• Michel Cornelis

Biométrie : facilité sans doute, sécurité certainement pas !

Mis à jour : 2 mai 2018

Un court billet pour actualiser le blog qui tourne un peu au ralenti en ce moment.

La biométrie s'invite depuis quelques années dans nos passeports, mais également dans nos objets connectés comme les PC ou téléphones portables. Ainsi, le nouveau Samsung Galaxy S8, lancé cette semaine à grand renfort de marketing, propose-t-il pas moins de trois modes d'accès biométriques différents : la reconnaissance d'empreintes digitales, la reconnaissance faciale ou l'analyse de l'iris.

Je ne remets nullement en question le fait que ces marqueurs permettent d'identifier un individu avec un risque d'erreur proche du zéro absolu. Rien à redire du côté discriminant de ces techniques.

La facilité d'usage dépend essentiellement de la technologie du capteur et des conditions ambiantes (les empreinte digitales avec des mouffles, ça fonctionne moins bien). Nul doute également que les capteurs s'améliorent rapidement, tant en précision qu'en rapidité.


Le confort d'utilisation est également au rendez-vous : en cumulant le privé et le professionnel, je gère actuellement 278 accès informatiques avec des identifiants et des mots de passe différents et qui obéissent à des règles de sécurité (majuscules, chiffres, caractères spéciaux...) et de renouvellement (fréquence et synchronicité) différentes, accompagnés de 5 digipass que je n'ai pas toujours avec moi au moment où j'en ai besoin.

Il est évidemment tentant de se dire que tout cela peut être remplacé une fois pour toutes par quelque chose que j'ai toujours sur moi et que je ne dois pas retenir, comme mes empreintes, mes yeux ou mon visage.


Toutefois, si l'on réfléchit un peu sur le plan de la sécurité, l'image est nettement moins positive. 

En effet, le capteur biométrique ne fait jamais que convertir vos empreintes, votre iris ou votre visage en un fichier informatique composé de 0 et de 1. Ce fichier est ensuite envoyé à un serveur quelconque (qui peut être interne ou externe à votre appareil), où il est comparé à un autre fichier de référence, exactement comme un mot de passe est comparé au mot de passe stocké dans l'application que vous essayez d'ouvrir.

Dans le cas de l'identification biométrique, la comparaison ne doit pas être parfaite pour ouvrir l'accès. En effet, nous n'avez pas toujours exactement la même tête tous les jours. Disons que la concordance est recherchée sur quelques points clés. Mais ce n'est pas là que se situent les risques principaux. On peut même accepter le fait que le "mot de passe" biométrique ainsi constitué est plus robuste qu'un mot de passe en lettres et en chiffres, aussi compliqué soit-il.

Les risques principaux sont au nombre de deux :

  1. Si c'est un peu plus compliqué avec les empreintes digitales, la reconnaissance faciale ou de l'iris est très facilement trompable avec une simple photo de bonne qualité de la personne (en tout cas, au moment de publier ce billet). Et voilà toute la sécurité compromise avec des moyens à la portée de tout un chacun ;

  2.  Si le fichier informatique biométrique d'identification est intercepté d'une manière ou d'une autre (et dieu sait que les exemples récents de pertes de données "dans la nature" de géants du net sont légion), il peut resservir pour être injecté via un malware quelconque dans le système d'identification. Et si la sécurité de votre biométrie est compromise, contrairement à un mot de passe, vous ne pouvez pas en changer ! ​C'est fichu pour toujours, et pour tous vos accès d'un coup ! De votre abonnement à Sudpresse jusqu'à votre compte bancaire... Et vous voilà quitte (si vous vous en rendez compte à temps !) pour remettre des bons vieux mots de passe en urgence sur tous vos comptes...

​L'entreprise qui a récemment défrayé la chronique parce qu'elle a implanté une puce dans un pli de peau de la main de ses employés a évidemment bien compris tout ça : la puce, elle, est remplaçable ou reprogrammable à tout moment, et peu, au besoin, contenir divers niveaux d'accès ou même des identifiants dynamiques qui sont modifiés à chaque accès.

Moralité : réservez les accès biométriques de vos PC et téléphones à ce qu'ils sont : des gadgets qui facilitent la vie pour accéder à votre abonnement à des sites non sensibles, et sécurisez sérieusement vos applications critiques.

© Tous droits réservés - Michel ​Cornelis (Ilomyde)​ - 2014-2019

Conditions générales