Remplacer les mots de passe par des empreintes cérébrales?

Les empreintes digitales, c’est tellement 2013. La prochaine révolution en matière de sécurité informatique pourrait bien être la lecture de la signature électrique de votre cerveau.

Au dernier décompte, j’utilisais 67 mots de passe différents. J’en connais trois: celui de mon ordinateur, celui de mon compte bancaire principal et celui de mon logiciel de gestion de mots de passe qui se charge d’inventer et d’utiliser les autres sans jamais me les montrer. Tout est chiffré, rien n’est écrit nulle part, mon système est aussi sécuritaire que possible : après tout, si je n’ai jamais vu le NIP de mon compte chez Monsieur Vendeur, je ne peux pas le donner à un pirate par accident.

Mon institution financière impose l’utilisation d’un mot de passe de six chiffres – pas six caractères, six chiffres. Si un bandit vide mon compte un jour, je ne serai même pas surpris.

Et pourtant, je suis vulnérable. Pour une raison que je ne peux pas commencer à imaginer, une des institutions financières avec lesquelles je dois transiger impose l’utilisation d’un mot de passe de six chiffres – pas six caractères, six chiffres.

Si un bandit vide mon compte un jour, je ne serai même pas surpris. Imaginez maintenant le risque pour ceux qui utilisent le nom de leur chat comme clé de «sécurité» partout sur Internet…

Votre cerveau est unique

Que ce soit à cause de la paresse naturelle de l’être humain, de la bêtise de certaines organisations ou tout simplement des faiblesses inhérentes à un système de sécurité basé sur des informations qui peuvent être mémorisées – et donc devinées –, le mot de passe n’est pas une solution viable.

Des chercheurs de l’Université de Binghampton, dans l’État de New York, tentent donc de développer une méthode potentiellement infaillible pour identifier un individu : lire la «signature» de son cerveau.

La méthode consiste à enregistrer l’activité cérébrale du client pendant qu’il lit une série d’acronymes, à l’aide d’un électroencéphalogramme. Trois électrodes mesurent l’influx nerveux dans les régions du cerveau associées à la lecture et à la reconnaissance des mots; on peut alors tracer une sorte de carte de l’activité cérébrale, unique à chaque individu, à partir d’une moyenne de plusieurs tests. Il suffit ensuite, pour permettre à un individu de s’authentifier, de reproduire le test et de comparer le résultat au contenu d’une banque de «signatures cérébrales» à l’aide d’un algorithme de classification.

Et ça marche?

Les résultats préliminaires sont prometteurs : on identifie le bon individu dans 82 à 97% des cas. Mieux : contrairement aux empreintes digitales, qui sont permanentes et donc irrémédiablement ruinées en tant que clés de sécurité si un espion trouve le moyen de les copier, les empreintes cérébrales sont potentiellement réinitialisables.

On peut assez facilement imaginer, par exemple, que la signature électrique change selon la liste de mots utilisée pour la construire; si la base de données de Monsieur Vendeur était volée, il suffirait à ses clients de subir de nouveaux électroencéphalogrammes basés sur une nouvelle liste de mots pour se créer de nouvelles signatures, puis de demander à utiliser cette nouvelle liste de mots pour s’identifier en cas de besoin.

Big Brother vous regarde… et vous «télépathise»

Bon, évidemment, ce n’est pas pour demain : passer un électroencéphalogramme à chaque fois qu’un magasin commet une bêtise avec la base de données de ses clients – et s’authentifier en se passant des électrodes sur le crâne à chaque fois que l’on achète du lait au dépanneur – ce serait à la fois coûteux et extrêmement pénible. Avant qu’une telle technique ne puisse se répandre partout, il faudra inventer du matériel beaucoup moins dérangeant à l’usage.

Pour les situations qui exigent un très haut niveau de sécurité, l’empreinte cérébrale pourrait être plus flexible que les alternatives.

Mais pour les situations qui exigent un très haut niveau de sécurité, l’empreinte cérébrale pourrait être plus flexible que les alternatives. Les lecteurs d’empreintes digitales sont trop faciles à fausser; les lecteurs d’empreintes rétiniennes, probablement inutilisables pour les gens comme moi dont les rétines dégénèrent.

Reste à voir comment la lecture d’empreintes cérébrales serait utilisée dans la vraie vie. Les cartes à puces RFID aussi devaient être invulnérables, n’est-ce pas?