Prostock-studio - stock.adobe.co

Les mécanismes d’authentification biométrique en question

L’authentification biométrique n’a cessé de se démocratiser. Elle peut apporter une sécurité accrue et une expérience utilisateur largement améliorée. De quoi en faire la parfaite candidate à la sécurisation de nos données ?

Depuis qu’elle est embarquée dans nos smartphones, l’usage de l’authentification biométrique n’a cessé de se démocratiser. Comparée aux mécanismes traditionnels tels que le couple identifiant/mot de passe, cette méthode prétend apporter une sécurité accrue couplée avec une expérience utilisateur largement améliorée, ce qui pourrait faire d’elle la parfaite candidate à la sécurisation de nos données.

Les rouages de l’authentification biométrique

L’authentification biométrique fait appel à un élément physiologique ou comportemental qui nous est propre. Cette caractéristique, qui peut être une empreinte digitale, la forme du visage ou encore des spécificités de l’iris ou de la rétine, est recueillie par un ou plusieurs capteurs qui vont la traiter et la stocker sous une représentation mathématique, il s’agit du gabarit biométrique.

Lors des phases d’authentification, cette donnée va être comparée à celle soumise par l’utilisateur. Un score de ressemblance ou de dissemblance est attribué et lorsqu’un certain seuil est atteint, l’authentification est soit validée, soit rejetée. En complément, des tests de vitalités sont rajoutés afin de s’assurer que l’utilisateur qui se présente face au dispositif soit bien un sujet vivant et non un artefact conçu de toutes pièces.

Prendre la mesure des risques

La sécurité du mécanisme repose sur le fait que les données biométriques sont uniques à chaque individu et sont pratiquement infalsifiables. Cela n’a pourtant pas empêché la plupart des capteurs présents sur le marché d’avoir été mis en défaut, soit par des chercheurs en sécurité, soit par des pirates informatiques en utilisant des moyens bon marché. Un chercheur allemand à même pu recréer les empreintes digitales du ministre de la Défense allemande de l’époque, Ursula Von Der Layen, à partir de photos de presse et de photos prises par ses soins à proximité de la ministre.

Aujourd’hui, la tendance qui consiste à sécuriser les applications les plus sensibles via ce type d’authentification a fait que les systèmes qui récoltent, traitent ou hébergent les données biométriques sont devenus des cibles privilégiées pour les attaquants. Un rapport de Kasperky indique qu’au troisième trimestre de l’année dernière, plus d’un tiers de ces systèmes ont été ciblés par des attaques de malwares.

À cela, s’ajoute également, l’imprudence de certains éditeurs de ce type de solution, à l’image de BioStar 2, une plateforme de gestion des accès qui a vu sa base de données être exposée publiquement sur internet. Cette dernière contenait 23 Gigabytes de données sensibles et parmi elles, près d’un million de gabarits biométriques incluant des données de reconnaissance faciale et d’empreintes digitales stockées en clair ; causant ainsi un double risque pour les activités des entreprises ayant choisi cette solution et également pour les utilisateurs propriétaires de ces données.

En outre, les risques liés à la vie privée des utilisateurs n’ont pas encore été adressés comme il se doit. Lorsque les gabarits biométriques sont compromis, il est impossible de procéder à leurs modifications. En effet, lorsqu’une base de mot de passe est compromise, l’entreprise qui opère les données peut nous demander de procéder immédiatement à leur modification, chose qui n’est pas envisageable pour un gabarit biométrique. Il nous est impossible de changer de visage, de voix ou encore d’empreintes digitales.

Également, un attaquant pourrait s’authentifier sur tous les systèmes sur lesquels l’utilisateur s’était préalablement enrôlé. L’impact pour le propriétaire des données est donc à vie. Ensuite, cela peut également être préjudiciable pour la firme victime, car lorsque ces données d’authentification sont compromises, elle serait contrainte de changer complètement de mécanisme d’authentification.  

Parfaire sa démocratisation

En l’état, il peut être préférable de coupler ces systèmes, à d’autres types plus traditionnels dans le cadre de mécanismes d’authentification à multiples facteurs, ce qui augmenterait significativement la sécurité de l’authentification. Également, des standards de sécurisation stricts des données biométriques doivent être définis pour l’ensemble des acteurs qui récoltent, traitent et hébergent ce type de données à des fins d’identification ou d’authentification. Les données biométriques des individus étant immuables, il est impératif que l’ensemble des systèmes qui les accueillent bénéficient d’un niveau de sécurité homogène.

Enfin, une réflexion profonde doit être menée sur les manières dont les utilisateurs pourraient faire valoir leurs droits et se protéger lorsque leurs données ont été compromises, étant donné l’impact que cela peut avoir dans le cadre de leurs vies privées.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)