Lex Persona > News > Décryptages > Biométrie : une sécurité en trompe-l’œil
logo-lex-persona

Biométrie : une sécurité en trompe-l’œil


C’est un article publié récemment sur Numerama qui a attiré notre attention et inspiré le décryptage de ce mois-ci. Ecrit en avril 2015 et mis à jour le 10 août dernier, il révélait une faille de sécurité dans les smartphones Samsung utilisant un lecteur d’empreintes digitales. Comme l’avaient démontré des experts en sécurité de la société Fireye interrogés par le Magazine Forbes, il existait un moyen assez simple d’accéder à l’image de l’empreinte digitale elle-même puis de la copier afin de s’en servir pour accéder à l’ensemble du contenu protégé. Si, depuis, cette faille semble avoir été corrigée par le constructeur coréen, elle mérite que l’on s’y intéresse.

Ce n’est pas la première fois que l’on remet en cause la fiabilité de l’utilisation de l’empreinte digitale comme rempart à l’intrusion dans un système informatique. Dans une présentation en décembre dernier, Jan Krisller allias Starbug, spécialiste de la biométrie et membre du Chaos Computer Club, avait révélé avoir tout simplement pris une série de photographies de la ministre allemande Ursula Von Der Leyen lors d’une banale conférence de presse. Puis il a expliqué comment, à partir de ces photos, il a pu obtenir ses empreintes pour outrepasser la sécurité d’un iPhone. Krisller avait utilisé un appareil photo équipé d’un objectif d’une focale de 200 mm et s’était positionné à une distance d’environ 2 mètres. Il lui a ensuite suffi d’utiliser le logiciel commercial d’empreintes digitales de VeriFinger pour tracer les contours de l’empreinte du pouce de la ministre.

Mise en scène de très nombreuses fois dans le cinéma d’anticipation et bénéficiant d’une aura quasi mythique, l’utilisation des empreintes digitales pour déverrouiller un système de sécurité montre ici ses limites. S’il est vrai qu’elles garantissent en théorie la singularité des utilisateurs, leur collecte fait parfois appel à des techniques de capture d’image qui portent en elles leur propre vulnérabilité : il suffit d’avoir l’image pour entrer.

Les théoriciens de la sécurité insistent sur le fait que la fiabilité d’un contrôle d’accès repose au minimum sur une combinaison de trois éléments, « what you know » (« ce que vous connaissez » : par exemple un mot de passe ou un code PIN), « what you have » (« ce que vous possédez » : par exemple une carte à puce, un téléphone portable) et « what you are » (« ce que vous êtes » : une caractéristique biométrique, comme par exemple les empreintes digitales, l’iris de l’œil).

Le recours à la biométrie est séduisant en termes de simplicité d’utilisation car par définition, on a toujours sur soi le moyen de s’authentifier (on ne risque pas de l’égarer contrairement à la carte à puce) et l’on n’a pas à mémoriser son usage, comme c’est le cas d’un mot de passe ou d’un code PIN. Cependant, la biométrie présente deux énormes défauts :

– L’authentification ne fonctionne pas à tous les coups : nombre de travailleurs manuels n’ont plus d’empreintes identifiables et les capteurs ne sont jamais sûrs à 100%. Ces systèmes génèrent fréquemment des faux échecs et des faux succès ;

– Une fois que les caractéristiques biométriques d’un utilisateur ont été usurpées, on ne peut plus en changer : il y a un caractère absolu et irréversible porteur de danger pour l’utilisateur lui-même, et l’article cité ci-dessus montre à quel point cela peut parfois être facile de détourner une caractéristique biométrique. A l’inverse, un support cryptographique comme une carte à puce présente l’énorme avantage de pouvoir être désactivé puis remplacé en cas de perte, ce qui est évidemment impossible avec un élément de nature biométrique.

C’est pour ces raisons que Lex Persona a toujours proposé des solutions d’authentification forte en complément de ses solutions de signature électronique.

Citons en particulier LPAuth qui permet à l’utilisateur d’un certificat sur support cryptographique de s’authentifier sur un site Web et Sunnystamp qui propose un mécanisme de validation du compte à l’aide d’une boucle SMS envoyée sur le téléphone portable, en plus de la vérification de l’adresse mail de l’utilisateur.

Tout comme la signature numérique que nous avons évoquée dans un précédent décryptage, la signature électronique par la seule utilisation d’un élément biométrique est une fausse bonne idée dont la fiabilité est non seulement discutable mais qui est porteuse de risques réels pour les utilisateurs eux-mêmes.

Parce que la fiabilité des solutions utilisées par les organisations est essentielle, il est indispensable d’avoir une vision holistique qui dépasse l’attractivité apparente d’une technologie. A ce titre, Lex Persona croit en l’intérêt de proposer des solutions de signature électronique et d’authentification forte qui garantissent l’intégrité et l’authenticité des transactions et la valeur légale des documents signés, sans pour autant négliger la dimension humaine de la personne qui utilise la technologie, et notamment la protection des données personnelles, le droit à l’oubli et le droit à l’anonymat.