La biométrie est-elle la nouvelle solution miracle en matière de cybersécurité ? Sur le papier, la puissance de cette technologie fait rêver : les mots de passe seraient enfin impossible à pirater… tout simplement parce qu’ils n’existeraient plus !
Mais attention à ne pas se bercer d’illusions ! La biométrie n’est qu’un outil parmi tant d’autres, et elle présente aussi des inconvénients non négligeables.
Zoom sur les enjeux de cette solution qui risque de prendre de l’ampleur dans les années à venir.
Qu’est-ce que la biométrie ?
La biométrie est une technique d’identification très ancienne, mais qui n’était pas encore utilisée au niveau de la sécurité informatique.
Elle consiste à utiliser une ou plusieurs caractéristiques physiologiques uniques d’un individu pour valider son identité. Quand vous voyez un relevé d’empreintes digitales dans un film ou une série policière, il s’agit déjà de biométrie !
Il existe deux grands types de biométrie :
- La biométrie physiologique (la plus fréquemment utilisée) : reconnaissance faciale, lecture d’empreinte digitale, analyse de l’ADN, reconnaissance de la voix ou des yeux (dans ce cas, les iris de la personne sont scannés)…
- La biométrie comportementale (plus marginale pour l’instant) : analyse de certaines tâches quotidienne comme le fait de parler, d’écrire, de marcher…
Le principal avantage : la suppression des mots de passe
Dans la mesure où plus de 8 piratages sur 10 sont liés, directement ou indirectement, à un vol de mots de passe, il est très intéressant de pouvoir en finir avec ce maillon faible de la protection des informations personnelles.
Le recours à la biométrie renforce ainsi considérablement la sécurité des données :
- Les caractéristiques biométriques ne peuvent pas être perdues, volées ou échangées
- Elles sont propres à chaque individu (le risque que deux personnes aient une identification identique est quasi-nul)
- Les systèmes biométriques sont faciles à installer et à utiliser
- La détection des hackers peut être effectuée en temps réel
- L’authentification des personnes est plus précise et donc plus rassurante pour les dirigeants
Il y a aussi de gros inconvénients
Le recours à la biométrie n’est pourtant pas sans soulever un certain nombre de problèmes.
D’abord, elle peut être piratée. Des spécialistes allemands en cybersécurité ont par exemple montré qu’il suffit de fabriquer une main artificielle en cire, reproduisant tous les détails du système sanguin, pour tromper les dispositifs de reconnaissance des veines de la main (source).
Des chercheurs américains ont aussi mis au point des empreintes digitales « passe-partout » qui réussissent 1 fois sur 5 à déverrouiller un smartphone (source).
Autre problème, et non des moindres : les bases de données qui contiennent toutes les informations biométriques peuvent être volées.
Aux États-Unis, en 2015, un fichier contenant plus de 5 millions d’empreintes digitales de fonctionnaires a ainsi été dérobé ! Or dans ce cas, contrairement aux mots de passe, il est impossible de modifier ou de supprimer ces informations. L’usurpation d’identité peut donc être nettement plus préjudiciable aux victimes.
Plus récemment, il a suffit à un journaliste indien de payer 7 euros pour accéder à la plus grande base de données biométriques au monde. Les informations personnelles de plus d’un milliard de personnes (en Inde) étaient donc accessibles à n’importe qui…
Enfin, cette technologie peut sonner le glas de l’anonymat des individus. Vous n’aurez plus la possibilité de créer des comptes bidons pour utiliser tel ou tel service. De plus, il y a un grand flou quant aux informations collectées : comment gérer l’utilisation qui en sera faite ? On peut accepter de communiquer des données à son employeur (adresse, email, date de naissance…) mais pas à n’importe quel administrateur d’application. À l’inverse, comment s’assurer qu’un dirigeant ne pourra pas consulter certaines informations strictement privées ?
Il y a d’ailleurs un vrai risque de collecte excessive de données pouvant ensuite être utilisées dans le système à l’insu de l’utilisateur.
La solution : ajouter d’autres techniques d’authentification en plus de la biométrie
Au vu des inconvénients présentés précédemment, une conclusion s’impose : même si elle peut être très efficace, la biométrie ne doit jamais être utilisée seule.
La meilleure des protections consiste, encore et toujours, à envisager la cybersécurité comme un ensemble homogène. Biométrie ou pas, il faudra toujours avoir recours au chiffrement, mettre à jour ses antivirus, ne pas cliquer sur n’importe quel lien, sensibiliser les collaborateurs de l’entreprise à la sécurité informatique, etc…
L’idée est d’avoir plusieurs « garde-fous » capables de prendre le relais si un des dispositifs de sécurité des données (et notamment la biométrie) s’avère défaillant.