Qu’il s’agisse de notre démarche ou de notre rythme cardiaque, notre corps est unique et cette singularité pourrait faire de lui un identifiant parfait, selon les experts de la sécurité. Cette perspective peut paraître inquiétante, mais les limites de plus en plus évidentes des méthodes classiques de confirmation d’identité le sont tout autant. A fortiori si un utilisateur choisit le mot de passe « 123456 » et l’utilise pour tous ses comptes en ligne, la sécurité laisse à désirer.
Les mots de passe ont fait leur temps. Pour développer de nouveaux services, les entreprises, tous secteurs confondus, ont besoin d’une authentification et d’une identification fiables.
Technologies intra- ou extracorporelles ?
Les caractéristiques physiques permettant d’établir formellement l’identité d’un individu dans le monde numérique sont les traits du visage, les empreintes digitales, les yeux, l’oreille, le motif veineux de la main, le rythme cardiaque et la voix. Des technologies de reconnaissance traduisent ces spécificités biométriques en données binaires et s’en servent pour autoriser l’accès à nos comptes en ligne, appareils numériques, ou pour nous identifier, sur notre passeport par exemple. Aucun effort à fournir pour l’utilisateur, sécurité et absence d’ambiguïté pour l’entreprise. Le tour est joué. Sauf que ce n’est pas tout à fait aussi simple.
A l’instar de la plupart des autres identifiants biométriques, l’iris est propre à chaque individu et n’évolue pas dans le temps. Cependant, le coût et l’équipement nécessaires à la mise en œuvre de cette technique biométrique font qu’à ce jour, elle n’a été que peu utilisée. Les empreintes digitales sont probablement l’identifiant biométrique le plus connu et employé, dont la reconnaissance s’est répandue grâce à Apple en 2013. Toutefois, le jour même de son lancement, Starbug indiquait avoir réussi à pirater ce dispositif en imitant les empreintes enregistrées sur le téléphone. La reconnaissance vocale est quant à elle déjà largement utilisée dans les services financiers, principalement en complément d’autres méthodes d’authentification. Or, fin 2016, Adobe a annoncé Voco, une nouvelle technologie permettant de créer et de modifier des enregistrements vocaux à partir d’à peine 20 minutes de conversation originale. C’est suffisamment peu pour que le danger qu’un pirate rassemble suffisamment d’éléments pour recréer la voix d’une personne de manière à leurrer des systèmes d’authentification devienne soudain très réaliste.
Quant aux techniques d’authentification au moyen de la paume de la main, d’autres parties du visage ou du rythme cardiaque, il est encore trop tôt pour évaluer leur potentiel et leurs failles de sécurité.
Enfin, n’oublions pas ceux qui entendent nous identifier à l’aide d’à peu près tout. Le nouveau projet Abacus de Google a pour objectif d’authentifier à travers le calcul d’un « score de confiance » : notre téléphone surveille et reconnaît en continu nos déplacements, notre démarche et notre frappe sur le clavier mais aussi les traits de notre visage ou autres. Notre propre expérience nous enseigne que, si plusieurs marqueurs biométriques offriront toujours plus de sécurité qu’un seul, cela doit néanmoins être mis en balance avec les atteintes potentielles à la vie privée.
Répondre aux risques de sécurité
Le caractère unique des marqueurs biométriques est à la fois leur force et leur faiblesse. Si ces identifiants sont piratés, les conséquences potentielles seront très lourdes pour les victimes en termes de vie privée et de sécurité.
Les identifiants biométriques sont, de par leur nature même, souvent publics : n’importe qui peut, par exemple, prendre une photo de notre oreille. En outre, en dépit du fait que des données biométriques sont déjà employées pour l’authentification et l’identification, cet usage ne fait encore l’objet d’aucune réglementation. Nous devons traiter leurs vulnérabilités avant que les auteurs d’attaques ne trouvent comment les exploiter.
Tout cela ne fait qu’apporter de l’eau au moulin de ceux qui, de plus en plus nombreux dans les entreprises et dans le secteur de la sécurité, ont conscience qu’un seul indicateur pris isolément est trop vulnérable. La protection la plus efficace combine au moins deux des éléments suivants : ce que nous sommes, c’est-à-dire notre corps, ce que nous savons, c’est-à-dire nos informations personnelles, et ce que nous possédons, c’est-à-dire les mots de passe ou codes.
La collaboration sera essentielle : entre les développeurs de technologies biométriques d’authentification et d’identification, le secteur de la sécurité et les entreprises qui mettront en œuvre les produits finis. Nous avons tous la responsabilité d’élaborer des solutions qui facilitent et rendent plus sûre la vie des innocents et plus difficile, voire impossible, celle des coupables. Nous ne pouvons-nous permettre d’échouer. Chacun d’entre nous n’a qu’un corps.