Qu'est-ce que la biométrie ?
- Glossaire IAM
- Qu'est-ce que la biométrie ?
La biométrie désigne la reconnaissance automatisée d'une personne sur la base de ses caractéristiques physiques ou comportementales. Il peut s'agir d'éléments tels que les empreintes digitales, les traits du visage, les modèles vocaux, les numérisations de l'iris ou de la rétine, ou même la démarche unique d'une personne ou sa façon de taper au clavier.
Les systèmes biométriques sont utilisés à des fins d'identification et d'authentification, généralement dans le cadre d'une authentification multifacteur (MFA). Ils comparent les données biométriques d'une personne à un modèle stocké ou à une base de données afin de déterminer si la personne est bien celle qu'elle prétend être.
Ces dernières années, la popularité des technologies biométriques n'a cessé de croître en raison de leur commodité et de leurs caractéristiques de sécurité renforcées. De nombreux utilisateurs se servent de leur visage, de leurs empreintes digitales ou de certains gestes pour déverrouiller leurs appareils mobiles. La biométrie sert aussi fréquemment à autoriser l'accès à des installations ou à des appareils sécurisés. Toutefois, les experts en sécurité ont exprimé des inquiétudes quant à la confidentialité et à la sécurité des données biométriques.
Définition de la biométrie
L'idée d'utiliser des données biométriques pour s'identifier et s'authentifier n'est pas nouvelle. En fait, elle remonte aux civilisations anciennes, qui utilisaient des tatouages et d'autres marques sur le corps pour identifier les individus. En 1910, des empreintes digitales ont permis d'identifier un suspect dans une affaire de meurtre dans l'Illinois. Toutefois, c'est dans les années 1960 que l'utilisation moderne de la biométrie en tant que système technologique a commencé, avec la mise au point de systèmes automatisés de reconnaissance des empreintes digitales.
La principale motivation à l'origine de la création de la biométrie était d'améliorer la sécurité des systèmes et des processus utilisés pour vérifier l'identité d'une personne. Les méthodes d'identification traditionnelles, telles que les mots de passe ou les cartes d'identité, sont susceptibles d'être volées, perdues ou facilement oubliées, et sont donc exposées à la fraude et à l'usurpation d'identité. Les données biométriques, en revanche, sont propres à chaque individu et difficiles à reproduire, ce qui en fait un moyen plus sûr et plus fiable de vérifier l'identité.
Outre la sécurité, les systèmes biométriques sont également pratiques et efficaces, car ils ne nécessitent pas de jetons physiques ou de mots de passe. L'authentification biométrique est plus rapide et plus rationnelle, ce qui la rend idéale pour les zones très fréquentées comme les aéroports ou les installations sécurisées, où la rapidité et la précision sont essentielles.
Aujourd'hui, la technologie biométrique a considérablement progressé et de nouvelles méthodes sont constamment développées et affinées. Cependant, comme pour toute nouvelle technologie, la protection de la vie privée et la sécurité suscitent des inquiétudes, notamment en raison de l'utilisation croissante des données biométriques dans les applications commerciales et dans le cadre de la surveillance gouvernementale.
La différence entre les mots de passe et la biométrie
La principale différence entre la biométrie et les mots de passe réside dans la manière dont ils sont utilisés pour vérifier l'identité d'une personne.
Les mots de passe sont une combinaison secrète de caractères ou de mots qu'un utilisateur crée et mémorise, puis fournit comme preuve de son identité. Ils sont souvent utilisés conjointement avec un nom d'utilisateur ou d'autres identifiants pour accéder à un système, un appareil ou un compte particulier. Cependant, il arrive que les mots de passe soient oubliés, perdus ou volés. En fait, l'écrasante majorité des violations de données et des attaques de ransomware réussies peuvent être attribuées à des mots de passe compromis.
Cependant, le vol des données biométriques n'est pas impossible, c'est pourquoi, dans la pratique, l'authentification biométrique est rarement utilisée comme méthode d'authentification autonome. Elle est plutôt utilisée en conjonction avec d'autres méthodes d'authentification (en particulier les mots de passe et les codes PIN) dans le cadre d'une authentification multifacteur. Par exemple, un smartphone peut demander à un utilisateur de saisir un mot de passe ou un code PIN avant de lui permettre d'utiliser ses données biométriques (telles que son empreinte digitale) pour déverrouiller l'appareil.authentification multifacteur. Par exemple, un smartphone peut demander à un utilisateur de saisir un mot de passe ou un code PIN avant de lui permettre d'utiliser ses données biométriques (telles que son empreinte digitale) pour déverrouiller l'appareil.
Les données biométriques peuvent-elles être piratées ?
La réponse est malheureusement oui. Si l'authentification biométrique est généralement considérée comme plus sûre que l'authentification traditionnelle par mot de passe, elle n'est pas à l'abri des compromissions. Les systèmes biométriques sont vulnérables à plusieurs types d'attaques, dont les suivantes :
Attaques par usurpation d'identité ou par présentation : un pirate crée un faux échantillon biométrique (comme une image faciale ou une empreinte digitale) suffisamment similaire à un échantillon réel pour que le système l'accepte comme étant authentique. Les « deep fakes » de plus en plus fidèles représentent une menace très sérieuse pour l'authentification biométrique.
Attaques par rejeu : un pirate capture et rejoue un échantillon biométrique précédemment enregistré, par exemple en interceptant la transmission d'une image ou d'un son biométrique, en prélevant l'empreinte digitale d'une personne ou en photographiant son visage en haute résolution.
Violations de données : les données biométriques sont stockées dans des bases de données, qui peuvent elles-mêmes être piratées.
Attaques physiques : un pirate peut contraindre physiquement un utilisateur à fournir son échantillon biométrique, par exemple en approchant une caméra de son visage ou en le forçant à toucher un lecteur d'empreintes digitales.
Pour atténuer ces risques, les systèmes biométriques doivent être conçus en intégrant de multiples mesures de sécurité, telles que le chiffrement et le hachage des données biométriques et la « détection du caractère vivant » pour s'assurer que l'échantillon provient bien d'un être humain vivant et non d'une photographie. En outre, la biométrie ne doit pas être utilisée comme méthode d'authentification autonome.