Connexion
Abonnez-vous

Le doigt dans l’œil de la biométrie

Vous êtes le produit

Le doigt dans l’œil de la biométrie

Le 31 mars 2022 à 15h57

Nous vous parlons régulièrement de la biométrie. Comme elle est présente dans de nombreuses circonstances de notre vie (informatique ou pas), il serait grand temps de mettre les points sur les « i » et de vous expliquer ce qu’est vraiment cette technologie. Si on se représente intuitivement bien ce que c’est, on n’appréhende pas forcément les subtilités qui font à la fois son charme et sa dangerosité.

Première surprise en cherchant la définition du terme : il est impropre. La biométrie désignait au départ la partie de la biologie étudiant les phénomènes biologiques de façon quantitative : pour le Littré, il s’agit de la connaissance des lois qui régissent la durée de vie, et le Larousse la définit comme l’étude statistique des dimensions et de la croissance des êtres vivants.

Définissons

L’appellation la plus appropriée serait anthropométrie, qui est la mesure descriptive des caractéristiques du corps humain, terme toujours utilisé en criminologie au sujet de l’identification des personnes. Mais aujourd’hui la biométrie désigne aussi l’analyse des caractéristiques physiques strictement propres à une personne (selon notre ami Robert), et c’est tant mieux pour nos autres amis du marketing qui auraient eu bien du mal à écrire et à vendre de l’anthropométrie.

Pour fixer les choses, reprenons la définition donnée par la CNIL, qui servira de facto de base à toutes les réflexions concernant l’usage de la biométrie dans le domaine technologique :

« La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.) ».

Idéalisons

Concrètement, ou plutôt idéalement, un critère biométrique doit présenter certaines propriétés pour être utilisable en tant que tel. Il doit donc être :

  • Universel : on doit le retrouver pour chaque être humain ;
  • Unique : chaque être humain doit être le seul à posséder la caractéristique mesurée ;
  • Mesurable : il faut être capable de mesurer et de décrire avec précision la caractéristique ;
  • Permanent : si ça change avec le temps, ça complique la mesure !

Au niveau de l’universalité, on a déjà un problème : par exemple, en 2017, un collège de Toulouse a voulu utiliser le gabarit de la main pour gérer l’entrée des élèves à la cantine. Résultat : « pas de bras, pas de repas », comme soulignait malicieusement le Canard Enchaîné à l'époque.

Pour la petite histoire, les enfants des parents qui refusaient la biométrie pouvaient quand même aller manger à la cantine, mais… en dernier. Or, en plus des anomalies possibles à la naissance, l’être humain est sujet aux accidents et aux maladies pouvant potentiellement affecter les facteurs biométriques. Savez-vous que certaines personnes n’ont pas d’empreinte digitale ? Elles sont atteintes d'une maladie génétique, l'adermatoglyphie.

Pour l’unicité, vous avez tous en tête le problème des individus homozygotes (vrais jumeaux), qui partagent de nombreuses caractéristiques biométriques. Mais il y a d’autres incertitudes sur ce sujet : il n’existe aucune étude assurant que deux individus distincts ne puissent pas également partager des caractéristiques biométriques. On ne peut d’ailleurs qu’en évaluer la probabilité, à moins de disposer des échantillons concernant toute la population concernée.

Si pour l’ADN la probabilité de ressemblance inter-individus est faible, on n’a en revanche aucune certitude sur les empreintes digitales ou la forme de l’iris, par exemple : rien ne dit qu’un autre individu ne puisse pas avoir des caractéristiques très proches des miennes. Pire encore, des chercheurs ont mis au point un modèle d’empreinte digitale générique capable de tromper les capteurs insuffisamment précis. On reparlera du sujet de la précision de la mesure un peu plus bas.

Pour la permanence, il faudrait plutôt comprendre que le critère doit rester cohérent dans le temps, car en réalité le corps humain évolue et change : une caractéristique biométrique n’est pas totalement permanente : la peau se ride sur le visage, une blessure ou une maladie peut modifier (voire supprimer) une caractéristique biométrique, etc. 

À l’inverse, la permanence (ou cohérence) peut devenir une difficulté, car en cas de compromission, il sera difficile de changer son empreinte, sa voix, ou la forme de son iris…

En plus de cela, il faut être capable de la capturer (la mesurer) et qu’elle soit infalsifiable. On verra plus bas que sur ce point, on est loin du compte, contrairement aux idées reçues (et vendues).  

Un critère oublié et un usage détourné

Il y a un petit souci dans l’usage de la biométrie dans la sécurité, et dans la sécurité informatique en particulier : il est en effet plus que recommandé qu’un moyen d’authentification soit maîtrisé par l’utilisateur. Un mot de passe doit en réalité être un code secret : le système en charge de l’authentification n’est pas censé le connaître et doit s’appuyer sur des mécanismes dérivés pour le vérifier (souvent via un hash).

Or la plupart des caractéristiques biométriques sont publiques directement ou indirectement, via les traces qu’on laisse. La pire est peut-être l’empreinte digitale, qui laisse des traces et qu’on peut même prendre en photo ! Ursula von der Leyen, alors ministre allemande de la Défense, a vu une de ses empreintes digitales reconstituées à partir de photos prises en public, et avec du matériel disponible dans le commerce !

Et réfléchissez : vous déverrouillez votre smartphone avec votre empreinte digitale, mais où peut-on en trouver un échantillon très facilement ? La mode est aux coques et écrans brillants...

empreinte
Crédits : Johan Swanepoel/iStock/ThinkStock

Vous imaginez que des caractéristiques plus subtiles comme la forme de l’iris vous assureront un meilleur niveau de protection ? Regardez cette vidéo du Chaos Computer Club (grand pourfendeur de la biométrie) piratant un Samsung S8. Le matériel utilisé est tout ce qu’il y a de plus banal : un appareil photo, une imprimante (admirez leur sens de l’humour à 0:28) et une lentille de contact. Ce même groupe est aussi déjà à l’origine de l’empreinte d’Ursula von der Leyen, du hack du touchID de l’iPhone, etc.

On peut également citer cette enquête de Cash Investigation sur « les dessous de ce business qui a le vent en poupe » où « certains industriels sont par exemple prêts à manipuler les statistiques pour faire gonfler leur bénéfices. L'enquête présentée par Elise Lucet montre également les failles de la biométrie, présentée comme la solution miracle ». L’équipe avait floué le contrôle biométrique à l'aéroport, PARAFE (Passage automatisé rapide aux frontières extérieures).

En un mot, on voit que la biométrie est assez bien adaptée pour l’identification, mais que des difficultés apparaissent très vite pour l’authentification car ces données sont difficiles à protéger des curieux ! Vous pensez que l’ADN est plus secret ? Vous en laissez pourtant plein dans tous les coins puisqu’il y en a partout dans nos cellules. De là à ramener un aspirateur quand on va chez le coiffeur…

 

Une innovation préhistorique

Grâce au marketing (et il est redoutable en informatique), on nous vend la biométrie comme une innovation révolutionnaire. 

Or la biométrie était exploitée dans la préhistoire : de nombreux hominidés utilisaient le contour de leur main peint sur les parois des cavernes pour indiquer leur présence ou signer leurs œuvres.

Gravures rupestres de la grotte d'Altamira
Gravures rupestres de la grotte d'Altamira (Espagne). Crédits : Lhfage at English Wikipedia

Alors pourquoi nous en vend-on autant aujourd’hui ?

Réponse simple : parce que l’on peut. Sous-entendu : avant on ne pouvait pas car, jusque récemment, les dispositifs biométriques étaient hétérogènes et de fiabilité variable, donc rarement grand public. Et une autorisation CNIL s’avérait indispensable, même pour de petites expérimentations.

Désormais, les dispositifs atteignent le grand public (via les smartphones par exemple), car le coût devient abordable et la miniaturisation est suffisante. Ils génèrent un sentiment de sécurité tout en procurant un confort d’utilisation qu’on ne peut lui reprocher : il n’y a rien à écrire ou à retenir, et il est courant de se balader avec ses doigts et son visage à portée du smartphone.

Du point de vue juridique, un gros changement a également favorisé l’émergence de la biométrie puisqu’on est passé du mode « autorisation CNIL » (qui prenait des mois) à un régime plus simple de « déclaration CNIL ». Pour les smartphones, le secret biométrique est stocké dans le terminal, ce qui est également un point facilitant son usage vis-à-vis de la gestion des risques, notamment avec le RGPD puisque ces données très sensibles restent sous le contrôle de l’utilisateur.

Attention : il s’agit bien du secret biométrique (la donnée informatique) utilisé pour l’authentification qui est sous le contrôle de l’utilisateur, car vous avez vu que nous dispersons nos caractéristiques biométriques à tout vent…

Le passage en mode déclaratif ne signifie toutefois pas qu’il n’y a aucune règle ou rien à faire. Depuis l’entrée en application du RGPD, la CNIL n’intervient plus en tant qu’organisme d’autorisation, mais en tant qu’entité de contrôle et toute entreprise utilisant de la biométrie doit avoir effectué un travail d’analyse d’impact transmis à la CNIL.

Utilisons

Les technologies biométriques adressent de nombreux cas d’usage, grâce à un large panel de technologies. La biométrie peut être :

  • Statique : on mesure une caractéristique à un instant précis, comme l’empreinte digitale ou la forme de l’iris, la reconnaissance faciale (en mode « photo »), veineuse, la forme de la main ou de l’oreille (et on s’arrête là pour le moment).
  • Dynamique:  on mesure une caractéristique mais dans le temps. Cela peut être la façon dont vous tapotez sur le clavier ou déplacez votre souris. Cela peut aussi être le mouvement de vos yeux, votre façon de signer sur une tablette tactile, votre rythme cardiaque, votre voix, etc.
  • Hybride : on combine statique et dynamique, mais pour en obtenir une seule caractéristique. C’est de plus en plus le cas pour la reconnaissance faciale qui vous demande de bouger la tête, parfois de façon imposée « regardez à droite, puis en haut ».

Il arrive qu’on combine plusieurs biométries différentes (solution multimodale) pour n’en faire qu’une seule mesure plus précise, mais il faut que cela reste cohérent sinon on ne fait que superposer deux solutions distinctes. Ainsi, on peut imaginer combiner empreinte digitale et réseau veineux, réseau veineux et rythme cardiaque, voix et visage, etc.

Identification : t’es qui, toi ?

Il s’agit de l’usage historique de la biométrie : l’identification. On donne ainsi une identité à l’objet mesuré. Pensez aux enquêtes de police avec le service d’identification criminelle : on cherche à connaître l’identité d’une personne (victime ou criminel), et pour cela on fait un choix de type « 1:N », à savoir qu’on retient une identité parmi une multitude.

Authentification : es-tu bien qui tu prétends être ?

Cet usage a émergé avec la démocratisation des capteurs biométriques grand public. Il s’agit de prouver son identité : on parle alors d’authentification. C’est un choix de type « 1:1 » : on vérifie que la preuve de l’identité annoncée est conforme à celle qu’on a associée à l’identité.

Cela implique de savoir ce qu’on entend par conforme, mais aussi de disposer d’un référentiel associant l’identité et la mesure de la caractéristique biométrique de l’individu. Dans le cas de la biométrie vocale, on peut demander à l’utilisateur de prononcer une phrase clé (« ma voix est mon mot de passe »), transformer le son en une mesure numérique et la comparer à un gabarit biométrique (terme consacré), qui est une modélisation de la voix, associée à l’utilisateur. Si la phrase prononcée coïncide avec le modèle, l’authentification est valide. Sinon elle est rejetée.

Logique de score

À partir de quel moment peut-on dire qu’un individu est bien celui qu’il prétend être ? Pour commencer, rappelons-nous qu’une caractéristique biométrique est mesurée. Or qui dit mesure, dit incertitude due à une erreur dans la mesure elle-même ou en raison de limitations techniques dans l’appareil de mesure.

Schéma d’une authentification biométrique générique

Crédits : Next INpact

Pour s’enregistrer dans un système d’authentification biométrique (c’est-à-dire associer son identité avec des caractéristiques biométriques), on présente sa caractéristique à un capteur, qui recueille les données (brutes, en général). Ensuite, on extrait les traits caractéristiques qu’on appelle les « minuties » (par exemple les points caractéristiques sur votre empreinte digitale), qu’on va traiter selon un modèle mathématique qui peut varier d’une biométrie à l’autre : on ne traitera pas la voix de la même façon qu’une empreinte digitale.

Type de points caractéristiques pour les empreintes digitales

Type de points caractéristiques pour les empreintes digitales. Crédits : archives-ouvertes

On en déduit un objet de référence, une représentation de la caractéristique de la personne exprimée (appelée « gabarit » par la CNIL) via le modèle mathématique choisi. Ce modèle, cette référence, doit être stockée convenablement : il ne doit pas être possible de reconstituer l’original à partir de cette référence, et seul l’utilisateur doit en avoir le contrôle, sauf dans les cas particuliers prévus par la loi, comme le FAED, fichier automatisé des empreintes digitales.

Lors de l’authentification, le début du processus est le même : captation de la caractéristique biométrique, traitement et calcul d’un gabarit mesuré. Une fois que c’est fait, on regarde l’écart entre cette mesure et le gabarit de référence : si l’écart est élevé, l’individu est un usurpateur, si l’écart est infime, l’individu est bien celui attendu. Normalement.

En bonus

Les modèles utilisés en biométrie utilisent largement des propriétés statistiques, et il faut souvent plusieurs échantillons pour obtenir le gabarit de référence. Faites l’expérience sur votre smartphone : lors de l’enregistrement d’une empreinte, on vous demandera de présenter plusieurs fois votre doigt. Si vous alternez une fois sur deux avec une autre personne, vos deux empreintes seront probablement reconnues…

Heureusement il y a des erreurs !

Ben oui : heureusement ! Reprenons les caractéristiques idéales de la biométrie : il faut que le critère mesuré soit invariable dans le temps pour éviter les erreurs. Or qui dit biométrie, dit « vivant » : nos organismes changent avec le temps ou le contexte.

Donc si les mesures étaient parfaites, sans marge d’erreur, les systèmes biométriques ne nous reconnaîtraient quasiment jamais : il suffirait d’écraser un peu trop fort son doigt contre le capteur d’empreinte, de s’être coupé ou d’être en sueur pour que l’image captée soit déformée et donc « non conforme ». Idem pour la biométrie faciale : froncer les sourcils, sourire ou fermer les yeux ne doivent pas faire échouer l’authentification, d’où le nécessaire calcul d’un score de ressemblance.

Malheureusement il y a des erreurs !

Fatalement il y a des erreurs ou des approximations. D’abord parce que nous ne sommes pas une statue de marbre (ou de cire), mais aussi parce que les capteurs ont une précision finie. En informatique, on s’est affranchi de la qualité du signal en traitant des informations en mode numérique et non en analogique.

Mais que l’on nous mesure « numériquement » ou « analogiquement », il y aura obligatoirement une marge d’erreur dans la lecture. En numérique, on aplatira des caractéristiques qui ont des variations faibles et continues. En analogique, le capteur aura forcément des limites opérationnelles : vous connaissez beaucoup de capteurs bon marché et portables capables de mesurer une distance au millionième de mètre près ?

Ce n’est pas bon alors ?

Alors il faut de la marge en entrée (puisque nous sommes vivants), et la mesure induira toujours une marge d’erreur. Nous voilà obligés de vivre avec une logique de score, qui nous dira si la mesure est proche de ce qu’on attend ou pas, en tenant compte des marges d’erreur.

Maintenant, prenons une analogie avec un mot de passe. Vous imaginez un système qui vous dirait : « ok, vous avez presque le bon mot de passe, je vous laisse entrer ». Vous trouveriez que c’est sécurisé, vous ? C’est pourtant ce qui se passe avec la biométrie. Et le pire est qu’on a assez peu de marge de manœuvre pour traiter des erreurs.

Comment on gère cela ?

Avec doigté. Toutes les biométries utilisent un capteur (spécifique ou non) : caméra, capteur capacitif, micro, etc. Même pour l’ADN il existe une marge d’erreur (erreur de manipulation, contamination). Mais concentrons-nous sur la biométrie sans prélèvement, c’est-à-dire celle utilisée en authentification informatique. Il serait difficile en effet de demander à un utilisateur de se piquer le doigt pour obtenir une goutte de sang et faire un test ADN à chaque fois qu’il voudrait confirmer un virement bancaire.

Le résultat d’une mesure est un score de ressemblance. On sait d’avance que le capteur peut induire une erreur sur ce score, lors de la mesure.

Système sensible

Si on règle le système d’authentification biométrique pour être très sensible (ou si le capteur est très sensible), de sorte de n’accepter qu’une tolérance très faible, on réduit les chances d’accepter un imposteur. Mais en raison de la précision limitée du capteur, on risque aussi de rejeter l’utilisateur légitime (ce qu’on appelle un faux négatif ou un vrai rejet, mais erroné).

Système pas sensible

Si à l’inverse, on baisse la sensibilité générale, on diminue le risque de rejeter le bon utilisateur. En revanche on augmente le risque d’accepter un imposteur (faux positif ou fausse acceptation).

Taux vraissemblance

Arbitrage entre taux de fausses acceptations (FAR) et taux de faux rejets (FRR), crédits : Mohamad El Abed /  Senat

Problème : que veut-on privilégier, ces objectifs étant antinomiques ? Un réglage trop sensible risque de rejeter l’utilisateur légitime (et donc l’énerver) alors qu’un réglage peu sensible risque de laisser passer des fraudeurs. Et rappelons-nous aussi qu’un capteur plus précis ne fera que rendre le système plus sensible (avec le risque de faux négatif et de contrariété chez utilisateur).

Donnée infalsifiable

La non-reproductibilité est une nécessité pour la biométrie : si on arrive à reproduire les empreintes digitales ou la forme du visage, l’attaque devient facile, et la protection apportée s’évapore.

Or, dans l’imaginaire collectif, on pense qu’il est impossible qu’un autre individu puisse reproduire nos caractéristiques. On a déjà vu que l’unicité n’était pas assurée, mais le problème n’est même pas ici.

Un attaquant, dans un scénario d’attaque réel, ne va pas chercher à avoir sur le doigt l’empreinte digitale visée : il va plutôt chercher à présenter au capteur quelque chose qui ressemble suffisamment à l’empreinte visée, et ça fait toute la différence ! Peu importe que ça soit un doigt ou un bout de plastique ! La sécurité fantasmée de la biométrie provient du fait qu’on croit qu’il faut un être humain quasi-clone de la cible pour tromper un capteur biométrique.

Cela serait vrai si les capteurs étaient capables de savoir s’ils mesuraient effectivement la biométrie d’un être humain (ce qu’on appelle la détection du vivant). Or la plupart des capteurs en sont incapables car cette tâche est d’une complexité bien supérieure à celle de simplement mesurer une caractéristique physique.

Plus surprenant, des capteurs qu’on imaginerait plus capables d’effectuer cette détection se font berner par des leurres en cire : le Chaos Computer Club (encore lui) a trompé un capteur biométrique utilisant le réseau veineux de la main, quand bien même le système était vendu comme ayant une détection du vivant. Mais plus généralement, malgré des progrès dans la captation, la détection du vivant reste le talon d’Achille de quasiment tous les systèmes d’authentification biométrique, les laissant vulnérables à la recopie sur un autre support.

De plus, en cas de compromission, il est en général impossible de changer la source d’authentification (l’empreinte, la voix, la forme de la main…). En conséquence :

  1. Une fois compromise, une source d’authentification biométrique l’est pour toujours (elle est permanente !)
  2. La compromission permettra l’authentification sur le système d’origine (de la compromission), mais aussi sur tous les systèmes utilisant la même biométrie (elle est unique !)
  3. La seule parade consisterait en une détection du vivant mais c’est une tâche très complexe, hors de portée d’un capteur qui ne mesure qu’une seule caractéristique (ou deux).
  4. Pour achever le tout, la biométrie n’est pas révocable : je ne peux pas changer mes caractéristiques.

Sans oublier d’autres soucis… encore un petit coup de RGPD

Quand on utilise un mot de passe, l’utilisateur choisit lui-même son secret. Donc il est le seul à le connaître (lui et son Post-it) et l’association entre l’utilisateur et le code secret ne pose pas de problème, le seul lien est la connaissance du secret.

Or pour la biométrie, l’identité d’une personne est incluse dans la mesure. Donc l’identité contenue dans la biométrie peut être différente de celle associée en base. Et comme l’identité est incluse, la donnée devient personnelle. Elle est même considérée comme sensible.

Une sécurité politiquement incorrecte

Dernier problème et non des moindres : si tous les êtres humains naissent libres et égaux en droit, ils ne sont en revanche pas égaux face aux capteurs biométriques. Il est fréquent de voir des différences très notables. Les asiatiques et les noirs sont moins bien identifiés dans beaucoup de systèmes, surtout quand on passe d’un algorithme statistique à un algorithme d’intelligence artificielle (de classement automatisé de motifs complexes) dont on a du mal à se débarrasser des biais.

Un rappel utile : l’authentification forte selon l’ANSSI

Lors de la mise à niveau par l’ANSSI de ses recommandations concernant l’authentification forte et les phrases de passe, l’Agence évoque la biométrie. Le moins qu’on puisse dire, c’est qu’ils ne sont pas enthousiastes : « […] l’emploi d’un facteur biométrique présente de nombreux désavantages et limitations ». Et de proposer les règles suivantes :

  • Règle 40 : Ne pas utiliser un facteur inhérent (biométrique) comme unique facteur d’authentification
  • Règle 41 : Utiliser un facteur inhérent uniquement associé à un facteur d'authentification fort
  • Règle 42 : Favoriser une rencontre en présence lors de l'enregistrement d'un facteur inhérent

Au final : un doigt de confort

Aujourd’hui il n’existe pas d’attaque en masse sur la biométrie, ce qui nous protège un peu. Mais en informatique, les données ne disparaissent quasiment jamais. Les bases de données biométriques commencent à être ciblées par de méchants pirates, et ces données restent valides sans limite de temps. Regardez ce que peut donner une société comme ClearView qui aspire tout ce qu’elle peut trouver.

Espérons aussi ne jamais tomber dans les travers des films de science-fiction, avec le méchant qui vous coupe le doigt ou vous arrache un œil pour tromper un système biométrique. Pourtant, en 2015, des individus ont imaginé qu’enlever une fillette pour utiliser son ADN serait la solution à un conflit familial, en trompant les tests de paternité. En 2018, un escroc utilisait le doigt coupé de sa victime pour usurper son identité.

Toute solution d’authentification (biométrique ou pas) reste un compromis entre ergonomie et sécurité. L’usage de la biométrie reste délicat et il faut toujours prévoir une alternative : en France, il est interdit de l’imposer pour le grand public.

En termes d’expérience utilisateur, certaines biométries sont quasi-imbattables, mais on est donc très loin d’un niveau élevé d’authentification et d’une confiance aveugle. Prenez le cas d’un lecteur d’empreinte sur smartphone : le taux d’erreur annoncé par les constructeurs varie entre 1 sur 50 000 à 1 sur 250 000. À peine mieux qu’un code PIN sur 4 chiffres, avec la limitation qu’on ne peut ni le choisir ni le changer. Pour la biométrie vocale, le taux d’erreur est d’environ 1 pour 100. Idéalement, la biométrie ne devrait être qu’un facteur parmi d’autres dans une solution globale d’authentification.

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Il manque un critère essentiel : tous les système se font pirater un jour où l’autre, donc tout élément servant à authentifier un utilisateur doit être révocable.
Bon, si on a choisi l’empreinte digitale, c’est facile, il suffit de couper le doigt. Si c’est l’iris de l’œil, c’est un peu plus douloureux, mais ça reste gérable. En revanche, s’il faut changer d’ADN, là c’est chaud.

votre avatar

De plus, en cas de compromission, il est en général impossible de changer la source d’authentification (l’empreinte, la voix, la forme de la main…). En conséquence :




  • Une fois compromise, une source d’authentification biométrique l’est pour toujours (elle est >permanente !)

  • La compromission permettra l’authentification sur le système d’origine (de la compromission), >mais aussi sur tous les systèmes utilisant la même biométrie (elle est unique !)

  • La seule parade consisterait en une détection du vivant mais c’est une tâche très complexe, >hors de portée d’un capteur qui ne mesure qu’une seule caractéristique (ou deux).

  • Pour achever le tout, la biométrie n’est pas révocable : je ne peux pas changer mes caractéristiques.


:fumer:

votre avatar

Ah oui, j’avais raté cette ligne dans cet article… touffu. :oops:

votre avatar

Il est clair que sur l’usage majoritaire de la biométrie aujourd’hui (empreinte/facial), on se base uniquement sur le “peu probable”, sachant que pour berner le capteur d’empreinte de mon smartphone, il faut déjà accéder physiquement à mon smartphone (ciao les hackers du darkweb).
Il faut aussi réussir son coup dès le début (le nombre de tentatives est limité), mais aussi assez vite pour que je ne m’en rende pas compte, sans quoi je pourrais intervenir pour le récupérer ou le bloquer à distance.



Sur Android, il y a aussi une demande régulière du schéma, ce qui limite aussi la durée effective d’exploitation d’une fausse empreinte, même si on est d’accord que c’est suffisant pour me nuire. J’ai rien vu sur ce point avec Windows Hello, mais en pratique j’ai un tel taux d’échec sur le lecteur d’empreinte que je tape souvent le code…



En bref, c’est pas infaillible, mais en pratique la probabilité pour qu’on compromette mon smartphone est ultra faible, surtout par rapport à tous les autres risques encourus par mes données lors de son utilisation courante.



Je pense que c’est d’ailleurs pour ça qu’on ne peut pas en l’état envisager d’aller plus loin sur l’utilisation de ce système. On pourrait imaginer demain attraper n’importe quel appareil (smartphone, tablette…) posé sur une table et avoir accès juste en posant son doigt à son propre environnement complet. Les systèmes client léger/cloud le permettraient sans trop de problème. Mais dans ce cas, il faudrait effectivement stocker les informations de biométrie dans le Cloud plutôt que dans l’appareil physique, et ça rend les choses beaucoup plus délicates en termes de probabilités.

votre avatar

J’ai toujours en tête une interview du Chaos Computer Club il y prêt de vingt ans, à propos de l’authentification par empreintes digitales: “il faut être complètement idiot pour utiliser comme clé




  1. Quelque chose que vous ne pouvez jamais changer,

  2. Quelque chose que vous laissez partout ! “



L’authentification grand public n’a jamais visé la sécurité, mais la facilité. Le but est de diminuer la friction et donc maximiser l’usage pour engranger un maximum de rentrées, par exemple via Apple Pay.
Si les systèmes visaient la sécurité, les smartphones proposeraient biometrie ET mot de passe, mais ils proposent biométrie OU mot de passe, ce qui diminue la sécurité (la serrure accepte deux clés distinctes au lieu d’une).
Rendons ici hommage au magnifique marketing d’Apple qui a réussi à convaincre une majorité qu’ une diminution de sécurité était une augmentation parce que, vu que c’est high tech, c’est forcément plus sûr …
Aussi amusant, c’est que pour les applications “secret défense”, toutes les techniques grand public (empreintes digitales, reconnaissance de l’iris ou du visage) sont d’office exclues car l’information peut trop facilement être captée et reproduite par un attaquant. Seule la reconnaissance des veines (rétine ou paume de la main) est jugée acceptable.

votre avatar

Pire encore, des chercheurs ont mis au point un modèle d’empreinte digitale générique capable de tromper les capteurs insuffisamment précis.


NU-ME-RI-QUE!



Arrêtez avec vos digitales on a dit num— oh wait :francais:

votre avatar

Bravo pour cet article de vulgarisation !!

votre avatar

ovancantfort a dit:



magnifique marketing d’Apple qui a réussi à convaincre une majorité qu’ une diminution de sécurité était une augmentation parce que, vu que c’est high tech, c’est forcément plus sûr …


Ça dépend de quoi on parle. Le confort de déverrouiller son téléphone avec son empreinte fait que plus de gens le font (auparavant, ils auraient simplement laissé leur téléphone non verrouillé). Par rapport à pas de verrouillage, c’est donc un peu mieux. Mais il faut être conscient que ça n’a pas un niveau de sécurité de fou…

votre avatar

Le PIN code est aussi demandé régulièrement pour réactiver l’authentification biométrique … Et sur les modèles avec faceid le verrouillage c’est encore plus agressif …

votre avatar

En effet. Quand il s’agit de gérer la sécurité de l’OS, les constructeurs considèrent que le code PIN reste supérieur à la biométrie. De là à dire qu’ils n’ont pas confiance…



Pour les combinaisons, un code PIN sur 4 c’est 10 000 possibilités, alors que le touchID donne 1 erreur sur 50 000 (c’est à peu près pareil sur Android). Mais le code PIN, on peut le révoquer et le changer en cas de problème. Et surtout 5x plus de combinaisons, en sécurité informatique, c’est légèrement mieux et non beaucoup mieux (ça dépend des scenarios d’attaques et de plein d’autres choses, mais on raisonne surtout en pallier de x10). Et avec un code PIN sur 6 on dépasse le faceID.



A titre de comparaison, un mot de passe de 8 caractères composé uniquement de lettres (maj/min) et de chiffres donne 218 340 105 584 896 combinaisons.

votre avatar

Dans le James Bond Opération Tonnerre, si j’ai bonne mémoire, un type se fait mettre un faux oeil pour tromper un capteur.

votre avatar

Anecdote, il y a eut un serial killer russe ayant une maladie assez rare modifiant son adn et faussant par la même tout les tests ainsi il a pu passer plusieurs années tranquille.

votre avatar

poisson?

votre avatar

Désolé, je viens de retrouver l’affaire en question ce n’est pas une modification d’adn comme je disais mais une histocompatibilité différente entre la prise de sang et le sperme retrouvé sur les victimes. Ma mémoire me joue des tours.



fr.wikipedia.org Wikipedia

votre avatar

Merci pour le lien :)

votre avatar

C’est un peu la même chose avec tous les gadgets de mesure corporelles (iwatch etc.) avec des capteurs complètement aux fraises pour lesquels on raconte aux utilisateurs qu’en suivant l’indicateur X de l’appli, ils vont devenir beaux et forts, alors qu’aucun de ces capteurs n’est réellement capable de fournir la qualité de mesure nécessaire.



Sur la biométrie, la reconnaissance faciale de mon téléphone est capable de se déverrouiller quand je porte le masque alors que ça doit masquer dans les 70-80% des points caractéristiques de mon visage.

votre avatar

Sur ma montre PineTime rien qu’en tapant au clavier généralement j’ai fait 1500 pas :mdr:



A sa décharge, le software est encore en développement actif. Cela dit, j’ai aussi eu des résultats délirants avec Android.



Donc même avis, ces gadgets ont une fiabilité très relative.

votre avatar

Un bon rappel des limites de ces systèmes.
Le point saillant étant pour moi la non revocabilité et le fait qu’en cas de faiblesse sur un systèmes, tous ceux liés à cette empreinte biométriques sont aussi à la merci de l’attaquant.



C’est pas pour rien qu’on demande de mettre des MDP différents sur chaque service, ça limite la possibilité d’exploration rapide des systèmes où l’utilisateur à un compte.

votre avatar

refuznik a dit:


Anecdote, il y a eut un serial killer russe ayant une maladie assez rare modifiant son adn et faussant par la même tout les tests ainsi il a pu passer plusieurs années tranquille.


Ce n’est pas plutôt un cas de chimérisme comme Lydia Fairchild ?

votre avatar

Supprimé

votre avatar

Super article merci.



Sinon question un code PIN sur 4 chiffres c’est 10000 combinaisons un lecteur d’empreintes semble quand même bien supérieur non ?

Le doigt dans l’œil de la biométrie

  • Définissons

  • Idéalisons

  • Un critère oublié et un usage détourné

  • Une innovation préhistorique

  • Alors pourquoi nous en vend-on autant aujourd’hui ?

  • Utilisons

  • Identification : t’es qui, toi ?

  • Authentification : es-tu bien qui tu prétends être ?

  • Logique de score

  • En bonus

  • Heureusement il y a des erreurs !

  • Malheureusement il y a des erreurs !

  • Ce n’est pas bon alors ?

  • Comment on gère cela ?

  • Système sensible

  • Système pas sensible

  • Donnée infalsifiable

  • Sans oublier d’autres soucis… encore un petit coup de RGPD

  • Une sécurité politiquement incorrecte

  • Un rappel utile : l’authentification forte selon l’ANSSI

  • Au final : un doigt de confort

Fermer