Qu’est-ce que la biométrie ? Comment est-elle utilisée dans le domaine de la sécurité ?

La biométrie est une mesure avancée présente dans les systèmes de sécurité d’un nombre croissant d’individus et d’entreprises. Le caractère unique de vos identifiants biologiques et comportementaux peut faire paraître cette méthode infaillible. Toutefois, l’utilisation de l’identité en tant qu’authentification autonome biométrique a suscité de nombreuses réserves.

La cybersécurité moderne se concentre sur la réduction des risques pour cette solution de sécurité puissante. En effet, les mots de passe traditionnels ont longtemps été un point faible des systèmes de sécurité. La biométrie vise à répondre à ce problème en liant la preuve d’identité à notre corps et à notre type de comportement.

Dans cet article, nous examinerons les bases de l’utilisation de la biométrie dans le domaine de la cybersécurité. Pour vous aider à y voir plus clair, nous allons répondre à quelques questions courantes sur la biométrie :

• Que signifie le terme « biométrie » ?
• Qu’est-ce qu’une donnée biométrique ?
• Qu’est-ce qu’un scanner biométrique ?
• Quels sont les risques liés à la sécurité biométrique ?
• Comment rendre la biométrie plus sûre ?

Commençons par les bases.

Qu’est-ce que la biométrie ?

Brève définition de la biométrie : la biométrie représente la mesure biologique ou les caractéristiques physiques qui peuvent être utilisées pour identifier les individus. Par exemple, le mappage des empreintes digitales, la reconnaissance faciale et les empreintes rétiniennes sont tous des formes de technologie biométrique, mais il ne s’agit là que des options les plus connues.

Les chercheurs affirment que la forme de l’oreille, la manière de s’asseoir et de marcher, les odeurs corporelles uniques, les veines des mains, et même les contorsions faciales sont d’autres identificateurs uniques. Ces caractéristiques définissent la biométrie.

Trois types de sécurité biométrique

Bien qu’elles puissent avoir d’autres applications, les données biométriques ont souvent été utilisées dans le domaine de la sécurité et peuvent être classées en trois catégories :

1. Biométrie biologique
2. Biométrie morphologique
3. Biométrie comportementale

La biométrie biologique utilise les caractéristiques génétiques et moléculaires. Il peut s’agir de caractéristiques comme l’ADN ou le sang, qui peuvent être analysées à partir d’un échantillon des fluides corporels.

La biométrie morphologique concerne la structure du corps. D’autres traits physiques, comme les yeux, les empreintes digitales ou la forme du visage, peuvent être cartographiés pour être utilisés avec des scanners de sécurité.

La biométrie comportementale repose sur des habitudes propres à chaque individu. Votre façon de marcher, parler ou même taper sur un clavier peut être une indication de votre identité si ces habitudes sont enregistrées.

Travaux en sécurité biométrique

L’identification biométrique joue un rôle croissant dans notre sécurité quotidienne. Les caractéristiques physiques sont relativement fixes et individualisées, même chez les jumeaux. L’identité biométrique unique de chacun peut être utilisée pour remplacer ou au moins compléter les systèmes de mots de passe sur les ordinateurs, les téléphones, les salles et les bâtiments à accès limité.

Une fois les données biométriques obtenues et répertoriées, elles sont enregistrées afin d’être associées à de futures tentatives d’accès. La plupart du temps, ces données sont chiffrées et conservées dans l’appareil ou sur un serveur distant.

Les scanners biométriques sont des équipements utilisés pour capter les données biométriques afin de vérifier l’identité. Ces analyses sont comparées aux bases de données enregistrées afin d’approuver ou refuser l’accès au système.

Autrement dit, la sécurité biométrique fait de votre corps la « clé » pour déverrouiller votre accès.

La biométrie est largement utilisée en raison de deux avantages majeurs :

• Sa facilité d’utilisation : Les données biométriques vous accompagnent en permanence et ne peuvent être ni perdues ni oubliées.
• La difficulté à voler ou usurper les données : Les données biométriques ne peuvent pas être volées, contrairement à un mot de passe ou une clé.

Bien qu’imparfaits, ces systèmes sont très prometteurs pour l’avenir de la cybersécurité.

Exemples de sécurité biométrique

Voici quelques exemples courants de sécurité biométrique :

• Reconnaissance de la voix
• Lecture des empreintes digitales
• Reconnaissance faciale
• Reconnaissance de l’iris
• Capteurs de fréquence cardiaque

En pratique, la sécurité biométrique est déjà utilisée efficacement dans de nombreux secteurs.

La biométrie avancée est utilisée pour protéger les documents sensibles et les objets de valeur. Citibank utilise déjà la reconnaissance vocale et la banque britannique Halifax teste des appareils qui contrôlent les battements du cœur pour vérifier l'identité des clients. Ford envisage même de placer des capteurs biométriques dans les voitures.

La biométrie est intégrée dans les passeports électroniques partout dans le monde. Aux États-Unis, les passeports électroniques sont dotés d’une puce qui contient une photographie numérique du visage, des empreintes digitales ou de l’iris, et sont équipés d’une technologie qui empêche la puce d’être lue (et les données d’être récupérées) par des lecteurs non autorisés.

Au fur et à mesure que ces systèmes de sécurité sont déployés, nous voyons les avantages et les inconvénients se manifester en temps réel.

Les scanners biométriques sont-ils sûrs ? – Améliorations et préoccupations

Les scanners biométriques sont de plus en plus perfectionnés. On trouve même des données biométriques dans les systèmes de sécurité des téléphones. Par exemple, la technologie de reconnaissance faciale sur l’iPhone X d’Apple projette 30 000 points de lumière infrarouge sur le visage de l’utilisateur pour l’identifier par la mise en correspondance de schémas. Avec les données biométriques de l’iPhone X, la probabilité de se tromper d’identité est d’une sur un million, selon Apple.

Le smartphone LG V30 associe la lecture faciale et la reconnaissance vocale au lecteur d’empreintes digitales et conserve les données sur le téléphone pour une plus grande sécurité. CrucialTec, un fabricant de capteurs, relie un capteur de fréquence cardiaque à ses scanners d’empreintes digitales pour une authentification à deux étapes. Cela permet de veiller à ce que des empreintes digitales clonées ne puissent pas être utilisées pour accéder à ses systèmes.

Le problème est que les scanners biométriques, y compris les systèmes de reconnaissance faciale, peuvent être dupés. Des chercheurs de l'Université de Caroline du Nord de Chapel Hill ont téléchargé les photos de 20 bénévoles sur les réseaux sociaux et les ont utilisées pour construire des modèles 3D de leur visage. Ils ont réussi à déjouer quatre des cinq systèmes de sécurité qu’ils ont testés.

Il y a partout des exemples de clonage d'empreintes digitales. Un exemple de la conférence de sécurité Black Hat a démontré qu’une empreinte pouvait être clonée de manière fiable en une quarantaine de minutes avec du matériel d’une valeur de 10 $, en réalisant simplement une impression de l’empreinte digitale dans du plastique moulé ou de la cire de bougie.

Deux jours seulement après le lancement de l’iPhone 5S, le Chaos Computer Club d'Allemagne avait déjà réussi à pirater le lecteur d'empreintes digitales TouchID. Le groupe a simplement photographié une empreinte digitale sur une surface en verre et l'a utilisée pour déverrouiller l'iPhone 5s.

Biométrie – Questions de confidentialité et protection de l’identité

L'authentification biométrique est pratique, mais les défenseurs de la protection des renseignements personnels craignent que la sécurité biométrique érode la protection de la vie privée. L'inquiétude, c'est que les données à caractère personnel puissent être collectées facilement et sans consentement.

La reconnaissance faciale fait partie du quotidien des habitants de plusieurs villes chinoises, où elle est utilisée pour les achats courants. La ville de Londres est également réputée pour ses caméras CCTV parsemées dans toute la ville. Aujourd’hui, New York, Chicago et Moscou relient les caméras CCTV de leurs villes à leurs bases de données de reconnaissance faciale afin d’aider la police locale à lutter contre la criminalité. Dans l’optique d’accroître l’utilisation de la technologie, l’Université Carnegie Mellon développe une caméra qui peut scanner l’iris d’un individu au milieu d’une foule à une distance de 10 mètres.

La mise en place de la reconnaissance faciale a été mise en place en 2018 à l’aéroport de Dubaï, où les voyageurs sont photographiés par 80 caméras en passant sous un tunnel dans un aquarium virtuel.

Des caméras de reconnaissance faciale sont également installées dans d’autres aéroports du monde entier, y compris ceux de Helsinki, Amsterdam, Minneapolis-Saint Paul et Tampa. Toutes ces données doivent être stockées quelque part, ce qui alimente les craintes d’une surveillance constante et d’une utilisation abusive des données…

Questions relatives à la sécurité des données biométriques

Le fait que les bases de données contenant des renseignements personnels soient des cibles pour les pirates est un problème plus immédiat. Par exemple, lorsque l’Office of Personnel Management des États-Unis a été piraté en 2015, les cybercriminels ont dérobé les empreintes digitales de 5,6 millions d’employés du gouvernement, ce qui les a exposés à l’usurpation d’identité.

Stocker des données biométriques sur un appareil (comme Face ID et TouchID de l'iPhone) est considéré comme plus sûr que de les stocker auprès d'un fournisseur de services, même lorsque les données sont chiffrées.

Ce risque est similaire à celui d'une base de données de mots de passe dont le système peut être forcé et dont les données qui ne sont pas suffisamment protégées peuvent être volées. Toutefois, les conséquences sont nettement différentes. Si un mot de passe est compromis, il peut être modifié. En revanche, les données biométriques restent toujours les mêmes.

Comment protéger l’identité biométrique

Compte tenu des risques pour la vie privée et la sécurité, les systèmes biométriques doivent faire l’objet de protections supplémentaires.

L’accès non autorisé devient plus difficile lorsque les systèmes nécessitent plusieurs moyens d’authentification, tels que la détection de vie (comme clignoter des yeux) et l’association d’échantillons codés aux utilisateurs au sein de domaines chiffrés.

Certains systèmes de sécurité comprennent également des fonctionnalités supplémentaires, comme l’âge, le sexe et la taille sous la forme de données biométriques pour contrecarrer les pirates informatiques.

Le programme de l’autorité indienne chargée de l’identification unique est un bon exemple. Lancé en 2009, le programme d'authentification à plusieurs étapes intègre la reconnaissance de l'iris, les empreintes digitales des 10 doigts, ainsi que la reconnaissance faciale.

Ces informations sont associées à une carte d'identification unique qui est émise à chacun des 1,2 milliard d'habitants. Bientôt, cette carte sera obligatoire pour toute personne souhaitant accéder aux services sociaux indiens.

La biométrie remplace avantageusement les noms d’utilisateur dans le cadre d’une stratégie d’authentification à deux facteurs. Cela comprend :

• Une de vos caractéristiques (biométrie)
• Quelque chose que vous possédez (comme un jeton matériel) ou que vous connaissez (comme un mot de passe)

L’authentification à deux facteurs constitue une combinaison puissante, en particulier avec la prolifération des appareils de l’IdO. En superposant les protections, les dispositifs Internet sécurisés deviennent moins vulnérables aux violations de données.

En outre, l’utilisation d’un gestionnaire de mots de passe pour stocker les mots de passe traditionnels peut constituer une protection supplémentaire.

La biométrie en résumé

En résumé, la biométrie reste un moyen de plus en plus utilisé pour vérifier l’identité dans les systèmes de cybersécurité.

La protection combinée de vos signatures physiques ou comportementales avec d’autres authentifications offre une sécurité parmi les plus fortes connues. Pour l’instant, c’est au minimum plus efficace que le recours à un mot de passe à base de caractères comme vérification autonome.

La technologie biométrique offre des solutions très convaincantes en matière de sécurité. Malgré les risques, les systèmes sont pratiques et difficiles à reproduire. De plus, ces systèmes ne sont pas prêts de s’arrêter de se développer.

Articles connexes :

• Qu'est qu'un adware ?
• Qu'est-ce qu'un cheval de Troie ?
• Faits et FAQ sur les virus informatiques et les programmes malveillants
• Que faire en cas d’usurpation ou de compromission de votre identité : guide étape par étape