moins de 10 pieds.
Des capteurs supplémentaires sont exploités pour atteindre une précision et une précision supérieures, telles que le WiFi, le Bluetooth, les tours de téléphonie cellulaire et les capteurs de mouvement. L’approche d’Incognia en matière de localisation est appelée empreinte environnementale, qui regroupe les signaux spécifiquement attribués à un emplacement unique. Pour garantir la fiabilité des données de localisation, ces signaux sont corrélés avec la localisation et comparés aux informations historiques associées à l’environnement. En travaillant en arrière-plan, cela garantit que le processus est totalement fluide tout en vérifiant en permanence la sécurité du client et de l’entreprise.
BN : Qu’est-ce que l’authentification sans mot de passe et comment se compare 0FA ?
AF : L’authentification sans mot de passe peut être définie comme toute méthode d’authentification qui utilise un mot de passe non traditionnel, mais cela ne signifie pas nécessairement éliminer ou réduire les frictions du processus d’authentification. L’authentification sans mot de passe comprend l’authentification à facteur zéro, l’authentification biométrique, les modèles, les liens magiques, les clés de sécurité, le push mobile et d’autres formats de connexion.
Certains fournisseurs prétendent que les OTP (mots de passe à usage unique) sont également considérés comme une authentification sans mot de passe, même si un mot de passe est impliqué dans le processus d’authentification.
L’authentification zéro facteur offre la meilleure expérience utilisateur possible : aucune friction. Les utilisateurs n’ont rien à faire pendant le processus d’intégration des clients, à part être eux-mêmes. Avec une évaluation basée sur l’appareil, le réseau et les signaux de localisation 0FA reconnaîtront automatiquement l’utilisateur. Pour déployer l’authentification à facteur zéro en toute confiance, les développeurs doivent s’assurer de solides capacités d’empreinte digitale des appareils et de détection d’usurpation d’emplacement. L’empreinte digitale d’un appareil consiste à collecter des données d’identification à partir d’un appareil afin d’authentifier et de vérifier l’utilisateur, sur la base de données uniques.
Étant donné que les utilisateurs doivent accepter le partage des données de localisation, les utilisateurs ont également plus de contrôle. En moyenne, plus de 90 % des utilisateurs optent pour le service parce que la proposition de valeur est souhaitable : une meilleure expérience utilisateur et une sécurité accrue.
Lorsque ces outils sont disponibles, la sécurité a tendance à être supérieure aux facteurs d’authentification existants tels que l’authentification biométrique, les mots de passe et les OTP.
BN : 0FA et zero-trust sont-ils identiques ? Travaillent-ils ensemble ?
AF : Ce ne sont pas les mêmes, mais ils sont absolument liés. L’authentification zéro facteur utilise des concepts de l’approche zéro confiance, mais la confiance zéro n’utilise pas nécessairement l’authentification zéro facteur. Une approche de confiance zéro ne fait confiance à personne et suppose qu’il n’y a aucun périphérique, réseau ou emplacement auquel faire confiance par défaut, même s’il a été préalablement vérifié. Dans une architecture de confiance zéro, la sécurité doit être surveillée en permanence et les utilisateurs doivent être authentifiés en permanence, au lieu d’authentifier l’utilisateur une fois et de le laisser naviguer librement à l’intérieur du périmètre.
Crédit photo: Ditty_about_summer/Shutterstock