{"id":1444,"date":"2013-08-19T12:00:06","date_gmt":"2013-08-19T12:00:06","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=1444"},"modified":"2020-02-26T15:43:10","modified_gmt":"2020-02-26T15:43:10","slug":"pouvons-nous-faire-confiance-a-lauthentification-biometrique","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pouvons-nous-faire-confiance-a-lauthentification-biometrique\/1444\/","title":{"rendered":"Pouvons-nous faire confiance \u00e0 l’authentification biom\u00e9trique ?"},"content":{"rendered":"

Chaque jour, des millions d\u2019ordinateurs r\u00e9solvent le m\u00eame probl\u00e8me et il s\u2019agit d\u2019un probl\u00e8me incroyablement difficile pour eux. Toutes ces machines essaient de v\u00e9rifier, si vous \u00eates bien vous-m\u00eame et non pas une autre personne. L\u2019outil le plus populaire pour faire cela est la v\u00e9rification de mot de passe. Mais il est aussi facile de voler un mot de passe que de l\u2019oublier. Ces probl\u00e8mes avec les mots de passe<\/a> soulignent le besoin d\u2019un autre syst\u00e8me d\u2019authentification des utilisateurs. Une id\u00e9e tr\u00e8s simple et plut\u00f4t attractive est l\u2019authentification biom\u00e9trique qui vous permet d\u2019avoir juste \u00e0 poser votre doigt sur un scanner, \u00e0 regarder une cam\u00e9ra ou encore \u00e0 dire une phrase pour vous authentifier. Vos doigts, vos yeux et votre voix sont toujours avec vous, non ? Et les autres ne les ont pas. Malheureusement, cette id\u00e9e int\u00e9ressante pr\u00e9sente de nombreux inconv\u00e9nients et c\u2019est la raison pour laquelle nous n\u2019utilisons pas encore nos empreintes digitales pour nous identifier dans Google ou retirer de l\u2019argent dans un guichet automatique.<\/p>\n

\"biometric_title_FR\"<\/a><\/p>\n

Je parlerai de certains de ces probl\u00e8mes plus en d\u00e9tails, mais commen\u00e7ons par un bref r\u00e9sum\u00e9 : la correspondance est difficile \u00e0 obtenir, il est presque impossible de changer votre \u00ab\u00a0mot de passe\u00a0\u00bb et il est assez compliqu\u00e9 de mettre en place le chiffrement d\u2019un \u00ab\u00a0mot de passe\u00a0\u00bb biom\u00e9trique de mani\u00e8re r\u00e9ellement s\u00e9curis\u00e9e. Si l\u2019on compare le concept \u00e0 sa mise en place dans la r\u00e9alit\u00e9, on se rend compte d\u2019un probl\u00e8me vital et \u00e9vident \u2013 il est possible de contrefaire la plupart des caract\u00e9ristiques biom\u00e9triques en utilisant des outils simples et bon march\u00e9s.<\/p>\n

Inconnus \u2013 danger<\/b><\/p>\n

La plus grand diff\u00e9rence entre l\u2019authentification biom\u00e9trique et l\u2019authentification traditionnelle avec un mot de passe est l\u2019absence d\u2019une correspondance parfaite entre la copie originale et celle v\u00e9rifi\u00e9e dans la r\u00e9alit\u00e9. \u00a0Il n\u2019est tout simplement pas possible d\u2019obtenir deux empreintes digitales du m\u00eame doigt compl\u00e8tement identiques et cela devient encore plus compliqu\u00e9 quand vous essayez de faire correspondre des visages. Les traits du visage peuvent changer ou tout simplement \u00eatre illisibles suivant l\u2019\u00e9clairage, le moment de la journ\u00e9e, le port de lunettes, de barbe, de maquillage, etc., sans parler du vieillissement naturel. La voix peut aussi \u00eatre affect\u00e9e par de nombreux facteurs, par exemple, si vous avez la grippe. Dans ces conditions, il est extr\u00eamement difficile de construire un syst\u00e8me capable de toujours reconnaitre le propri\u00e9taire l\u00e9gitime d\u2019un compte et de toujours bloquer les inconnus.<\/p>\n

Pour r\u00e9soudre ce probl\u00e8me, chaque syst\u00e8me biom\u00e9trique essaie d\u2019\u00e9liminer tous les \u00e9l\u00e9ments bruyants, temporaires et non n\u00e9cessaires des analyses qu\u2019il r\u00e9alise afin de ne garder que des caract\u00e9ristiques acceptables pour r\u00e9aliser une comparaison math\u00e9matique. N\u00e9anmoins, m\u00eame ce \u00ab\u00a0squelette\u00a0\u00bb doit correspondre \u00e0 l\u2019original. Pour les syst\u00e8mes de s\u00e9curit\u00e9 moyens, le taux d\u2019inconnus admis \u00a0est estim\u00e9 \u00e0 un sur 10000 tentatives et le taux de blocage des utilisateurs l\u00e9gitimes est estim\u00e9 \u00e0 un sur 50 cas. Quand il s\u2019agit de plateformes mobiles, des conditions externes variables, par exemple l\u2019\u00e9clairage et certaines vibrations peuvent consid\u00e9rablement augmenter le taux d\u2019erreur, c\u2019est pourquoi la reconnaissance faciale d\u2019Android \u00e9choue dans 30 \u00e0 40% des cas.<\/p>\n

\"bio-face\"<\/a><\/p>\n

Un mot de passe pour la vie<\/b><\/p>\n

Si vous oubliez votre mot de passe ou que celui-ci a \u00e9t\u00e9 vol\u00e9, vous pouvez le changer. Si vous perdez vos cl\u00e9s, vous pouvez changer la serrure. Mais que faire si votre compte en banque est \u00ab\u00a0verrouill\u00e9\u00a0\u00bb gr\u00e2ce \u00e0 une image de la paume de votre main, comme certaines banques le font au Br\u00e9sil ou au Japon, et que cette base de donn\u00e9es est vol\u00e9e ?<\/p>\n

Il est tr\u00e8s difficile de changer votre paume. M\u00eame s\u2019il n\u2019existe pas \u00e0 ce jour de technologie capable de falsifier la paume d\u2019une main, personne ne peut garantir que cela n\u2019existera pas dans 5 ou 10 ans. Votre paume sera toujours l\u00e0.<\/p>\n

Ce probl\u00e8me fondamental pourrait partiellement \u00eatre r\u00e9solu gr\u00e2ce aux empreintes \u2013 vous pouvez rentrer seulement 2 ou 4 doigts au lieu des 10, il vous resterait ainsi des possibilit\u00e9s de changer votre mot de passe. Mais cette solution est assez limit\u00e9e, probablement trop limit\u00e9e en comparaison avec la dur\u00e9e de notre vie. Le piratage des comptes en ligne arrive trop souvent<\/a>, il peut donc \u00eatre effrayant de leur confier nos pr\u00e9cieuses informations biom\u00e9triques. Le fait que la plupart des services stockent juste des \u00ab\u00a0squelettes\u00a0\u00bb, un d\u00e9riv\u00e9 biom\u00e9trique, ne rend pas vraiment les choses plus faciles \u2013 de nombreuses \u00e9tudes ont d\u00e9montr\u00e9 qu\u2019il est possible de reconstruire des empreintes digitales par exemple, qui ne seront pas identiques aux originales mais qui seront suffisantes pour passer l\u2019authentification.<\/p>\n

\"bio-fake-2\"<\/a><\/p>\n

De plus, l\u2019authentification biom\u00e9trique en ligne pose des probl\u00e8mes de confidentialit\u00e9. Le \u00ab\u00a0mot de passe\u00a0\u00bb biom\u00e9trique vous identifie clairement et il devient impossible d\u2019avoir deux comptes s\u00e9par\u00e9s sur le m\u00eame r\u00e9seau social \u2013 un site est capable de d\u00e9tecter qu\u2019il s\u2019agit de la m\u00eame personne. \u00c0 proprement parler, des centaines et m\u00eame des milliers d\u2019utilisateurs poss\u00e8dent certainement des caract\u00e9ristiques biom\u00e9triques quasiment impossible \u00e0 diff\u00e9rencier. N\u00e9anmoins, avec l\u2019aide de la g\u00e9olocalisation et autres m\u00e9tadonn\u00e9es qui accompagnent la demande de l\u2019utilisateur, il est tout a fait possible de cr\u00e9er un profile unique pour chaque utilisateur. Si l\u2019on r\u00e9ussit \u00e0 mettre en place l\u2019authentification biom\u00e9trique sur tous les sites populaires, le pistage en ligne des utilisateurs<\/a> sera alors un jeu d\u2019enfant.<\/p>\n

Un cadenas digital<\/b><\/p>\n

Le but premier des mots de passe et potentiellement des caract\u00e9ristiques biom\u00e9triques est d\u2019acc\u00e9der \u00e0 divers appareils et services. Une autre fonction populaire consiste \u00e0 restreindre l\u2019utilisation aux donn\u00e9es qui sont stock\u00e9es sur votre appareil. Dans le second cas, il est difficile d\u2019utiliser les caract\u00e9ristiques biom\u00e9triques.<\/p>\n

Quand vous placez des documents dans un coffre-fort verrouill\u00e9 gr\u00e2ce \u00e0 vos empreintes digitales, vos documents sont prot\u00e9g\u00e9s par les murs du coffre et vous devez utiliser une perceuse puissante pour contourner le syst\u00e8me d\u2019analyse d\u2019empreintes digitales. Si vous utilisez seulement un contr\u00f4le d\u2019acc\u00e8s sur votre ordinateur, il est extr\u00eamement facile d\u2019\u00e9viter toute v\u00e9rification, l\u2019\u00e9quivalent de ces murs d\u2019acier est donc le chiffrement. Et c\u2019est l\u00e0 que \u00e7a se complique. Quand vous chiffrez quelque chose avec un mot de passe, une cl\u00e9 de chiffrement sp\u00e9ciale est cr\u00e9e \u00e0 partir de votre mot de passe. Si vous changez ne serait-ce qu\u2019un caract\u00e8re de votre mot de passe, la cl\u00e9 de chiffrement sera compl\u00e8tement diff\u00e9rente et inutile. Mais les \u00ab\u00a0mots de passe\u00a0\u00bb biom\u00e9triques sont l\u00e9g\u00e8rement diff\u00e9rents \u00e0 chaque demande d\u2019acc\u00e8s, il est donc tr\u00e8s compliqu\u00e9 de les utiliser directement pour le chiffrement. C\u2019est pourquoi les \u00ab\u00a0cadenas digitales\u00a0\u00bb existant sur le march\u00e9 se reposent sur des syst\u00e8mes Cloud \u2013 la correspondance biom\u00e9trique se produit du c\u00f4t\u00e9 du serveur, et si elle est concluante, le serveur fournit la cl\u00e9 de d\u00e9chiffrement du client. Bien s\u00fbr, cela cause des risques consid\u00e9rables de fuites de donn\u00e9es massives \u2013 le piratage du serveur peut compromettre aussi bien les cl\u00e9s de chiffrements que les donn\u00e9es biom\u00e9triques.<\/p>\n

Biom\u00e9trie dans la vie r\u00e9elle<\/b><\/p>\n

Mis \u00e0 part les films de science-fiction et les d\u00e9veloppements militaires, nous pouvons penser \u00e0 deux cas d\u2019authentification biom\u00e9trique automatique que vous pourriez rencontrer. Des essais sont men\u00e9s dans certaines banques \u2013 elles utilisent, par exemple, l\u2019analyse de la paume de l\u2019utilisateur dans certains distributeurs automatiques ainsi que l\u2019authentification de la voix pour certains services t\u00e9l\u00e9phoniques. Les scanners int\u00e9gr\u00e9s dans certains appareils \u00e9lectroniques, tels que les ordinateurs portables et les smartphones sont une autre forme d\u2019utilisation de la biom\u00e9trie dans la vie r\u00e9elle. L\u2019appareil photo frontal peut \u00eatre utilis\u00e9 pour d\u00e9tecter un visage et certains capteurs peuvent identifier les empreintes digitales. Certains syst\u00e8mes utilisent \u00e9galement la reconnaissance vocale. En plus des probl\u00e8mes g\u00e9n\u00e9raux mentionn\u00e9s pr\u00e9c\u00e9demment, ces mises en place destin\u00e9es aux utilisateurs ont leurs limites : celles-ci devant se soumettre \u00e0 des contraintes telles que la puissance du CPU, le prix des capteurs et les dimensions physiques \u2013 pour g\u00e9rer ses contraintes, les d\u00e9veloppeurs doivent sacrifier la s\u00e9curit\u00e9 et la r\u00e9sistance du syst\u00e8me. C\u2019est pourquoi il est facile de tromper certains scanners \u00e0 l\u2019aide d\u2019un papier mouill\u00e9 dot\u00e9 d\u2019empreintes digitales imprim\u00e9es dessus \u00e0 l\u2019aide d\u2019une imprimante d\u2019ordinateur classique<\/a> ou d\u2019un moule de g\u00e9latine. Et quand il s\u2019agit de se faire des b\u00e9n\u00e9fices, les fraudeurs peuvent \u00e9galement cr\u00e9er un faux doigt<\/a> \u2013 des techniques criminelles impliquant de tels outils existent d\u00e9j\u00e0. En outre, les utilisateurs l\u00e9gitimes essaient souvent de passer leurs doigts plusieurs fois afin d\u2019obtenir un acc\u00e8s, la plupart des capteurs pourraient ne pas fonctionner si le doigt est mouill\u00e9, recouvert de cr\u00e8me, quelque peu sale, etc.<\/p>\n

\"bio-fake-1\"<\/a><\/p>\n

Les syst\u00e8mes de reconnaissance faciale sont rarement capables de distinguer les vrais visages des photos (bien qu\u2019ils le peuvent s\u2019ils sont dot\u00e9s d\u2019un d\u00e9tecteur de mouvement, par exemple, s\u2019ils requi\u00e8rent un clignement d\u2019\u0153il). Mais quand vous utilisez la reconnaissance faciale pour d\u00e9verrouiller votre mobile, celle-ci est d\u00e9j\u00e0 trop sensible aux conditions d\u2019\u00e9clairage et \u00e0 l\u2019environnement environnant et vous ne voulez pas empirer les choses en ajoutant des syst\u00e8mes de v\u00e9rification additionnels. Et vous devez disposer d\u2019une roue de secours \u2013 un bon vieux mot de passe \u2013 sinon vous ne pourrez pas d\u00e9verrouiller votre mobile dans le noir.<\/p>\n

La plupart des d\u00e9veloppeurs de syst\u00e8mes de reconnaissance vocale affirment que ces derniers sont capables de d\u00e9tecter les contrefa\u00e7ons \u2013 aussi bien les enregistrements que les imposteurs. Dans la r\u00e9alit\u00e9, seuls les syst\u00e8mes les plus performants r\u00e9alisent toutes les v\u00e9rifications les plus avanc\u00e9es, et certains chercheurs<\/a> affirment que les logiciels d\u2019alt\u00e9ration de la voix pourraient pi\u00e9ger les syst\u00e8mes de reconnaissance dans 17% des cas. Il est compliqu\u00e9 de mettre en place une analyse en temps r\u00e9el sur un appareil mobile, une aide du Cloud est donc n\u00e9cessaire, mais l\u2019authentification bas\u00e9e sur le Cloud est plus lente, selon la qualit\u00e9 de la connexion Internet (ou si celle-ci est tout simplement disponible) et ce syst\u00e8me peut faire l\u2019objet d\u2019attaques de l\u2019homme du milieu. Au fait, les attaques MITM sont surtout dangereuses pour les syst\u00e8mes de reconnaissance vocale, parce que il est bien plus facile d\u2019obtenir des \u00e9chantillons vocaux que d\u2019autres \u00e9chantillons biom\u00e9triques.<\/p>\n

Cette combinaison d\u2019inconv\u00e9nients pratiques pour les utilisateurs l\u00e9gitimes et une s\u00e9curit\u00e9 insuffisante emp\u00eachent l\u2019authentification biom\u00e9trique de devenir une norme de la s\u00e9curit\u00e9 des appareils mobiles, rempla\u00e7ant ainsi les mots de passe traditionnels et les jetons \u00e9lectroniques. Un syst\u00e8me de v\u00e9rification s\u00fbr et s\u00e9curis\u00e9 bas\u00e9 sur la biom\u00e9trie est d\u00e9sormais possible uniquement sous certaines conditions : dans les syst\u00e8mes de contr\u00f4le dans les a\u00e9roports ou \u00e0 l\u2019entr\u00e9e d\u2019un bureau par exemple. Cela ne marchera pas aussi bien partout dans le monde avec votre smartphone analysant vos mains.<\/p>\n","protected":false},"excerpt":{"rendered":"

Chaque jour, des millions d\u2019ordinateurs r\u00e9solvent le m\u00eame probl\u00e8me et il s\u2019agit d\u2019un probl\u00e8me incroyablement difficile pour eux. Toutes ces machines essaient de v\u00e9rifier, si vous \u00eates bien vous-m\u00eame et<\/p>\n","protected":false},"author":32,"featured_media":1446,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[386,61],"class_list":{"0":"post-1444","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-biometrie","9":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pouvons-nous-faire-confiance-a-lauthentification-biometrique\/1444\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/biometrie\/","name":"biom\u00e9trie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=1444"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1444\/revisions"}],"predecessor-version":[{"id":13975,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/1444\/revisions\/13975"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/1446"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=1444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=1444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=1444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}