Tandis que la biométrie poursuit son déploiement à un rythme effréné dans tous les secteurs, de nombreuses voix s’élèvent quant à la façon dont les technologies qui nous permettent de nous authentifier grâce à des attributs physiques, pourraient ouvrir une boîte de Pandore en matière de sécurité et d’intégrité personnelle.
Ces préoccupations autour de la biométrie existent depuis un certain temps et ont été attisées en août 2019 lorsqu’une violation à grande échelle de la plateforme de sécurité Biostar 2 a entrainé la fuite de données biométriques appartenant à plus d’un million d’individus. Si un tel scepticisme est en partie justifié, beaucoup semblent oublier que la biométrie ne nous oblige pas à céder le contrôle des données qui nous caractérisent de manière unique. Elle se révèle en fait être la forme d’authentification la plus fiable à l’heure actuelle. Les violations telles que celle qui a touché Biostar 2 ne découlent pas d’un problème de biométrie, mais bien d’un problème de centralisation.
Le problème des mots de passe
Cela pourrait en surprendre certains, mais l’authentification biométrique représente aujourd’hui la forme d’authentification la plus sûre et la plus pratique disponible aujourd’hui. Cependant, les mots de passe demeurent la principale méthode employée par les utilisateurs pour prouver leur identité en ligne, même s’il est clair qu’ils ne sont plus adaptés.
Nous en sommes actuellement à un stade où le consommateur moyen possède plus de 90 comptes en ligne « protégés » par une multitude de mots de passe et de codes PIN (souvent recyclés). Outre son caractère peu pratique, cette situation constitue un problème de sécurité de plus en plus important, car la plupart des mots de passe se trouvent sur des serveurs centralisés qui peuvent être facilement piratés par les cybercriminels les moins expérimentés. Une fois que les hackers ont obtenu l’accès aux informations, celles-ci sont utilisées à des fins d’attaques de type « password-spraying », de « credential stuffing » et d’autres attaques qui les mènent directement aux comptes des utilisateurs. À l’échelle mondiale, cela représente actuellement des milliards de dollars de fraude chaque année.
La promesse de la biométrie
À mesure que la disparition progressive et nécessaire des mots de passe se poursuivra au cours des prochaines années, la biométrie apparaîtra comme une solution de remplacement idéale favorisant l’adoption de l’authentification à double facteur. Cependant, il sera essentiel de ne pas répéter les mêmes erreurs que celles qui ont été commises dans la gestion des mots de passe.
Bien que les données biométriques soient intrinsèquement plus sûres que les mots de passe, les avantages qui y sont associés sont négligeables si elles sont également stockées sur des serveurs centralisés. En réalité, cela pourrait même constituer une plus grande menace, car les informations biométriques ne peuvent naturellement pas être modifiées de la même manière qu’un mot de passe. Les données peuvent et doivent être stockées localement sur l’appareil de l’utilisateur. La bonne nouvelle tient au fait que plusieurs fournisseurs de plateformes et d’appareils de renom, tels que Microsoft, Apple et Google, adoptent déjà cette approche, favorisant une transparence accrue quant à leur approche du stockage des données biométriques lorsqu’elles sont utilisées à des fins d’authentification.
Usurpation d’identité
Outre la question du stockage, un autre aspect de la biométrie qui suscite des inquiétudes provient du fait qu’elle peut être usurpée ; la méthode la plus couramment évoquée étant la possibilité, pour les pirates, de produire des moulages d’empreintes digitales à l’aide d’imprimantes 3D. Bien qu’une telle usurpation soit évidemment possible, sa mise en œuvre est complexe et surtout difficile à généraliser. En d’autres termes, seul un nombre restreint de personnes qui gèrent et ont accès à des comptes ou à des dispositifs en ligne de grande valeur courent le risque que des cybercriminels les ciblent de cette manière. Cette technique ne pourra cependant pas être utilisée pour compromettre des millions de comptes simultanément, comme ce fut le cas de la violation de Biostar 2, par exemple.
Et pourtant, les fournisseurs se penchent sur le problème en améliorant la précision de leurs capteurs, ainsi qu’en ajoutant de nouvelles capacités de détection du caractère vivant. Par exemple, les systèmes de reconnaissance faciale peuvent exiger que les utilisateurs clignent des yeux, et certains capteurs d’empreintes digitales sont capables de lire sous la peau les caractéristiques qui ne peuvent pas être copiées par une fausse empreinte digitale. En bref, la question de l’usurpation d’identité est loin d’être suffisamment importante pour justifier une marche arrière dans le déploiement des technologies d’authentification biométrique – tant que les développeurs continueront à améliorer les dispositifs biométriques pour lutter contre les avancées des pirates informatiques.
Le secteur des technologies doit donc tenir compte de deux éléments clés pour déterminer la meilleure façon de rendre la biométrie opérationnelle dans les processus d’authentification. Le premier consiste à éviter l’utilisation de bases de données centralisées en veillant à ce que les données biométriques soient stockées sur les dispositifs de l’utilisateur. Deuxièmement, la possession physique de l’appareil personnel de l’utilisateur autorisé doit être vérifiée à chaque fois que la biométrie est présentée au moyen d’un cryptage sur le dispositif. En prenant ces mesures, nous pourrons profiter des avantages de l’authentification biométrique sans faire de compromis et sans craindre de perdre les seuls fragments de notre identité qui nous restent.