Biométrie : peut-on s’y lancer les yeux fermés ?
La biométrie, ce concept futuriste longtemps utilisé dans les films de sciences fictions pour ouvrir d’immenses coffres-forts, est aujourd’hui bien réelle. Dans le même temps, l’authentification par mot de passe tombe en disgrâce, alors que les mots de passes faibles restent une faille de sécurité très exploitée. Grâce aux développements technologiques, le déploiement de la biométrie a été largement accéléré. Mais qu’est-ce que la biométrie et quels sont les avantages et les inconvénients qui se cachent derrière elle ? Nous y répondrons dans cet article et nous verrons que la CNIL encadre également son usage.
Qu’est-ce que la biométrie ?
La CNIL définit la biométrie comme suit :
« La biométrie est l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. »
Les caractéristiques peuvent être multiples (empreintes digitales, iris, voix, visage, démarche, dynamique de frappe au clavier, gestes, etc…)
Cette technique repose sur un des trois principes de l’authentification. Pour rappel, ces trois principes sont les suivants :
- Ce que je sais : Quelque chose connu uniquement par l’utilisateur (mot de passe, numéro d’identification personnel, etc).
- Ce que je possède : Quelque chose détenu uniquement par l’utilisateur (carte magnétique, carte à puce, mot de passe à usage unique, clé privée, etc)
- Ce que je suis : Quelque chose déterminant le sujet (empreintes digitales, iris, voix, visage, démarche, dynamique de frappe au clavier, gestes, etc)
Dans notre cas, la biométrie est classée dans le dernier pilier.
Il n’est pas rare de voir cette méthode d’authentification couplé à une autre afin de bénéficier d’une authentification à multiple facteur, c’est-à-dire une authentification reposant sur au moins deux facteurs d’authentification de type différent.
Ce double facteur vient accroître la sécurité de la solution. On peut donc retrouver un système d’authentification cumulant un jeton (token) avec la biométrie. Aucune opération du jeton ne sera alors effectuée sans la présentation par exemple d’une empreinte digitale. Pour rappel, un token est un mot de passe à durée de vie limitée généré aléatoirement par un algorithme, sous condition que l’on possède le bon authentifiant (identifiant et mot de passe).
Les cas d’usage sont donc multiples et se répandent de plus en plus, même si la biométrie existe depuis de nombreuses années. En effet, depuis les années 1960, l’intérêt pour ces technologies se développe de plus en plus. Toutefois, les équipements d’authentification par biométrie étant volumineux, il était compliqué de les intégrer dans l’environnement existant.
Aujourd’hui le développement des technologies rend la biométrie accessibles et intégrable facilement dans les téléphones par exemple. En quelques années, les capteurs d’empreintes intégrés dans les téléphones portables ont vu leur nombre augmenter d’une manière exponentielle. La biométrie simplifie quotidiennement l’usage des utilisateurs leurs permettant de sécuriser et de déverrouiller leurs téléphones plus rapidement qu’avec un mot de passe.
Quels sont les avantages de la biométrie ?
La biométrie présente de nombreux avantages :
- Dispositif de sécurité supplémentaire : La biométrie apporte un autre mécanisme d’authentification, pouvant être combiné avec d’autres facteurs afin de renforcer la sécurité.
- Ergonomie améliorée : côté utilisateur, la biométrie permet de réduirele nombre de mots de passe que l’utilisateur doit connaitre et renouveler régulièrement. On a donc une meilleure expérience client, ainsi qu’un gain de temps.
- Réduction des coûts : l’implémentation et la maintenance des systèmes biométriques est moins coûteuse comparé aux mots de passe pour lesquels une administration régulière est nécessaire.
- Facilité d’intégration sur tous types d’équipements (mobile et non mobile).
Quels sont les limites de la biométrie ?
- Falsification des données biologiques
Un des inconvénients majeurs de la biométrie est qu’elle ne repose pas sur des mesures absolues. En effet, les caractéristiques que l’on cherche à évaluer sont amenées à évoluer au cours du temps (vieillissement, traumatismes physiques, etc…).
Les fabricants cherchent à diminuer le taux de faux rejets (False Rejection Rate, FRR) tout en ayant un taux de fausses acceptations relativement bas (False Acceptation Rate, FAR).
L’Equal Error Rate (EER) est le taux pour lequel le FAR et le FRR sont égaux. Plus le seuil EER est faible, plus le dispositif est précis. Ces caractéristiques permettent de comparer facilement plusieurs dispositifs et ainsi déterminer celui répondant le mieux aux besoins.
En outre, les faiblesses vis-à-vis de la falsification ne se portent pas sur la particularité physique mais plutôt sur la manière avec laquelle ils la mesurent et la marge d’erreur qu’ils autorisent.
- Compromission des données biologiques
Un des plus gros problèmes de la biométrie n’est pas la technologie de stockage ou d’authentification utilisée mais la nature statique des données biométriques. En cas de compromission des données biométriques d’un utilisateur, celles-ci ne peuvent pas être réinitialisées contrairement à un mot de passe. Dans ce cas, l’utilisateur ne peut plus utiliser ses données biométriques pour s’authentifier. Ces données peuvent donc être une cible privilégiée pour des pirates. En effet, un hacker a démontré qu’il était possible de reproduire l’iris d’Angela Merkel en utilisant des photographies à haute résolution.
Pour pallier à cette problématique, la solution d’authentification biométrique doit être combinée avec un autre un facteur d’authentification (avec par exemple un jeton). Utilisée seule, la biométrie reste une solution d’authentification/d’autorisation insuffisante.
La CNIL encadre assez strictement son utilisation
Dans une optique de défense de nos droits, les lois françaises et européennes sont assez strictes quant à l’utilisation de telles technologies.
En effet, les principales questions soulevées sont liées au stockage des données biométriques, considérées comme des données personnelles. Une des autres grandes interrogations est celle du traitement de ces données.
Il faut savoir que toute mise en place de dispositif biométrique est encadrée par la CNIL. Celle-ci a publié des guides de mise en place de dispositifs biométriques, avec un certain nombre de règles (le besoin doit être justifié, des dispositifs alternatifs doivent être proposés, etc.).
Ainsi, le recours à la biométrie dans le milieu professionnel doit justifier d’un besoin spécifique et faire l’objet de mesures spécifiques.
En résumé
La biométrie semble être un outil adapté pour accompagner la transformation digitale. Si cette solution est utilisée convenablement, elle peut offrir un bon compromis entre un niveau de sécurité élevé et une bonne expérience utilisateur.
Dans ce cadre, HeadMind Partners accompagne l’ensemble de ses clients sur les choix de solutions d’authentification en proposant notamment la mise en place de solutions biométrique.
Co-écrit par Bilal Echoui et Mosaab Ben Maad.
Sources
- https://www.inflexsys.com/applications-mobiles-et-authentification/
- https://www.planetbiometrics.com/article-details/i/3644/
- https://www.lesechos.fr/idees-debats/cercle/opinion-les-donnees-biometriques-un-risque-inedit-pour-la-securite-992773
- https://www.digitvalue.fr/2018/10/14/biometrie-la-frontiere-de-la-cybersecurite/
- http://www.mc2i.fr/Comment-la-biometrie-permet-elle
- https://astrakhan.fr/blog/authentification-biometrique-securite-limites/
- https://www.gemalto.com/france/gouv/inspiration/biometrie