Sécurité Internet: Pourquoi vos pensées internes peuvent devenir votre prochain mot de passe

Votre cerveau est une source inépuisable de mots de passe sécurisés - mais vous n’êtes pas obligé de vous souvenir de rien. Les mots de passe et les codes confidentiels avec lettres et chiffres sont relativement faciles à pirater, difficiles à mémoriser et généralement peu sûrs. La biométrie commence à prendre sa place, les empreintes digitales, la reconnaissance faciale et la numérisation de la rétine deviennent monnaie courante même dans les connexions de routine pour ordinateurs, smartphones et autres appareils courants.

Ils sont plus sûrs car ils sont plus difficiles à simuler, mais la biométrie présente une vulnérabilité cruciale: une personne n’a qu’un visage, deux rétines et 10 empreintes digitales. Ils représentent des mots de passe qui ne peuvent pas être réinitialisés s’ils sont compromis.

Comme les noms d'utilisateur et les mots de passe, les informations d'identification biométriques sont vulnérables aux violations de données. En 2015, par exemple, la base de données contenant les empreintes digitales de 5,6 millions d'employés fédéraux américains a été violée. Ces personnes ne doivent pas utiliser leurs empreintes digitales pour protéger leurs appareils, que ce soit pour leur usage personnel ou au travail. La prochaine violation pourrait voler des photographies ou des données de numérisation de la rétine, rendant ces données biométriques inutiles pour la sécurité.

Notre équipe travaille depuis des années avec des collaborateurs d'autres institutions et a inventé un nouveau type de biométrie qui est à la fois lié à un seul être humain et peut être réinitialisé si nécessaire.

À l'intérieur de l'esprit

Lorsqu'une personne regarde une photo ou entend un morceau de musique, son cerveau réagit de manière à ce que les chercheurs ou les professionnels de la santé puissent effectuer des mesures à l'aide de capteurs électriques placés sur son cuir chevelu. Nous avons découvert que le cerveau de chaque personne réagit différemment à un stimulus externe. Même si deux personnes regardent la même photo, les lectures de leur activité cérébrale seront différentes.

Ce processus est automatique et inconscient. Une personne ne peut donc pas contrôler la réaction cérébrale. Et chaque fois qu’une personne voit une photo d’une célébrité en particulier, son cerveau réagit de la même manière, mais différemment de celle de tous les autres.

Nous nous sommes rendus compte que cela représentait l’opportunité d’une combinaison unique qui pourrait servir de «mot de passe cérébral». Ce n’est pas simplement un attribut physique de leur corps, comme une empreinte digitale ou le motif de vaisseaux sanguins dans leur rétine. Au lieu de cela, il s’agit d’un mélange de la structure cérébrale biologique unique de la personne et de sa mémoire involontaire qui détermine la manière dont elle répond à un stimulus particulier.

Faire un mot de passe cérébral

Le mot de passe cérébral d’une personne est une lecture numérique de son activité cérébrale tout en regardant une série d’images. De même que les mots de passe sont plus sécurisés s'ils incluent différents types de caractères - lettres, chiffres, et ponctuation - un mot de passe cerveau est plus sécurisé s'il inclut des lectures irréfutables d'une personne regardant une collection de différents types d'images.

Pour définir le mot de passe, la personne serait authentifiée d'une autre manière, par exemple en se présentant au travail avec un passeport ou une autre pièce d'identité ou en faisant vérifier ses empreintes digitales ou son visage par rapport à des enregistrements existants. Ensuite, la personne mettait un chapeau confortable et doux ou un casque rembourré avec des capteurs électriques à l'intérieur. Un moniteur afficherait, par exemple, une image d’un cochon, le visage de Denzel Washington, et le texte Appelle-moi Ismaël, la phrase d'ouverture du classique d'Herman Melville, Moby-Dick.

Les capteurs enregistreraient les ondes cérébrales de la personne. Comme lors de l’enregistrement d’une empreinte digitale pour le Touch ID d’un iPhone, plusieurs lectures seraient nécessaires pour collecter un enregistrement initial complet. Notre recherche a confirmé qu'une combinaison d'images comme celle-ci évoquerait des lectures d'ondes cérébrales uniques à une personne en particulier et cohérentes d'une tentative de connexion à une autre.

Plus tard, pour se connecter ou accéder à un bâtiment ou à une pièce sécurisée, la personne mettait son chapeau et regardait la séquence d'images. Un système informatique comparerait leurs ondes cérébrales à ce moment-là à ce qui avait été stocké initialement - et autorisait ou interdisait l'accès, en fonction des résultats. Cela prendrait environ cinq secondes, pas plus que la saisie d’un mot de passe ou la saisie d’un code PIN sur un clavier numérique.

Après un hack

L’avantage réel des mots de passe Brain intervient après le piratage presque inévitable d’une base de données de connexion. Si un pirate informatique pénètre dans le système en enregistrant les modèles biométriques ou utilise des composants électroniques pour contrefaire les signaux cérébraux d’une personne, ces informations ne sont plus utiles pour la sécurité. Une personne ne peut pas changer son visage ni ses empreintes digitales - mais elle peut changer son mot de passe cérébral.

Il est assez facile d’authentifier d’une autre manière l’identité d’une personne et de lui demander de définir un nouveau mot de passe en consultant trois nouvelles images - peut-être cette fois-ci avec une photo d’un chien, un dessin de George Washington et une citation de Gandhi. Comme il s’agit d’images différentes du mot de passe initial, les modèles d’onde cérébrale seraient également différents. Nos recherches ont montré que le nouveau mot de passe cérébral serait très difficile à comprendre pour les assaillants, même s'ils essayaient d'utiliser les anciennes lectures d'ondes cérébrales comme aide.

Les mots de passe du cerveau peuvent être réinitialisés à l'infini, car il existe un très grand nombre de photos et un grand nombre de combinaisons pouvant être créées à partir de ces images. Il n’ya aucun moyen de manquer de ces mesures de sécurité renforcées par biométrie.

Sécurisé - et sûr

En tant que chercheurs, nous sommes conscients qu’il peut être inquiétant, voire inquiétant, pour un employeur ou un service Internet d’utiliser une authentification qui lit l’activité cérébrale des personnes. Une partie de notre recherche a consisté à déterminer comment ne prendre que le minimum de lectures pour garantir des résultats fiables - et une sécurité adéquate - sans avoir à effectuer autant de mesures qu'une personne pourrait se sentir violée ou préoccupée par le fait qu'un ordinateur essayait de lire dans ses pensées.

Nous avons initialement essayé d’utiliser 32 capteurs sur toute la tête d’une personne et nous avons constaté que les résultats étaient fiables. Ensuite, nous avons progressivement réduit le nombre de capteurs pour voir le nombre réellement nécessaire - et avons constaté que nous pouvions obtenir des résultats clairs et sécurisés avec seulement trois capteurs correctement situés.

Cela signifie que notre capteur est si petit qu'il peut s'intégrer de manière invisible dans un chapeau ou un casque de réalité virtuelle. Cela ouvre la porte à de nombreuses utilisations potentielles. Une personne portant un couvre-chef intelligent, par exemple, pourrait facilement déverrouiller des portes ou des ordinateurs avec des mots de passe cérébraux. Notre méthode pourrait également rendre les voitures plus difficiles à voler - avant de démarrer, le conducteur devrait mettre un chapeau et regarder quelques images affichées sur un écran de tableau de bord.

D'autres voies s'ouvrent avec l'émergence de nouvelles technologies. Le géant chinois du commerce en ligne, Alibaba, a récemment dévoilé un système permettant d’utiliser la réalité virtuelle pour faire des emplettes, y compris pour effectuer des achats en ligne directement dans l’environnement de réalité virtuelle. Si les informations de paiement sont stockées dans le casque de réalité virtuelle, quiconque les utilise ou les vole peut acheter tout ce qui est disponible. Un casque qui lit les ondes cérébrales de l'utilisateur rendrait les achats, les connexions ou les accès physiques aux zones sensibles beaucoup plus sûrs.

Cet article a été publié à l'origine sur The Conversation par Wenyao Xu, Feng Lin et Zhanpeng Jin. Lisez l'article original ici.