La cybersécurité traverse une transition qui mérite plus d’attention qu’elle n’en reçoit. La question fondamentale de l’authentification en ligne se déplace : non plus « qu’est-ce que tu sais ? » (mot de passe, PIN), non plus « qu’est-ce que tu possèdes ? » (token, smartphone), non plus « à quoi ressembles-tu ? » (empreinte, reconnaissance faciale), mais « comment te comportes-tu ? »
L’idée est élégante, et l’article qui la défend est solide. Un récent papier de Brandon Janes sur Towards Data Science, intitulé « Behavior is the New Credential », raconte comment les systèmes de biométrie comportementale deviennent le standard du secteur bancaire. Le point de départ : une étude de 2012 de Berkeley, Touchalytics, qui a démontré qu’onze scrolls sur smartphone suffisent à identifier un utilisateur précis dans un groupe de 41 personnes, sans erreur. Trente caractéristiques comportementales uniques : longueur du geste, vitesse, courbure, trajectoire, temps entre scrolls, et même la zone du doigt utilisée.
La théorie sous-jacente est celle du contrôle moteur computationnel, champ interdisciplinaire entre neurosciences, biomécanique et informatique. Les corrections inconscientes que notre cerveau opère pendant chaque geste — ces micro-ajustements qui se déroulent à l’échelle de la milliseconde — sont si individuelles que le profil comportemental d’une personne est presque impossible à reproduire. Paradoxalement, c’est ce que nous percevons comme « robotique » (ces corrections neurales automatiques) qui rend chacun de nous irréductiblement humain.
Pourquoi les vieilles défenses ne suffisent plus
Le contexte qui rend cette transition nécessaire est concret et documenté. Les malwares modernes ont atteint des capacités qui rendent obsolètes les mécanismes traditionnels de vérification. Des outils comme ProKYC, un deepfake utilisé dans le cybercrime, permettent de passer 2FA, reconnaissance faciale et même les vérifications vidéo en temps réel. BingoMod, un trojan d’accès distant distribué par SMS de phishing, se déguise en antivirus sur Android et permet à un attaquant distant d’intercepter credentials, messages et OTP, jusqu’à exécuter des virements depuis l’appareil infecté.
Quand l’appareil est compromis, du point de vue de la banque tout paraît normal : empreinte de l’appareil correcte, IP correcte, codes MFA qui rentrent. La vérification traditionnelle, qui opère en un instant unique (le login), ne suffit plus. Le périmètre de sécurité n’est plus le portail d’entrée. C’est la session entière.
Voilà où entre la biométrie comportementale, qui opère comme authentification continue. Les modèles d’anomaly detection, construits sur le profil spécifique de chaque utilisateur, surveillent la session du début à la fin. Quand les signaux de risque montent, le système peut demander des vérifications additionnelles ou bloquer la transaction. Quand le comportement est cohérent, la session continue sans interruption. Le résultat, ironiquement, est une meilleure UX : moins d’OTP, moins d’interruptions, plus de fluidité. Sécurité passive plutôt qu’active.
L’envers du décor
Jusqu’ici, le récit de l’industrie de la cybersécurité. Récit qui fonctionne, techniquement fondé, opérationnellement efficace. Mais récit qui évite systématiquement une question : que signifie, du point de vue des droits fondamentaux, transformer le comportement humain en credential ?
Partons d’un fait normatif que l’article de Janes ne mentionne pas. Le RGPD, à l’article 4(14), définit les données biométriques comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique ». Mot-clé : comportementales. Le législateur européen a explicitement inclus les données comportementales dans la définition. L’article 9 classe ensuite les données biométriques comme « catégorie particulière » de données personnelles, dont le traitement est en principe interdit, sauf exceptions précises : consentement explicite, intérêt public substantiel, protection d’intérêts vitaux.
Ce qui veut dire que tout système de biométrie comportementale opérant dans l’UE traite des données de catégorie spéciale. Pas des données personnelles génériques. Des données qui exigent consentement explicite, AIPD, limitation des finalités, minimisation, droit à l’effacement.
La question qu’aucun vendor ne veut traiter : comment concilier le droit à l’effacement avec un profil comportemental construit par analyse continue de milliers de micro-interactions ? Tu peux effacer un profil. Mais peux-tu effacer la connaissance dérivée, une fois qu’elle a servi à entraîner un modèle ? Le RGPD pose des questions précises sur la minimisation et la limitation des finalités quand les données ont été utilisées pour entraîner des modèles d’IA.
La double contrainte de l’AI Act
Le tableau se complique avec l’AI Act, dont le régime des systèmes à haut risque s’applique pleinement à partir d’août 2026. L’intersection RGPD/AI Act crée un cadre normatif stratifié pour la biométrie.
L’AI Act distingue plusieurs types de systèmes biométriques. L’identification biométrique à distance en temps réel est interdite aux forces de l’ordre, sauf exceptions limitées. Les autres systèmes d’identification biométrique à distance sont à haut risque. Les systèmes de catégorisation biométrique inférant des attributs sensibles (race, opinions politiques, appartenance syndicale, orientation sexuelle) sont interdits. Les systèmes de reconnaissance d’émotions sont interdits sur le lieu de travail et à l’école, et à haut risque ailleurs.
Où se situe la biométrie comportementale bancaire dans cette taxonomie ? L’AI Act exclut explicitement de la définition d’identification biométrique à distance les outils de vérification biométrique qui confirment qu’une personne est bien celle qu’elle prétend être, à condition qu’ils exigent la participation active de l’individu. Mais la biométrie comportementale est par définition passive. L’utilisateur ne « participe pas activement » à son authentification. Le système l’observe pendant qu’il fait autre chose. Cette zone grise entre vérification active et surveillance passive est précisément le terrain où les droits fondamentaux commencent à craquer.
Élément additionnel. L’AI Act interdit les systèmes d’IA qui classifient les personnes selon leur comportement social, lorsque cette classification produit un traitement défavorable dans des contextes non liés au contexte initial de collecte, ou un traitement disproportionné par rapport à la gravité du comportement. La frontière entre « authentification comportementale anti-fraude » et « profilage comportemental pour classer les utilisateurs » n’est pas aussi nette que l’industrie aimerait le faire croire.
Function creep : le risque structurel
L’histoire de la technologie nous apprend que les systèmes construits pour un objectif tendent à étendre leur portée dans le temps. Phénomène connu sous le nom de function creep, particulièrement insidieux dans la biométrie comportementale.
Un système qui aujourd’hui analyse comment tu fais défiler une page pour vérifier que c’est bien toi pourrait demain utiliser les mêmes données pour inférer ton état émotionnel, ton niveau d’attention, ta condition cognitive, ta propension au risque financier. Les données comportementales sont extraordinairement riches en information implicite. Le rythme de frappe peut révéler anxiété ou fatigue. La vitesse de scroll peut indiquer intérêt ou ennui. La pression du toucher peut suggérer irritation ou calme.
Les banques, qui utilisent aujourd’hui ces données pour la prévention de la fraude, sont assises sur un patrimoine informationnel dont la valeur potentielle dépasse de loin la sécurité des transactions. La tentation de les monétiser, ou de les utiliser à des fins commerciales (personnalisation, scoring crédit, profilage assurantiel), est une force économique que les seules policies internes peineront à contenir à long terme.
En Australie, une base biométrique conçue pour prévenir la criminalité transfrontalière a ensuite été utilisée pour identifier des personnes ayant perdu leurs documents dans des incendies. Là, l’extension d’usage avait une intention bénigne. Mais le précédent est posé : une fois que la donnée existe et que le système est opérationnel, les finalités s’élargissent.
Le corps informatisé
Il y a une dimension plus profonde, qui dépasse le droit et touche à l’anthropologie de la technique. La biométrie comportementale transforme la façon dont nous interagissons avec nos appareils en donnée d’identification permanente. Le National Research Council américain a décrit cela comme la création d’un « corps informatisé » : un corps qui n’est plus représenté par ses caractéristiques anatomiques observables, mais par les informations numériques sur le corps conservées dans des bases.
Quand ta façon de faire défiler une page devient un credential, ton geste inconscient devient une donnée. La spontanéité de ton mouvement est captée, analysée, modélisée, archivée. Tu ne fournis pas activement une information, comme quand tu tapes un mot de passe. Tu vis simplement, et le système extrait de la valeur de ton existence ordinaire.
Shoshana Zuboff a décrit cette dynamique comme la caractéristique fondamentale du capitalisme de surveillance : l’appropriation de l’expérience personnelle et sa transformation en données comportementales, utilisées ensuite pour prédire et modifier le comportement lui-même. La biométrie comportementale pour la cybersécurité est, en un sens, la version « gentille » de ce mécanisme. Mais le mécanisme est le même. Et la distance entre la version gentille et les versions moins gentilles n’est qu’une question de finalités déclarées — qui peuvent changer.
L’asymétrie du consentement
Aspect particulièrement problématique : la nature du consentement dans ces systèmes. Le RGPD exige un consentement « libre, spécifique, éclairé et univoque », avec un fardeau encore plus lourd pour les catégories spéciales. Mais comment un consentement à un système de biométrie comportementale dans ton appli bancaire peut-il être réellement libre, quand l’alternative est de ne pas pouvoir accéder à ton compte courant ?
Les autorités de protection des données européennes ont déjà traité cette question dans des contextes analogues. L’autorité néerlandaise a sanctionné une entreprise pour 725 000 € parce que les salariés percevaient le scan d’empreintes comme une obligation, rendant le consentement non libre. L’autorité suédoise a sanctionné une école pour l’usage de la reconnaissance faciale au pointage, soulignant le déséquilibre de pouvoir entre l’institution et les élèves.
Pour la biométrie comportementale bancaire, le déséquilibre est analogue. Le service bancaire n’est pas optionnel dans la société contemporaine. Si la banque déploie l’authentification comportementale, le client n’a pas d’alternative réelle au consentement. La dynamique ressemble plus à une condition imposée qu’à un choix éclairé.
Le paradoxe de l’irrévocabilité
À la différence d’un mot de passe compromis, qu’on change en quelques secondes, un profil comportemental compromis pose un problème structurel : tu ne peux pas changer ta façon de faire défiler une page ou de taper avec la même facilité que tu changes une chaîne de caractères. Tes patterns comportementaux sont intrinsèquement liés à ta physiologie et à ta neurologie. Ils sont, en un sens très concret, toi-même.
Cela introduit un risque de long terme que l’industrie tend à minimiser. Si une base de profils comportementaux est compromise, les données exfiltrées ne deviennent pas obsolètes par rotation des credentials. Elles restent utilisables jusqu’à ce que les caractéristiques biométriques de l’individu changent significativement — ce qui, dans la majorité des cas, n’arrive qu’avec le vieillissement ou suite à un événement traumatique.
Les fournisseurs soulignent que les profils sont typiquement traités localement et que seul un score de risque est transmis, pas les données brutes. Mitigation réelle, mais qui n’élimine pas le problème fondamental : quelque part, sous une certaine forme, une représentation de ton comportement inconscient existe en tant que donnée numérique.
Discrimination algorithmique et biais comportementaux
Aspect critique supplémentaire : le potentiel discriminatoire des systèmes de biométrie comportementale. Les patterns d’interaction avec les appareils ne sont pas universels. Ils varient selon âge, conditions physiques, handicaps moteurs, différences culturelles d’usage, type d’appareil utilisé.
Un utilisateur âgé avec de l’arthrose aux mains aura des patterns de scroll et de frappe significativement différents d’un vingtenaire. Un utilisateur sur un appareil bas de gamme produira des données capteurs différentes de celles d’un utilisateur sur le dernier flagship. Un utilisateur qui alterne main droite et gauche, ou utilise des technologies d’assistance, génèrera des profils atypiques.
Si le modèle d’anomaly detection a été entraîné majoritairement sur des profils valides de classe moyenne, les utilisateurs qui s’écartent de ce profil moyen seront soumis plus fréquemment à des vérifications additionnelles, blocages de session, demandes de step-up. Autrement dit, la sécurité « passive » que l’industrie vante comme meilleure UX pourrait se traduire par une UX systématiquement pire pour les catégories les plus vulnérables.
L’European Accessibility Act (EAA), pleinement applicable depuis juin 2025, exige que les produits et services numériques soient accessibles aux personnes en situation de handicap. Un système d’authentification comportementale qui pénalise systématiquement les utilisateurs en situation de handicap moteur ou cognitif pose des questions de conformité non seulement RGPD/AI Act, mais aussi accessibilité.
Le devoir de regarder au-delà de la solution technique
Rien de ce qui précède ne signifie que la biométrie comportementale est une mauvaise idée. Le problème de cybersécurité est réel, les pertes sont énormes (l’IC3 de l’FBI documente des milliards de dollars de pertes annuelles), et les défenses traditionnelles sont effectivement insuffisantes face aux menaces actuelles. L’authentification continue est probablement le futur de la sécurité numérique.
Mais la façon dont l’industrie raconte cette transition est incomplète, et pas par accident. L’article de Janes, comme la majorité de la littérature technique, présente la biométrie comportementale uniquement du point de vue de l’efficacité opérationnelle. Le sous-texte : ça marche mieux, c’est plus sûr, l’UX s’améliore. Tout vrai. Mais pas tout.
Pour qui opère dans l’ICT européen, la responsabilité est double. D’un côté, déployer ces technos là où elles sont nécessaires et créent une vraie valeur. De l’autre, le faire avec une conscience normative et éthique que le marché américain — d’où provient l’essentiel de l’innovation dans ce champ — n’a pas la même urgence à développer.
L’Europe, avec son cadre régulatoire stratifié (RGPD, AI Act, EAA, NIS2), ne rend pas la vie difficile à qui travaille avec la techno. Elle pose les questions que le marché, seul, ne pose pas. Des questions comme : à qui appartient ta façon de bouger le doigt sur un écran ? Quels droits as-tu sur un geste inconscient transformé en donnée ? Que se passe-t-il quand ton corps informatisé devient une marchandise ?
Questions inconfortables. Mais à l’instant où le comportement devient credential, on n’a plus le luxe de les ignorer.
Ce qu'il faut retenir
Onze scrolls suffisent à identifier de façon unique une personne : ton geste inconscient devient credential, et tu ne peux pas le changer comme un mot de passe.
Le RGPD inclut explicitement les données comportementales parmi les données biométriques de catégorie spéciale — tout système d’authentification continue dans l’UE traite des données qui exigent consentement explicite et AIPD.
Le function creep est structurel : les mêmes capteurs qui bloquent un deepfake peuvent profiler anxiété, ennui, propension au risque financier. La distance entre les deux n’est que la finalité déclarée — qui peut changer.
Le consentement dans une appli bancaire n’est pas libre : si l’alternative est de ne pas accéder au compte, la dynamique ressemble plus à une condition imposée qu’à un choix éclairé.
Les modèles d’anomaly detection entraînés sur des utilisateurs moyens pénalisent systématiquement les seniors, les personnes en situation de handicap moteur et les utilisateurs d’appareils bas de gamme — la sécurité passive devient discrimination algorithmique.
Questions & réponses
Qu'est-ce que la biométrie comportementale et comment identifie-t-elle une personne ?
Un système d’authentification qui reconnaît l’utilisateur à sa façon de manipuler un appareil : longueur des scrolls, vitesse des gestes, temps entre deux taps, zone du doigt utilisée. L’étude Touchalytics de Berkeley (2012) a montré que onze scrolls suffisent à identifier une personne dans un groupe de 41, sans erreur. La base théorique : le contrôle moteur computationnel — les micro-corrections neurales automatiques que tu fais sans t’en apercevoir sont si individuelles qu’elles sont quasi irreproductibles.
Pourquoi 2FA, reconnaissance faciale et mots de passe ne suffisent plus ?
Parce que les malwares modernes les contournent tous. ProKYC est un outil deepfake qui passe la vérification vidéo et le facial recognition ; BingoMod est un RAT bancaire qui contourne la 2FA en lisant les SMS depuis l’appareil. Les credentials traditionnels sont des points de contrôle uniques — une fois passés, la session est compromise. Il faut une identité continue, pas un portail d’entrée.
Pourquoi l'AI Act s'occupe-t-il de la biométrie comportementale ?
Parce qu’il la classe comme donnée biométrique et système à haut risque. L’article 5 interdit explicitement l’inférence émotionnelle à partir du comportement en milieu de travail et d’éducation. La frontière entre « authentification continue » et « profilage permanent » est très fine : le même capteur qui tient un deepfake à distance peut profiler l’humeur, la concentration, les moments de faiblesse cognitive.
Quel est le problème si l'authentification fonctionne mieux ?
Chaque clic, scroll, tap devient une donnée biométrique permanente. L’authentification cesse d’être un acte (tu mets le mot de passe, tu es dedans) et devient un état continu (tu es identifié en permanence, même quand tu crois ne pas l’être). Cela résout un problème de sécurité mais en ouvre un de surveillance que l’architecture précédente n’avait pas. Le compromis entre friction et vie privée doit être rediscuté de zéro, pas accepté comme une avancée neutre.
L'auteur
