Les technologies biométriques sont-elles vraiment sûres ?

Atlantico : Deux jours après la sortie de l’iPhone 5S, des hackers de l’organisation allemande Chaos Computer Club ont réussi à imiter le mécanisme de reconnaissance avec empreintes digitales en créant un "faux doigt" à l’aide d’une fine pellicule transparente reproduisant l’empreinte digitale originale. Quelles sont aujourd'hui les principales failles des technologies biométriques ?

Jean-Paul Pinte : Tout va très vite, les hackers ont du temps et pensent tout le temps. On vient encore ici d’en avoir l’exemple avec le système d’indentification biométrique TouchiID du nouvel iPhone 5S. Ce cas nous démontre que la violation d’identité biométrique n’est pas totalement infaillible.

La biométrie désigne l’ensemble des technologies de reconnaissance physique ou biologique des individus. Elle est apparue ces dernières années comme une alternative à un besoin croissant en matière de sécurité pour passer de l’identification à l’authentification des personnes et des documents. On en parlait même comme d'une veritable solution aux mots de passes et autres identifiants par exemple.

Le principal biais de la biométrie réside dans la confusion entre identification et authentification. L’identification consiste à reconnaître une personne, à l’individualiser grâce aux données récoltées à son sujet. L’authentification quant à elle consiste à verifier l’identité de la personne et à établir qu’elle est bien celle qu’elle pretend être.

Les différentes formes de biométrie couvrent à ce jour la reconnaissance des empreintes digitales, du visage, de la main, de l’iris, de la rétine, de la voix, de la dynamique de signature et de frappe au clavier, de la manière de marcher, etc... Il y a fort à parier que chacune d’entre elles feront l’objet dans un avenir très proche de détournement, d’usurpation car elles seront de plus en plus associées à d’autres technologies comme la carte à puce, les systèmes à codes et toutes celles que nous réservent l’Internet des objets connectés.

La première forme de faille est celle du concept lui-même, de la performance des systèmes employés. La biométrie repose en effet sur la comparaison entre des échantillons et donc sur la reconnaissance des données. Ces mêmes données sont à la base aujourd’hui facilement falsifiables. Si l’on prend l’exemple de l’iris on peut noter comme problème la nécessité par exemple d’avoir un éclairage restreint et de se trouver à proximité du capteur.

Autre cas, en ce qui concerne la "biométrie à trace" comme l’empreinte digitale distinguée de la "biométrie sans trace" par la CNIL, il convient de signaler que ces traces peuvent être réutilisées pour usurper l’identité d’une personne d’où leur vulnérabilité.

Les données biométriques contenues dans les documents d'identité sont-elles totalement inviolables ? Sinon, comment peuvent-elles être piratées ?

Non, car l’exemple de la sécurité du passeport de ce type a été dénoncée dés 2006 et démontre bien certaines vulnérabilités de ce type de document.

Hormis les fraudes et délits affectant déjà les documents d'identité, les chercheurs du FIDIS (Futur de l'Identité dans la Société de l'Information) rappellent que les DVLA (Documents de Voyage à Lecture Automatique) comportent des menaces additionnelles. Les passeports biométriques RFID présenteraient ainsi des risques pour la sécurité et la protection de la sphère privée des utilisateurs et pourraient accroître les vols d'identité. En effet, toujours selon le FIDIS, les données contenues dans les DVLA peuvent être interceptées et lues jusqu'à une distance de 10 mètres du porteur, et ce de manière totalement invisible. Le comité rappelle également que les informations biométriques pourraient être employées à d'autres fins par les secteurs publics et privés. Enfin, la biométrie n'est pas infaillible et peut être source d'erreur d'authentification.

De même la nouvelle carte d'identité britannique a elle aussi été piratée dés 2009. Armé d'un simple téléphone Nokia équipé d'un lecteur de puces RFID (Radio Frequency IDentification - radio identification), un prénommé Adam a ainsi pu mettre la main sur les informations numérisées et les transférer sur une carte vierge. En à peine douze minutes, la carte était clonée.

Est-il possible de mieux protéger ces données ?

Il est aujourd’hui recommandé d’avoir une certaine prudence concernant vos données personnelles et de les stocker par exemple dans un appareil que vous ne transportez pas forcément avec vous en permanence.

Pensez un instant ne serait-ce qu’au vol de votre smartphone. Il suffit si la sécurité d’accès y est facilitée (Code Pin 0000) d’aller dans les mails envoyés et c’est à coup sûr que certaines pièces jointes dont vous aviez oublié l’envoi apparaîtront à la personne indélicate. Devinez la suite, documents bancaires, sûrement copie de documents d’identité réalisées dans le cadre d’un achat ou mis là en cas de demande ponctuelle …

Pour commencer sur les smartphones le protocole PGP est disponible gratuitement sur Android (Open PGP), toujours dans l'optique de chiffrer des mails et des fichiers. Il est également possible de crypter ses appels vocaux via des applications de VOiP comme Redphone, disponible sur iOS, Android et le Windows Phone ou encore l'application Silent Circle (sur iOS et Android).

Je vous recommande aussi les 10 conseils de la CNIL :

1. N'enregistrez pas d'informations confidentielles (codes secrets, codes d'accès, coordonnées bancaires...) dans votre smartphone (vol, piratage, usurpation d'identité...).

2. Ne désactivez pas le code PIN et changez celui proposé par défaut. Choisissez un code compliqué. Pas votre date de naissance !

3. Mettez en place un délai de verrouillage automatique du téléphone. En plus du code PIN, il permet de rendre inactif (verrouiller) le téléphone au bout d'un certain temps. Cela empêche la consultation des informations contenues dans le téléphone en cas de perte ou de vol.

4. Activez si possible le chiffrement des sauvegardes du téléphone. Pour cela, utilisez les réglages de la plate-forme avec laquelle vous connectez le téléphone. Cette manipulation garantira que personne ne sera en mesure d'utiliser vos données sans le mot de passe que vous avez défini.

5. Installez un antivirus quand cela est possible.

6. Notez le numéro "IMEI" du téléphone pour le bloquer en cas de perte ou de vol.

7. Ne téléchargez pas d'application de sources inconnues. Privilégiez les plate-formes officielles.

8. Vérifiez à quelles données contenues dans votre smartphone l'application que vous installez va avoir accès.

9. Lisez les conditions d'utilisation d'un service avant de l'installer. Les avis des autres utilisateurs peuvent également être utiles!

10. Réglez les paramètres au sein du téléphone ou dans les applications de géolocalisation (Twitter, Foursquare, Plyce...) afin de toujours contrôler quand et par qui vous voulez être géolocalisé. Désactivez le GPS ou le WiFi quand vous ne vous servez plus d'une application de géolocalisation.

La présidente de la Cnil, Isabelle Falque-Pierrotin, prévient par ailleurs que la Commission a maintenant un plan d'action, qui prévoit une définition des "bonnes pratiques", la mise au point d'outils pédagogiques et "le développement des contrôles", "pour voir ce qui est stocké et transmis" entre opérateurs et développeurs de smartphone. Il y aura "éventuellement des sanctions", a-t-elle averti.

Quelles alternatives, plus fiables, existent aujourd'hui aux technologies biométriques pour authentifier une personne ?

Le coût des appareils de lecture et de contrôle des données biométriques est un des principaux freins à l’adoption des solutions biométriques plus larges au sein de notre cyber-société. Les solutions qui me semblent aujourd’hui les plus prometteuses sont à coup sûr celles se situant dans le milieu des reconnaissances  comportementales.

La biométrie comportementale permet d'identifier un individu en utilisant une ou plusieurs de ses caractéristiques non physiques (par exemple, sa manière de frapper au clavier, le maniement de sa souris ou sa démarche). Sa mise en œuvre doit être préalablement autorisée par  la CNIL (article 25-I-8° de la loi informatique et libertés).

La CNIL, très méfiante vis à vis de la biométrie, évoque déjà en 2011 la reconnaissance de la frappe au clavier autorisée dans le cadre de démonstrations. Elle évoque aussi comme offrant une haute sécurité la reconnaissance du réseau veineux du doigt qu’elle considère comme une "biométrie sans trace". Les données de la personne concernée ne pouvant être capturées et copiées à son insu (Cnil, délib n°2007-335 à 2007-339, 8 nov 2007).

Outre-Atlantique, le 15 mai dernier, BRS Labs, une société de sécurité spécialisée dans la reconnaissance comportementale, a présenté un nouveau logiciel baptisé AlSight destiné à détecter automatiquement les comportements suspects. Grâce à des algorithmes complexes, ce logiciel sera donc à même d’identifier les comportements "anormaux" à partir des images reçues.

Dans un premier temps, c’est la ville de San Francisco qui va implémenter ce système dans 12 stations de métro.

Ce logiciel a notamment pour but de lutter contre le terrorisme et de limiter le nombre d’agressions, quelles qu’elles soient. En effet, aux Etats-Unis, d’ici la fin de l’année, il y aura 1,2 million de victimes de viol, vol ou meurtre, et ce malgré les 30 millions de caméras de vidéosurveillance installées.

Malheureusement beaucoup de ces technologies sont encore à l’état de laboratoire et souvent bloquées pour diverses raisons : financières, juridiques, pratiques, psychologiques.

Il faudra de plus mettre en place des systèmes plus compliqués comme le signale cet article à travers un scénario où l’utilisateur aurait sa propre combinaison identifiant/mot de passe/code PIN doublée par un contrôle biométrique, de reconnaissance faciale ou de lecture d’empreintes digitales. Si l’authentification échoue avec cette combinaison de facteurs, alors l’utilisateur est invité à faire une nouvelle tentative au moyen d’un autre facteur enregistré au préalable. Ce peut être son téléphone portable, sur lequel est généré de manière sécurisée un mot de passe à usage unique qu’il n’a plus qu’à saisir.

L’auteur de cet article préconise même de miser sur d’autres alternatives d’authentification et propose plusieurs pistes envisageables.