Authentification biométrique et vie privée

Des films comme Star Wars, Mission Impossible et Matrix – pour ne citer que les plus connus – nous ont toujours montré des scènes où l'identification personnelle, en particulier pour accéder à des zones réglementées, est effectuée vocalement ou par l’intermédiaire d'une autre partie du corps. Aujourd'hui, ce concept relève-t-il toujours de la fiction ?

L'identification biométrique est une technique informatisée permettant la reconnaissance d'un individu par la mesure de certaines caractéristiques biologiques effectuée par des capteurs et comparée aux informations présentes dans une base de données.

Historiquement, l'identification biométrique remonte à 1870. Alphonse Bertillon, un criminologue français, adopte pour la première fois cette technique dans la prison de Paris pour la reconnaissance des prisonniers. Aujourd'hui, les systèmes biométriques sont en forte hausse et l'intégration de technologies biométriques à des appareils mobiles constitue une contribution importante au marché. D'après une étude d'Acuity Market Intelligence, les ventes liées aux accessoires dotés de systèmes biométriques en 2020 atteindront les 33.3 milliards de dollars avec 4.76 milliards d'appareils mobiles permettant l'acquisition de données biométriques. Actuellement, la technologie biométrique est utilisée pour le contrôle d'accès physique et logique et, après les événements du 11 septembre 2001, est adoptée de manière encore plus systématique lors des contrôles de police (par exemple dans les aéroports).

Les différents types de mesures biométriques

Les mesures biométriques peuvent être divisées en deux catégories : 1°) physiologiques et 2°) comportementales. Nous pouvons citer comme exemples de mesures physiologiques, c'est-à-dire reposant sur les caractéristiques physiques d'un individu :

• La comparaison ADN,
• La reconnaissance auriculaire,
• La reconnaissance de l'iris/de la rétine,
• La reconnaissance faciale,
• La reconnaissance de l'empreinte digitale/de la forme du doigt,
• La reconnaissance des veines,
• La reconnaissance olfactive.

Parmi les exemples de mesures comportementales, nous retrouvons :

• La reconnaissance dactylographique ou de signature,
• La reconnaissance vocale,
• La reconnaissance de la démarche.

Les technologies biométriques et la vie privée font-elles bon ménage ?

Comme pour toutes les collectes de données liées à des individus, les technologies biométriques soulèvent des problématiques liées à la protection de la vie privée. Notamment, de nombreuses technologies biométriques permettent de découvrir des problèmes de santé.

Les systèmes d'authentification biométrique reposant sur l'analyse des veines permettent de découvrir des maladies vasculaires potentielles, tandis que certains modèles d'empreintes digitales permettront de découvrir des maladies chromosomiques. Même la biométrie reposant sur les mesures comportementales présente le même problème : l'analyse du style de démarche ou d'écriture pourrait, en plus d'identifier un individu, permettre de déceler des maladies neurologiques.

Généralement, les préoccupations liées à la vie privée sont classées en trois catégories :

• l'identification « sortant du cadre fixé » : permet de connaître l’état de santé spécifique d’une personne,
• l’identification non sollicitée : l'identification d'une personne qui ne souhaitait pas être identifiée,
• l'identification cachée : le sujet est identifié sans en être conscient.

Cependant, le problème principal lié à la vie privée semblerait découler de la peur du public de ne pas être informé de l'utilisation de ces technologies. Pendant le Super Bowl XXXV, les autorités ont utilisé une reconnaissance faciale biométrique par l'intermédiaire de caméras de surveillance sur environ 100,000 personnes, comparant instantanément les traits des visages avec une base de données de terroristes et de criminels présumés. Cet événement a provoqué la polémique et un vaste débat entre les défenseurs de la vie privée et ceux de la sécurité publique.

Modèles biométriques : comment sont protégées notre vie privée et notre identité

Un modèle biométrique est une représentation des caractéristiques uniques d'un individu. Le problème de confidentialité se pose lorsque les modèles biométriques sont stockés sans précautions sur une base de données centrale ou directement sur un appareil spécifique. Le principal risque est qu’une personne malintentionnée obtenant l'accès au modèle biométrique se fasse passer pour le véritable propriétaire du modèle, pouvant alors usurper une identité.

Un des points clés de l'authentification biométrique réside dans le fait que les modèles biométriques ne peuvent pas être mis à jour ou renouvelés : si un mot de passe est volé, il est possible d'en créer un nouveau, mais un individu n'a que 10 doigts, 2 yeux et 2 oreilles. Les stratégies défensives de la vie privée font référence à ce que l'on appelle la protection des modèles biométriques. Du fait que les caractéristiques biométriques sont immuables, lorsqu'un modèle biométrique est volé, cette caractéristique est compromise pour toujours.

La Biométrie annulable représente néanmoins une solution pour protéger les modèles : elle permet de retirer un modèle compromis comme on remplacerait un mot de passe volé. Il suffit ainsi d’appliquer une distorsion intentionnelle, systématique et répétable de manière à protéger les données sensibles d'un utilisateur. Si une caractéristique « annulable » est volée, les distorsions appliquées sont modifiées et réorganisées en un nouveau modèle qui remplace celui ayant été compromis. Elle vous permet donc de protéger votre vie privée grâce à la non-révélation des véritables données biométriques durant le processus d'authentification. Évidemment, la distorsion appliquée ne doit pas être inversible pour empêcher la récupération des données biométriques d'origine à partir des données modifiées.

Un autre système permettant de protéger les modèles biométriques est le système cryptographique biométrique, qui exploite la protection offerte par les clés cryptographiques. Dans ce système, les modèles biométriques ne sont pas comparés, étant donné que les données biométriques sont obtenues indirectement à partir de la vérification de la validité des clés.

Authentification biométrique ou mot de passe ?

Beaucoup d'entre nous utilisent des technologies d'authentification biométrique au quotidien, en voici des exemples :

• l'iPhone 5S a lancé en 2013 un capteur permettant de scanner une empreinte digitale. Au lieu de retenir un code PIN, le déverrouillage du téléphone peut être effectué simplement avec un doigt,

• de nombreux systèmes utilisés dans les voitures intègrent une reconnaissance vocale Bluetooth qui permet de sélectionner un contact du répertoire téléphonique et de l'appeler en prononçant son nom,

• un certain nombre de logiciels et de technologies graphiques utilisés sur les réseaux sociaux pour ranger les photos permettent l'identification des visages.

Lorsqu'il s'agit de sécurité, que faut-il privilégier : un mot de passe classique ou une authentification biométrique ? Le premier élément à prendre en considération est que la biométrie repose sur les mesures de caractéristiques uniques du corps humain. Il s'agit à la fois d'un critère de force et de faiblesse. Si un mot de passe est révélé, il est possible de le remplacer rapidement par un nouveau, en cas de vol de données biométriques, le sujet ne peut pas changer ses empreintes digitales ou son iris.

Bien sûr, l'avantage d'un accès biométrique est qu’il n’est pas nécessaire de se souvenir de dizaines de mots de passe, de codes PIN et des services auxquels ils sont connectés. Cependant, étant donné qu'il n'existe pas de technologies 100% sécurisées, les systèmes d'authentification biométrique sont eux-aussi loin d’être infaillibles.

Ces systèmes devraient, dans la mesure du possible, prendre en considération les changements physiques de l'utilisateur : une blessure sur le visage ou une autre partie du corps, modifiant ainsi le modèle biométrique. Une sorte de « seuil de tolérance » dans la reconnaissance devrait alors être mise en place, les fournisseurs de ces technologies faisant généralement référence à ces seuils de la manière suivante : Taux de fausses acceptations (False Acceptance Rates) et Taux de faux rejets (False Rejection Rates).

Dans tous les cas, les mots de passe et la biométrie ne sont pas antithétiques, ils peuvent être complémentaires. Selon le niveau de sécurité requis, les deux technologies peuvent être combinées, en utilisant un PIN pour l'identification d'un individu et une technologie biométrique pour l'authentification qui suit.