Free cookie consent management tool by TermsFeed
C'est pas mon idée !

vendredi 24 mai 2013

Hypothèse : le risque oublié de la biométrie

Crédit Mutuel Arkéa
Après 6 mois d'expérimentation de la solution de paiement biométrique de Natural Security, le Crédit Mutuel Arkéa fait état du succès rencontré (avec 96% d'utilisateurs séduits), qu'il faut cependant relativiser puisque seuls 112 volontaires ont tenté l'aventure. Cette actualité n'est cependant qu'un prétexte pour faire un point sur les perspectives de la biométrie et les risques qu'elle pourrait induire.

Déjà aujourd'hui, le débat est animé autour de l'enjeu pour les libertés individuelles. Celui-ci est en particulier au cœur de l'exigence de la CNIL française (Commission Nationale de l'Informatique et des Libertés) de ne jamais centraliser les informations biométriques des personnes (elles doivent toujours rester en leur possession). Mais est-ce vraiment le seul problème qui se pose ? Et si l'apparent surcroît de sécurité apporté par ces dispositifs n'était finalement qu'un leurre ?

Paiement biométrique

Évidemment, l'adoption d'une caractéristique biologique pour la sécurité des systèmes informatiques a ses avantages, notamment par le fait qu'elle ne requiert aucun effort de la part de l'utilisateur (à l'inverse d'un mot de passe, qui doit être mémorisé). Autre bénéfice avancé, l'essence même de la biométrie rend impossible l'usurpation de la donnée d'authentification par un tiers, puisqu'elle fait partie intégrante de l'individu identifié. Vraiment ?

Il n'est pas besoin de tomber dans l'excès paranoïaque (et d'imaginer, par exemple, des gangsters coupant les doigts de leurs victimes afin d'utiliser leur empreinte digitale) pour émettre des doutes. En effet, les dispositifs biométriques sont des composants technologiques comme les autres, donc susceptibles de comporter des failles de sécurité. Or, l'histoire démontre qu'elles seront fatalement découvertes et exploitées, un jour ou l'autre.

Que se passera-t-il alors si (ou plutôt "quand", même si on peut reconnaître que l'échéance est certainement lointaine) les hackers parviennent à capturer les informations biométriques (numérisées) et à les exploiter ? L'utilisateur ne pouvant les changer (comment modifier ses propres empreintes digitales ?), il n'aura d'autre solution que de clore son "compte" (quel qu'il soit), sans plus aucune possibilité d'y accéder, jusqu'à l'hypothétique introduction d'une nouvelle technologie d'authentification.

Dans le cas de l'implémentation de Natural Security (et du Crédit Mutuel Arkéa), ce risque est modéré par l'utilisation d'un deuxième facteur d'authentification, prenant la forme de la carte que doit posséder le client pour s'authentifier. Néanmoins, une solution de paiement possède naturellement un fort pouvoir d'attraction pour les escrocs en tout genre et il serait exagérément optimiste de penser que ceux-ci se laisseront décourager par un tel obstacle.

En conclusion, la biométrie peut certes contribuer à améliorer la sécurité des applications sensibles mais elle ne constitue pas une panacée, du fait de la permanence des caractéristiques utilisées et, par conséquent, de l'irreversibilité d'une compromission des données correspondantes. De ce fait, son usage devrait probablement être limité, a minima en en faisant un élément secondaire dans une approche d'authentification multi-facteurs, afin d'éviter d'en faire le principal enjeu d'une course à l'armement qui pourrait avoir des conséquences graves.

1 commentaire:

  1. En fait il existe déjà des méthodes pour copier une empreinte digitale et l'utiliser sur des dispositifs de sécurité de biométrie. Cette vidéo de 2007 en est un exemple : http://www.bhmag.fr/actualites/le-finger-print-reader-pirate-6662

    Il me semble que le célèbre groupe de hackers Allemands Chaos Computer Club à fait parler de lui sur le sujet également en publiant l'emprunte digitale d'un député. Bref tout ce que vous dites est vrai, sauf que les failles ne sont pas dans un avenir lointain , elle sont déjà là. Mais en fait le pire serait un système sans faille. Je m'explique, si seul vous pouvez accéder à quelque chose, si quelqu'un d'autre veut le faire malgré tout, il le fera en votre présence. Sécuriser les biens de façon trop importante met donc en danger les personnes, d'où le car jacking et les saucissonnages dans des voitures et maisons tellement sécurisée qu'il faut que les proprios soient là pour sévir...

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)