[chapo]Nom d’utilisateur, svp. Mot de passe… Merci, vous pouvez entrer.[/chapo]
Pire qu’un contrôle d’identité, l’incommutable authentification traditionnelle par mot de passe a donné des sueurs froides à plus d’une personne. Qui n’a jamais oublié son mot de passe ? Qui après un blocage de sécurité n’a jamais rêvé de lancer son portable à terre en criant « Jsuis pas venu(e) ici pour souffrir, Ok ?! »? Ou, après avoir été le malheureux créateur d’un mot de passe considéré comme « trop faible »?
Mais, le fait est, nous avons besoin de ce processus d’authentification pour que les services puissent nous identifier et surtout, pour assurer plus de sécurité. En entreprise, il est primordial de protéger ses atouts, que l’on parle de production, de documents sur les employés ou autre. L’authentification est aussi un moyen de savoir qui fait quoi sur quelle application à quel moment. Elle est indispensable au bon fonctionnement d’une Direction des Systèmes d’Information car l’authentification est indissociable du principe de preuve.
Qu’est-ce? Tout simplement le fait de pouvoir assurer la traçabilité des données relatives à l’utilisation du système d’information et ce pendant une durée déterminée par la loi (elle diffère selon le secteur d’activité). On touche ici à un des grands enjeux de la sécurité informatique, le risque juridique. Cela fera l’objet d’un prochain article mais notez-ici que l’authentification est donc, plus qu’un besoin, une obligation juridique.
Une obligation vécue comme un frein par la majorité des utilisateurs. Pourtant, des solutions émergent peu à peu. On peut parler d’authentification unique (aussi connue sous l’appellation de SSO, Single Sign-On) qui permet l’utilisation d’un seul processus d’authentification pour accéder à plusieurs services. Il est ainsi bien plus simple de retenir un seul mot de passe plutôt qu’un par service. Mais, les technologies qui attirent aujourd’hui l’attention du grand public sont celles liées à l’authentification biométrique.
L’authentification biométrique
C’est vrai ça, il est quand même plus facile d’utiliser quelque chose que l’on a (un visage, des empreintes, une voix, …) plutôt que quelque chose que l’on sait (un mot de passe). Une demi-seconde devant une caméra et je peux avoir accès à mon service. De plus, les données biométriques sont strictement personnelles et les chances d’avoir les mêmes qu’une autre personne sont peu importantes. On pourrait donc être en mesure d’identifier formellement une personne ? Cela semble la solution parfaite oui, simple d’utilisation et sûr !
Mais n’est-ce pas trop beau pour être vrai ? N’y aurait-il pas hippopotame sous gravillon ? Et bien, je dois vous avouer que oui… Plusieurs problèmes se posent.
Les limites techniques de la biométrie
Tout d’abord, contrairement à un mot de passe, il est impossible de modifier ses caractéristiques biométriques à volonté (à moins de vouloir impressionner et enrichir son chirurgien esthétique évidemment). Mais alors, en cas de compromission, comment créer un nouvel identifiant biométrique ? On ne peut pas, tout simplement. Et, une subtilisation de ce type de données est très simple.
-
Identification digitale
Concernant l’authentification par empreintes digitales, un grand problème se pose : Nous laissons nos empreintes digitales partout. On peut donc créer des moules assez simplement. De plus, avec l’augmentation de la qualité des photographies, pour peu que l’on ait la paume face caméra, on peut même les récupérer directement de façon numérique. Rassurez-vous, cette technique n’est pour l’instant peu utilisée car les réseaux sociaux (où l’on peut donc facilement récupérer des photos de vous) réduisent trop la qualité des images. Les solutions grand public (comme celles trouvées dans nos téléphones) ne sont aussi souvent pas en mesure de détecter s’il s’agit d’un doigt vivant ou non qui leur est présenté.
-
Identification faciale
Il en va de même pour les identifications grâce à son visage que l’on retrouve sur de nombreux smartphones. Parfois, il est même possible de s’identifier grâce à un visage imprimé sur une simple feuille, c’est dire. Cette technologie est de plus tributaire de l’environnement (typiquement, le taux de luminosité) dans lequel se trouve l’utilisateur.
-
Identification vocale
Ici le problème est le même, on peut très facilement vous enregistrer. Et, même sans avoir récupérer votre phrase mot de passe par exemple, des logiciels perfectionnés sont tout à fait en mesure de créer une voix synthétique presque identique à la vôtre. Les logiciels spécialisés dans la reconnaissance vocale se font ainsi encore berner dans presque 20% des cas, malgré le perfectionnement de la reconnaissance de voix synthétiques. Comme pour toutes les activités criminelles, il s’agit d’un jeu de chat et de la souris permanent. Le perfectionnement d’une technologie de défense va forcément entrainer le perfectionnement (ou la création) d’une technologie d’attaque et ainsi de suite.
-
L’identification rétienne
Elle est quant à elle assez contraignante car la technologie actuelle ne la permet que grâce à l’éclairage du fond de l’œil. Une pratique qui, cela peut se comprendre, ne serait pas appréciée d’un grand nombre de personnes. Mais, cette technologie offre un très haut niveau de sécurité et est donc utilisée pour l’accès à des lieux de haute sécurité (comme un coffre-fort par exemple), tout comme l’identification par l’iris. Pour ce dernier, ce sont des problèmes techniques liés à la sensibilité à la lumière et aux modifications naturelles de ce formidable organe qui empêche une utilisation généralisée. Prendre une image claire, nette et donc analysable d’un iris reste ainsi toujours un défi technique pour une utilisation grand public.
Les limites légales de la biométrie
L’identification biométrique doit faire face à un autre défi de taille, celui de la loi. En effet, dans une optique de défense de nos droits, les lois françaises et européennes sont assez strictes quant à l’utilisation de telles technologies.
Les principales questions soulevées sont liées au stockage des données biométriques, qui sont donc logiquement, des données personnelles. Une des autres grandes interrogations est celle de l’utilisation de ces données, seraient-elles uniquement utilisées à des fins d’identification ou pourraient-elles être utilisées à des fins de contrôle et de surveillance ? Les questions éthiques soulevées par l’identification étant passionnantes, elles feront elles aussi l’objet d’un article à part entière.
Sachez que toute mise en place de dispositif biométrique est encadré par la loi Informatique et Libertés, et est en conséquent soumis à l’accord préalable de la CNIL (Commission Nationale de l’Informatique et des Libertés). Ainsi le recours à la biométrie dans le milieu professionnel doit être justifié et faire l’objet d’un rapport détaillé. Deux solutions peuvent être envisagées : soit le salarié est en possession du support qui contient les données permettant son authentification (ainsi, en cas de vol, seuls ses identifiants sont compromis), soit toutes les données biométriques, en réalité stockées sous la forme de gabarits chiffrés, sont stockées sur un serveur à distance de l’entreprise. Le dernier cas est seulement envisageable si l’architecture et les réalités d’exploitation ne sont pas en accord avec l’usage de stockages personnels.
Ainsi, un exemple de stockage personnel, dans le grand public, est celui des empreintes digitales dont on a parlé précédemment. Cette méthode d’authentification est autorisée car les gabarits sont stockés sur le même téléphone et pas sur un serveur distant. Les technologies de stockages diffèrent selon les marques mais comme tous les logiciels, elles comportent des failles qui rendent la récupération (ou à minima, le contournement de la sécurité du téléphone) possible. Contrairement à un ordinateur sous Windows 10 (par exemple), les téléphones n’ont en moyenne qu’une mise à jour système tous les 18 mois. Rendant le temps d’exploitation des failles très long.
Un espoir ?
Mais, car il y a toujours un mais, l’espoir subsiste. L’authentification biométrique est en effet très pratique lorsque l’on souhaite mettre en place une authentification multiple (par exemple, carte d’accès + authentification biométrique). L’authentification multiple permet un plus haut niveau de sécurité. Un niveau de sécurité nécessaire dans de nombreuses situations (accès à une centrale nucléaire, à des baies de stockage, …).
De plus, l’authentification biométrique seule peut être utilisée dans des cas particuliers comme l’authentification de clients pour accéder à certains services bancaires comme la sécurisation de paiements en ligne. Ainsi, la CNIL a autorisé la Banque Postale à déployer une solution d’authentification vocale baptisée Talk to Pay. Une telle solution est avantageuse, à la fois pour la banque -qui réduit ses frais de fonctionnement et fait baisser le taux de fraude- et ses clients.
Cette autorisation marque probablement l’essor de ce type d’authentification. Pourquoi pas ne pas voir cette solution atteindre les services après-vente, les services financiers ou les services clients ? Plutôt que de devoir confirmer son identité en donnant un numéro de compte sans fin ou dans le cas de recouvrement de mots de passe, empêcher les fraudes par ingénierie sociale. Et, ce ne sont que deux exemples dans une mer de possibilités.
Conclusion
Comme pour tout, il y a des compromis à faire concernant l’usage de nos caractéristiques biométriques. Nous devons en particulier veiller au respect de notre vie privée. Ce concept, même s’il perd peu à peu de son sens originel, restant l’une des pierres angulaires de notre principe de démocratie. De plus, la tendance des utilisateurs est au partage de leurs données afin d’acquérir de meilleurs services. Au détriment de leur vie privée. Mais est-ce vraiment grave ? On pourrait en effet penser, tel Leibniz, que ce n’est pas si catastrophique s’il l’on sait tout de nous. Comme en philosophie, plusieurs courants s’affrontent mais le plus important réside en deux mots : Pensons-y.
Clara LE GROS – Publié le 12 Juin 2017