L’authentification biométrique est une partie croissante du paysage technologique — dans nos écoles, bureaux, aéroports, bâtiments gouvernementaux et, plus récemment, dans nos smartphones. L’introduction de Touch ID par Apple en 2013 a ouvert la voie à la technologie de reconnaissance des empreintes digitales, du visage et de l’iris pour quitter le domaine presque exclusif de l’application de la loi et émerger dans le grand public comme un moyen d’authentifier votre identité et d’accéder aux comptes et aux espaces physiques.
Mais si les données biométriques et leurs applications ont connu un succès fulgurant, leur utilisation soulève également de nouveaux problèmes de sécurité et de confidentialité qui doivent être pris en compte et gérés. Il existe des risques majeurs propres à l’authentification biométrique qui ne sont pas présents avec d’autres formes d’authentification, telles que les mots de passe. À savoir, vous pouvez toujours changer votre mot de passe s’il fuit — mais que se passe-t-il si votre mot de passe est votre visage? Dans cet article, nous allons parler de la façon de comprendre ces risques et de les atténuer.
- Fonctionnement de l’authentification biométrique
- Avantages de l’utilisation de l’authentification biométrique
- Risques associés à l’authentification biométrique
- Comment ProtonMail applique la biométrie
- Comment protéger vos données biométriques
Fonctionnement de l’authentification biométrique
La biométrie fait référence à la mesure et à l’analyse des traits physiques d’un individu, tels que les empreintes digitales, les motifs de l’iris ou même la façon dont une personne marche (comme dans la « reconnaissance de la démarche »). Ces informations sont numérisées en convertissant les caractéristiques physiques (les crêtes d’une empreinte digitale, par exemple) en modèles biométriques composés de points de données basés sur des formules spécifiques.
Lorsqu’un appareil ou un service utilise la biométrie pour l’authentification, l’objectif principal est de vérifier qu’une personne est bien celle qu’elle prétend être en comparant ses données biométriques avec des données précédemment collectées et stockées.
Les données biométriques peuvent être stockées et traitées de plusieurs manières, par exemple via des serveurs de base de données, des jetons cryptés ou des jetons physiques. En règle générale, les smartphones utilisent le stockage sur l’appareil de modèles biométriques, ce qui garantit que l’authentification se produit sans qu’aucune donnée ne soit envoyée à un serveur. Ainsi, les données biométriques restent sécurisées tant que le dispositif lui-même n’est pas compromis.
Avantages de l’utilisation de l’authentification biométrique
Il y a de bonnes raisons pour lesquelles l’authentification biométrique s’est développée si rapidement. Voici les principaux:
Simplicité et commodité pour l’utilisateur
La simplicité écrasante, du moins du point de vue du consommateur, est un facteur important de la popularité croissante de l’authentification biométrique. Après tout, il est beaucoup plus facile de placer votre doigt sur un scanner que de taper un mot de passe de 20 caractères.
Authenticité plus élevée
La biométrie peut fournir des niveaux d’authenticité plus élevés pour les utilisateurs enclins à des mots de passe et des codes PIN faibles, qui peuvent être communs à plusieurs utilisateurs ou facilement partagés. Les empreintes digitales et les motifs de l’iris, cependant, sont difficiles à partager ou à reproduire (mais pas impossibles). Les identifiants uniques sont un élément nécessaire pour de nombreuses applications, telles que les paiements ou l’accès à des espaces sécurisés, faisant de la biométrie le choix privilégié.
Accessibilité
Les progrès technologiques ont réduit le coût des composants, de sorte que l’authentification biométrique est désormais possible dans un large éventail de mises en œuvre. Pensez à Delta Air Lines, qui offre un processus d’enregistrement biométrique en option à leurs passagers du trottoir à la porte, ce qui permet aux passagers d’économiser neuf minutes par vol.
Surf à l’épaule
Les pirates peuvent essayer de pénétrer dans votre appareil ou vos comptes en vous observant lorsque vous entrez votre code PIN ou votre motif de déverrouillage. C’est ce qu’on appelle une attaque de surf à l’épaule. L’authentification biométrique peut vous aider à être plus résistant à ce type d’attaque.
Risques associés à l’authentification biométrique
Parfois, la soumission de données biométriques à un contrôleur de données est requise comme condition pour recevoir des services ou des avantages, ce qui pose la question: Quel est le coût d’une telle commodité? L’utilisation de données biométriques dans un monde où la cybercriminalité est à un niveau record comporte naturellement des risques. En voici quelques-unes :
Vulnérabilité aux violations de données
Il est bien établi que les organisations qui collectent et stockent les données personnelles des utilisateurs sont constamment menacées par les pirates informatiques. Alors même que Delta collecte des informations biométriques sur ses passagers, le secteur aérien est en proie à des violations de données.
Les données biométriques étant irremplaçables, les entreprises doivent les traiter avec la plus grande prudence. Si votre mot de passe ou votre code PIN devait être compromis, il y a toujours la possibilité de le réinitialiser. Mais on ne peut pas en dire autant de son visage, de ses empreintes digitales ou de ses iris.
Suivi et enregistrements numériques permanents
L’authentification biométrique en est encore à ses débuts, mais elle pose déjà de sérieuses questions sur la confidentialité. Lorsque des données biométriques sont stockées côté serveur, en particulier dans des juridictions soumises à une surveillance et à des mandats secrets, vous risquez de laisser un enregistrement numérique permanent ou un suivi potentiel par les autorités gouvernementales.
Par exemple, il est bien connu que lors des récentes manifestations à Hong Kong, le gouvernement a utilisé la reconnaissance faciale pour suivre les manifestants. À mesure que la vidéosurveillance prolifère, vos données biométriques peuvent devenir une étiquette numérique permanente que les autorités peuvent utiliser pour vous identifier et vous suivre pour le reste de votre vie.
Faux positifs
Les méthodes d’authentification biométrique reposent souvent sur des informations partielles — c’est—à-dire un nombre fini de points de données – pour authentifier votre identité. Par exemple, en 2018, une équipe de l’Université de New York a formé un réseau neuronal d’IA à pirater frauduleusement l’authentification par empreinte digitale avec un taux de réussite de 20%. Ils se sont appuyés sur le fait que la plupart des scanners d’empreintes digitales ne scannent qu’une partie du doigt. Les éléments communs peuvent être utilisés pour les tromper dans une authentification erronée d’une manière similaire à une attaque par dictionnaire.
Pour contrer la fausse authentification, telle que le déverrouillage de Face ID lorsque l’utilisateur est endormi, Apple utilise la détection de » vivacité « . Alors que Face ID s’est bien dressée contre le piratage de tête imprimé en 3D qui a battu plusieurs appareils Android, les chercheurs ont finalement réussi à trouver un moyen de le contourner.
Biais et inexactitude
Tous les modèles de reconnaissance faciale ne sont pas créés égaux, et même les meilleurs d’entre eux ne sont pas parfaits. Par exemple, la fonction de déverrouillage du visage OnePlus 6 repose sur la caméra frontale et n’est pas aussi sécurisée que l’Oppo Find X ou le Huawei Mate 20 Pro, qui utilisent la cartographie de profondeur infrarouge 3D.
Même l’identifiant de visage d’Apple, qui construit une carte de profondeur en 3D de l’ensemble de votre visage à l’aide d’une matrice de points de 30 000 points, a laissé l’entreprise face rouge lorsqu’elle n’a pas réussi à distinguer une femme chinoise de son collègue, puis un garçon chinois de sa mère, entre autres. Apple a été critiqué pour ses préjugés raciaux, indiquant qu’ils devaient inclure plus de facteurs pour perfectionner de telles fonctionnalités.
Comment ProtonMail applique la biométrie
L’authentification biométrique étant intrinsèquement risquée, Proton ne l’utilise pas pour la connexion au compte. Pour accéder à votre compte Proton, vous devez fournir votre mot de passe.
Nous vous recommandons également d’activer l’authentification à deux facteurs (2FA), qui vous oblige à entrer une information supplémentaire – un mot de passe à usage unique généré par une application sur un appareil que vous possédez — avant d’accéder à votre compte. Avec 2FA activé, même si votre mot de passe est compromis, un pirate ne peut pas se connecter à votre compte sans avoir également accès à votre appareil.
Une fois connecté à votre compte, vous pouvez choisir d’ajouter une couche de protection supplémentaire à votre application ProtonMail dans les paramètres de votre application. Sous iOS et Android, vous pouvez choisir de verrouiller l’application et d’exiger un code PIN ou une authentification biométrique après que l’application a été inutilisée pendant un certain temps. Cela offre à la fois une sécurité supplémentaire et une commodité dans un scénario à risque relativement faible (c’est-à-dire que vous avez déjà une session active sur votre appareil). L’authentification a lieu localement, de sorte qu’aucune donnée biométrique n’est jamais envoyée à nos serveurs.
Dans ProtonMail pour iOS, l’activation de la protection Face ID, Touch ID ou PIN active également le système de protection AppKey, qui est une couche supplémentaire de cryptage pour vos données ProtonMail, se protégeant contre certains types de logiciels malveillants et d’attaques médico-légales.
Bien sûr, les décisions de sécurité que vous prenez dépendent de votre modèle de menace. L’utilisation de l’authentification biométrique n’est pas aussi sûre que l’utilisation d’un code d’accès ou la déconnexion à chaque fois. Mais ces solutions sont pires du point de vue de la convivialité. Les utilisateurs avec des modèles de menaces accrues devraient également examiner les implications de l’activation de l’authentification biométrique lors du franchissement des frontières ou de l’engagement avec les forces de l’ordre.
Pour en savoir plus
Comment choisir un mot de passe fort
Comment protéger votre appareil lors du franchissement des frontières
Comment protéger vos données biométriques
Voici quelques conseils finaux à garder à l’esprit lors de l’utilisation de l’authentification biométrique:
- Utilisez autant que possible l’authentification à deux facteurs (2FA). Voici comment configurer 2FA dans ProtonMail.
- Si un appareil ou un service demande vos informations biométriques, vérifiez que vos données sont stockées localement sur l’appareil et non sur un serveur cloud ou transmises sur le réseau.
- Soyez conscient de situations telles que des festivals de musique ou des événements sportifs où une identification biométrique est collectée.
- En règle générale, évitez de cliquer sur des liens suspects ou d’installer des applications tierces non vérifiées sur votre appareil.
Notre mission est de construire un Internet plus sûr, et être informé de la façon dont vos données sont protégées peut vous permettre de prendre de meilleures décisions concernant les services que vous utilisez. Si vous avez des questions ou des commentaires sur l’authentification biométrique, n’hésitez pas à participer à la discussion sur nos canaux de médias sociaux.
Cordialement,
L’équipe ProtonMail
Vous pouvez obtenir un compte de messagerie sécurisé gratuit de ProtonMail ici.
Nous fournissons également un service VPN gratuit pour protéger votre vie privée.
ProtonMail et ProtonVPN sont financés par des contributions communautaires. Si vous souhaitez soutenir nos efforts de développement, vous pouvez passer à un plan payant ou faire un don. Merci pour votre soutien.