Qu'est-ce que la biométrie?

La biométrie représente la mesure biologique ou les caractéristiques physiques qui peuvent être utilisées pour identifier les individus. Le mappage des empreintes digitales, la reconnaissance faciale et les empreintes rétiniennes sont tous des formes de technologie biométrique, mais il ne s'agit là que des options les plus connues.

Les chercheurs affirment que la forme de l'oreille, la manière de s'assoir et de marcher, les odeurs corporelles uniques, les veines des mains, et même les contorsions faciales sont d'autres identificateurs uniques.

Puisque les caractéristiques physiques sont relativement fixes et personnalisées (même pour des jumeaux), elles sont utilisées pour remplacer ou au moins accroître la sécurité des systèmes de mots de passe pour les ordinateurs, les téléphones, ainsi que pour les salles et les immeubles à accès restreint.

La biométrie avancée est également utilisée pour protéger les documents sensibles. Citibank utilise déjà la reconnaissance vocale et la banque britannique Halifax teste des appareils qui contrôlent les battements du cœur pour vérifier l'identité des clients. Ford envisage même de placer des capteurs biométriques dans les voitures.

La biométrie est intégrée dans les passeports électroniques partout dans le monde. Aux États-Unis, les passeports électroniques sont dotés d'une puce qui contient une photographie numérique du visage, des empreintes digitales ou de l'iris, et sont équipés d'une technologie qui empêche la puce d'être lue (et les données d'être récupérées) par des lecteurs non autorisés.

Améliorations biométriques

Les scanners biométriques sont de plus en plus perfectionnés. Par exemple, la technologie de reconnaissance faciale sur l'iPhone X d'Apple projette 30 000 points de lumière infrarouge sur le visage de l'utilisateur pour l'identifier par la mise en correspondance de schémas. La probabilité de se tromper d'identité est de une sur un million, selon Apple.

Le nouveau smartphone LG V30 associe la lecture faciale et la reconnaissance vocale au lecteur d'empreintes digitales et conserve les données sur le téléphone pour une plus grande sécurité. CrucialTec, un fabricant de capteurs, relie un capteur de fréquence cardiaque à ses scanners d'empreintes digitales pour une authentification à deux étapes. Cela permet de veiller à ce que des empreintes digitales clonées ne puissent pas être utilisées pour accéder à ses systèmes.

Le problème est que les scanners biométriques, y compris les systèmes de reconnaissance faciale, peuvent être dupés. Des chercheurs de l'Université de Caroline du Nord de Chapel Hill ont téléchargé les photos de 20 bénévoles sur les réseaux sociaux et les ont utilisées pour construire des modèles 3D de leur visage. Ils ont réussi à déjouer quatre des cinq systèmes de sécurité qu'ils ont testés.

Il y a partout des exemples de clonage d'empreintes digitales. Un exemple de la conférence de sécurité Black Hat a démontré qu'une empreinte pouvait être clonée de manière fiable en une quarantaine de minutes avec du matériel d'une valeur de 10 $, en réalisant simplement une impression de l'empreinte digitale dans du plastique moulé ou de la cire de bougie.

Deux jours seulement après le lancement de l’iPhone 5S, le Chaos Computer Club d'Allemagne avait déjà réussi à pirater le lecteur d'empreintes digitales TouchID. Le groupe a simplement photographié une empreinte digitale sur une surface en verre et l'a utilisée pour déverrouiller l'iPhone 5s.

Protéger l'identité biométrique

L'accès non autorisé devient plus difficile lorsque les systèmes nécessitent plusieurs moyens d'authentification, tels que la détection de vie (comme clignoter des yeux) et l'association d'échantillons codés aux utilisateurs au sein de domaines chiffrés. Certains systèmes de sécurité comprennent également des fonctionnalités supplémentaires, comme l'âge, le sexe et la taille sous la forme de données biométriques pour contrecarrer les pirates.

Le programme de l'autorité indienne chargée de l'identification unique est un bon exemple. Lancé en 2009, le programme d'authentification à plusieurs étapes intègre la reconnaissance de l'iris, les empreintes digitales des 10 doigts, ainsi que la reconnaissance faciale. Ces informations sont associées à une carte d'identification unique qui est émise à chacun des 1,2 milliard d'habitants. Bientôt, cette carte sera obligatoire pour toute personne souhaitant accéder aux services sociaux indiens.

Le positif et le négatif

L'authentification biométrique est pratique, mais les défenseurs de la protection des renseignements personnels craignent que la sécurité biométrique érode la protection de la vie privée. L'inquiétude, c'est que les données à caractère personnel puissent être collectées facilement et sans consentement.

La reconnaissance faciale fait partie du quotidien des habitants de plusieurs villes chinoises, où elle est utilisée pour les achats courants. La ville de Londres est également réputée pour ses caméras CCTV parsemées dans toute la ville. Aujourd'hui, New York, Chicago et Moscou relient les caméras CCTV de leurs villes à leurs bases de données de reconnaissance faciale afin d'aider la police locale à lutter contre la criminalité. Dans l'optique d'accroître l'utilisation de la technologie, l'Université Carnegie Mellon développe une caméra qui peut scanner l'iris d'un individu au milieu d'une foule à une distance de 10 mètres.

La mise en place de la reconnaissance faciale est prévue pour 2018 à l'aéroport de Dubaï, où les voyageurs pourront être photographiés par 80 caméras en passant sous un tunnel dans un aquarium virtuel.

Les caméras de reconnaissance faciale sont déjà installées dans d'autres aéroports du monde entier, y compris ceux de Helsinki, Amsterdam, Minneapolis-St., Paul et Tampa. Toutes ces données doivent être stockées quelque part, ce qui alimente les craintes d'une surveillance constante et d'une utilisation abusive des données.

Le fait que les bases de données contenant des renseignements personnels soient des cibles pour les pirates est un problème plus immédiat. Par exemple, lorsque l'Office of Personnel Management des États-Unis a été piraté en 2015, les cybercriminels ont dérobé les empreintes digitales de 5,6 millions d'employés du gouvernement, ce qui les a exposés à l'usurpation d'identité.

Stocker des données biométriques sur un appareil (comme Face ID et TouchID de l'iPhone) est considéré comme plus sûr que de les stocker auprès d'un fournisseur de services, même lorsque les données sont chiffrées.

Ce risque est similaire à celui d'une base de données de mots de passe dont le système peut être forcé et dont les données qui ne sont pas suffisamment protégées peuvent être volées. Toutefois, les conséquences sont nettement différentes. Si un mot de passe est compromis, il peut être modifié. En revanche, les données biométriques restent toujours les mêmes.

Les risques sont réels, mais la technologie biométrique offre tout de même des solutions performantes en matière de sécurité, puisque les systèmes sont pratiques et difficiles à reproduire. Elles constituent une bonne technologie de remplacement pour les noms d'utilisateur dans le cadre d'une stratégie d'authentification à deux facteurs qui intègre une partie de vous (biométrie), quelque chose que vous possédez (comme un jeton matériel) ou quelque chose que vous connaissez (un mot de passe par exemple). C'est une puissante combinaison, surtout compte tenu de la prolifération des appareils connectés.

Articles connexes :

• Qu'est-ce qu'un adware?
• Qu'est-ce qu'un cheval de Troie?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Courriers indésirables et phishing

Produits associés :

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android