©
La minute tech
Touch ID : pourquoi la reconnaissance digitale de votre iPhone est tout sauf inviolable
La résolution biométrique a ses limites. On découvre que l'empreinte digitale peut même être copiée avec de la pâte à modeler ! Pour autant, pas sûr que notre confort numérique se trouve ailleurs. Explications.
Fabrice Mattatia
Fabrice Mattatia est expert en confiance numérique, ancien conseiller de la secrétaire d'État au numérique, polytechnicien et docteur en droit, . Il intervient dans plusieurs universités, dont Paris I Panthéon Sorbonne et La Rochelle, et dans des grandes écoles comme Télécom ParisTech. Il est également l'auteur de nombreux articles de vulgarisation sur le droit et sur les technologies.
Bruno Walther
Bruno Walther est un entrepreneur et un spécialiste de l'Internet français. Il est co-fondateur et CEO de Captain Dash. En janvier 2010 il abandonne la présidence d'OgilvyOne pour créer avec Gilles Babinet une start-up, CaptainDash focalisée sur la Big Data et la génération de cockpit marketing à destination des directions marketing. En 2012, il obtient, à New York, avec Gilles Babinet le prix "Global Entrepreneur Public Award" pour le travail qu'ils réalisent avec Captain Dash pour rendre la planête plus intelligente.
Atlantico : Une entreprise spécialisée en résolution biométrique a montré comment tromper la reconnaissance biométrique à empreinte digitale de l'Iphone en utilisant, tout simplement, de la pâte à modeler ! (D'autres avaient réussi à récupérer l'empreinte digitale d'une ministre allemande à partir d'une photo) Il est donc si facile de copier une empreinte digitale ?
Fabrice Mattatia : Ce type de fraude n’a rien de nouveau ! Il y a quelques années, des employés d’un hôpital brésilien ont été surpris à frauder la pointeuse munie d’un capteur d’empreintes : à tour de rôle, un seul des employés venait travailler avec des moulages des doigts de ses collègues, et il pointait pour toute l’équipe. Les deux points importants pour éviter les fraudes sont ainsi mis en évidence :
- la qualité du capteur (il doit idéalement intégrer des mesures permettant de déjouer les fraudes, comme, pour le cas des empreintes, des capteurs de température, de pouls, de conductivité électrique…), avec le renchérissement que cela suppose ;
- la surveillance du dispositif par un contrôleur humain (c’est plus difficile d’utiliser un doigt en pâte à modeler sous les yeux d’un gardien).
Bruno Walther : En effet derrière l'apparente sophistication de la reconnaissance biométrique se cachent souvent des systèmes assez vulgaires. Il n'est pas très compliqué de tromper des systèmes assez simples de reconnaissance. Ouvrir des portes protégées par des systèmes biométriques peu coûteux est devenu le sport de beaucoup d'apprentis hackers.
La biométrie nous apparaissait encore il y a quelques années comme le moyen le plus sûr de verrouiller nos données. Ce n'est plus le cas. Quelle est l'outil de verrouillage 2.0 ? Le scan veineux ?
Fabrice Mattatia : Ces fraudes sont connues depuis des années. Il faut comprendre que la biométrie n’est pas une solution miracle. Je le répète toujours à mes étudiants : il ne faut pas faire confiance à la biométrie les yeux fermés ! C’est une aide à la décision, qui ne doit pas être employée sans surveillance, et qui si possible doit être confirmée par une autre méthode d’identification, par exemple un mot de passe.
Lorsqu’on a un projet de biométrie, il faut en fait chercher un compromis entre le besoin de sécurité, l’ergonomie et le coût. Une caisse de cantine basée sur la forme de la main, comme il en existe plusieurs, n’a pas besoin d’une sécurité absolue, mais elle a besoin que les gens puissent défiler vite, même si de temps en temps un repas est attribué et facturé à la mauvaise personne (dans ce cas il y aura réclamation et remboursement, à un coût inférieur aux économies réalisées par le gain d’efficacité). Inversement, lorsqu’il y a un vrai besoin de sécurité, il faut accepter de mettre en place des contrôles approfondis, avec surveillance humaine. Le scan veineux que vous citez est peut-être plus difficile à frauder, mais il est aussi plus cher et moins ergonomique : un tel choix devra être justifié par des besoins particuliers.
Bruno Walther : La biométrie est un moyen très puissant pour sécuriser des accès et reconnaître des individus. Mais il y a biométrie et biométrie. Les composants qui coûtent quelques euros sont facilement contournable, les systèmes plus sophistiqués utilisés en particulier par l'armée, c'est une autre histoire. C'est un peu comme une serrure. Vous en avez que vous pouvez crocheter avec un trombone d'autres nettement plus sophistiquées.
Sommes-nous condamnés à toujours chercher plus performant au fur et à mesure des avancées des hackers?
Fabrice Mattatia : Les hackers n’ont pas avancé sur ce sujet depuis dix ans. Ce sont les capteurs bas de gamme qui se sont répandus, facilitant les usages mais aussi les fraudes. Il faut en fait être plus attentif à bien choisir le bon compromis entre la sécurité recherchée et le coût financier et ergonomique que l’on accepte d’y consacrer.
Bruno Walther : Comme dans le monde physique, le mal et la verrue sont dans une course poursuite. D'autant plus avec le monde virtuel. L'accélération technologique que nous vivons avec la technologie s'exerce partout. Sur nos capacités de calculs, de sauvegarde, de compressions vidéos... Et aussi sur notre capacité à sécuriser et pirater des informations.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !