Valider un mot de passe, identifier le genre d’une personne, son âge ou son état émotionnel : tout cela est possible en étudiant la manière dont on saisit du texte sur un clavier ! Cet outil biométrique bon marché et peu intrusif pourrait un jour remplacer l’analyse graphologique. Christophe Rosenberger, professeur à l’université de Caen, dirige l’une des rares équipes dans le monde qui travaillent sur ces solutions. Il a répondu aux questions de Futura-Sciences.

au sommaire


    Après les empreintes digitalesempreintes digitales, l'analyse de la voix, la graphologie, la reconnaissance faciale, l'observation de l'iris, voire les semelles scrutant la façon de marcher, un nouvel outil de biométrie commence à faire parler de lui : la dynamique de la frappe des touches sur le clavier. Elle est absolument personnelle, et varie même avec l'âge et selon que l'on est une femme ou un homme. Comme un simple logiciel permet d'en faire l'analyse et qu'elle ne nécessite aucun autre matériel qu'un clavier, la technique semble prometteuse, comme nous l'explique Christophe Rosenberger, professeur des Universités à l'École nationale d'ingénieurs de Caen (EnsiCaen)), responsable de la spécialité Informatique et directeur de l'équipe Monétique & Biométrie, au laboratoire de recherche Greyc.

    Futura-Siences : En quoi consiste la dynamique de frappe au clavier ?

    Christophe Rosenberger : C'est une technique née dans les années 1980 et qui vise à essayer d'analyser le comportement d'une personne qui tape au clavier à des fins d'authentification. Mon équipe et moi-même travaillons depuis 5 ans sur ce sujet. La technique consiste à prendre en compte les temps de pressionpression, de vol et de relâchement des touches qui sont propres à chaque personne lorsqu'elle tape sur un clavier. Ces informations sont très simples à récolter car elles sont en fait enregistrées par le système d'exploitation de l'ordinateurordinateur.

    Christophe Rosenberger : « <em>On peut travailler sur ce que l’on appelle la &quot;biométrie douce&quot; qui extrait un trait caractéristique d’un individu mais qui n’est pas suffisant pour le reconnaître</em> ». On peut ainsi distinguer un homme d'une femme ou vérifier si la personne est un adulte ou un enfant. © DR

    Christophe Rosenberger : « On peut travailler sur ce que l’on appelle la "biométrie douce" qui extrait un trait caractéristique d’un individu mais qui n’est pas suffisant pour le reconnaître ». On peut ainsi distinguer un homme d'une femme ou vérifier si la personne est un adulte ou un enfant. © DR

    Comment fonctionne le système ?

    Christophe Rosenberger : Nous utilisons un logiciel (Greyc-keystroke, que l'on peut installer pour test) qui recueille les données de frappe au clavier collectées automatiquement par le système d'exploitation. C'est la technique la plus répandue. Il existe cependant d'autres solutions, comme l'étude du son que produisent les touches ou encore le recours à une webcamwebcam pour filmer le déplacement des mains sur le clavier, mais elles sont moins fiables. La dynamique de frappe contient des informations propres à la dextérité d'une personne qui sont de l'ordre du réflexe. C'est précisément ce réflexe que nous essayons de capter.

    Quels sont les usages envisageables ?

    Christophe Rosenberger : Notre premier objectif est de développer une solution biométrique à bas coût afin de renforcer la sécurité des mots de passemots de passe qui ne cessent de se multiplier dans la vie quotidienne. En associant la fourniture d'un mot de passe à la signature spécifique de la personne qui le tape sur un clavier, nous introduisons un deuxième facteur d'authentification peu onéreux et plus facilement accepté par les utilisateurs.

    Cette solution est-elle vraiment moins chère que les autres outils biométriques ?

    Christophe Rosenberger : Tout à fait. Un capteurcapteur biométrique d'irisiris coûte dans les 200 euros, un capteur d'empreintes digitales entre 40 et 50 euros. Pour l'analyse de la dynamique de frappe au clavier, on parle de seulement quelques euros pour déployer le logiciel sur un serveurserveur.

    Fonctionne-t-elle avec les claviers virtuels des écrans tactiles ?

    Christophe Rosenberger : Pas en l'état. Mais nous travaillons sur la technologie tactile en prenant en compte de nouveaux critères spécifiques comme la surface du doigt, le temps d'appui sur l'écran et le rapport entre les deux. Comme pour les mots de passe, l'objectif est de renforcer la sécurité au moment de la saisie du code PIN. Pour le moment, le taux d'erreur de cette technique est de 20 %.

    Jusqu’où peut-on aller dans la mesure biométrique à partir de la frappe au clavier ?

    Christophe Rosenberger : On peut travailler sur ce que l'on appelle la « biométrie douce » qui extrait un trait caractéristique d'un individu (tranche d'âge, sexe) mais qui n'est pas suffisant pour le reconnaître. À partir d'un test effectué avec un texte donné, nous avons pu distinguer les hommes des femmes avec une fiabilité de 90 % en nous basant notamment sur les temps de pression sur les touches et la vitessevitesse de frappe. Nous avons ainsi remarqué que les hommes ont tendance à taper plus vite que les femmes.

    Sur quel type d’applications cela peut-il déboucher ?

    Christophe Rosenberger : Des industriels nous ont demandé de pouvoir déterminer si une personne est majeure ou non. C'est un domaine que nous commençons à explorer avec de premiers essais qui donnent un taux de réussite de 75 à 80 % sur de petits échantillons d'utilisateurs. Pouvoir déterminer si une personne est majeure ou non pourrait par exemple servir à contrôler l'accès à certains contenus sur InternetInternet. On peut aussi penser à un système de vérification sur les sites de chats afin de lutter contre la présence d'adultes qui masquent leur identité en se faisant passer pour des mineurs ou en mentant sur leur sexe. Dans un registre plus marketing, la reconnaissance du genre pourrait permettre à un site Internet de modifier sa présentation en fonction du sexe de la personne qui s'y connecte.

    Dans le cadre d’un recrutement, cette technologie pourrait-elle remplacer la graphologie ?

    Christophe Rosenberger : Oui, c'est totalement envisageable. Cela pourrait notamment servir dans le cadre d'entretiens à distance. La dynamique de frappe au clavier peut fournir assez d'informations pour analyser l'état émotionnel d'une personne. Lorsque l'on est nerveux, on aura tendance à commettre plus de fautes de frappe. Ce type d'information pourrait servir dans le cadre d'un entretien d'embauche.

    Peut-on leurrer le système en modifiant sa façon de taper ?

    Christophe Rosenberger : Il est très difficile de reproduire la façon de taper d'une personne, mais il y a toujours une marge de possibilité. La méthode la plus efficace consiste à utiliser un keyloggerkeylogger, un petit programme qui va non seulement enregistrer tout ce qu'une personne tape sur son clavier, mais également la façon de taper. Le keylogger peut ensuite rejouer la séquence et tromper le système. Nous travaillons actuellement sur une parade à ce type d'attaque qui s'appuie sur un système mêlant mot de passe aléatoire et analyse dynamique de la frappe au clavier. Nous devrions avoir une solution viable d'ici fin 2013.

    N'y a-t-il pas des risques d'abus dans la collecte de ces informations ? Cela pourrait-il devenir un outil de surveillance ?

    Christophe Rosenberger : La dynamique de frappe au clavier permet effectivement de recueillir beaucoup d'informations et il y a des garde-fousgarde-fous à mettre en place. Mais il ne faut pas oublier que l'on dispose déjà de beaucoup d'éléments pour identifier une personne. Prenez par exemple la reconnaissance faciale que propose FacebookFacebook. La dynamique de frappe ne permet pas d'extraire autant de données et elle est de surcroît peu intrusive. En France, la Cnil, qui est l'une des instances les plus vigilantes au monde, autorise depuis l'année dernière des expérimentations. Sous condition d'une déclaration préalable, des entreprises privées peuvent se servir de la reconnaissance biométrique par frappe au clavier pour sécuriser l'accès à un site.