La biométrie, dernier rempart contre le vol de données ?

Y-a-t-il un effet Apple ou une simple appropriation par le grand public ? S’il y a quelques années, la biométrie faisait peur, celle-ci est aujourd'hui bien mieux acceptée par le grand public. Le passeport biométrique déclenchait, il y a dix ans, la polémique. Plus aujourd'hui ! Cet été, Visa publiait une étude réalisée auprès des consommateurs européens. Les deux tiers ont déclaré être prêts à utiliser une identification biométrique pour sécuriser un paiement. Pour les trois quarts des personnes interrogées, une identification à deux facteurs qui allie outil de paiement et biométrie est un bon moyen de sécuriser une transaction.

Sans surprise, la lecture d’empreinte digitale, aujourd’hui disponible sur tous les smartphones de moyenne et haut de gamme, est le moyen biométrique le plus connu du grand public, devant le scan rétinien, la reconnaissance faciale. Il en existe bien d’autres, dont la lecture du réseau veineux de la main généralement utilisé pour l’accès aux bâtiments,  celui de la rétine, de même que l’ADN. Les moyens biométriques comportementaux exploitent, quant à eux, certaines façons d’agir de l’utilisateur. Rapidité de frappe sur le clavier, timbre et phrasé de la voix, signature manuscrite, et même, plus récemment l'analyse du rythme cardiaque, les chercheurs travaillent sur de multiples pistes plus ou moins faciles à mettre en œuvre, mais aussi à leurrer.

L'étonnant intérêt soulevé par le paiement par selfie

Dans ce panel de technologies biométriques disponibles sur le marché, un nouveau dispositif est en train de monter en puissance avec l’essor des smartphones : le selfie. En mars 2015, Jack Ma, PDG d'Alibaba, numéro 1 du e-commerce en Chine, réalisait une démonstration de paiement par selfie lors de la conférence d'ouverture du Cebit. Désormais, cette technique arrive en Europe, notamment poussée par Mastercard.

La technologie de reconnaissance des visages est maitrisée depuis longtemps, mais la diffusion massive du smartphone dans la population ouvre de nouvelles perspectives. Safran Identity and Security (anciennement Morpho) a développé un dispositif de paiement par selfie. Avec l’application mise au point par le Français, il suffit de scanner son passeport via sa puce NFC et prendre un selfie pour s’enregistrer dans le système. Un simple selfie permettra, ensuite, de valider une transaction.  La technologie du Français a séduit Samsung qui embarque les algorithmes développé par Safran sur ses smartphones depuis 2016.

Vincent Bouatou, Directeur Innovation & Business Support de Safran Identity & Security explique cet intérêt soudain pour le selfie alors que bon nombre de smartphones grand-public sont aujourd'hui équipés d'un lecteur d'empreinte digitale. "En 1999, nous avons été les premiers, alors en tant que Sagem, à mettre un capteur d'empreintes digitales sur un téléphone. C'était beaucoup trop tôt et le marché n'a absolument pas compris pourquoi nous faisions cela. Par contre, quand Apple a intégré le TouchID à l'iPhone 5S en 2013, l'intérêt que cela représentait était évident pour tout le monde, car les smartphones stockent désormais beaucoup d'informations. Composer un code est trop contraignant quand on doit le faire souvent et beaucoup d'utilisateurs ne le faisaient pas." Apple a su parfaitement intégrer le lecteur à son smartphone et le geste apparaît parfaitement naturel et ergonomique. Pour autant, pour le développeur, TouchID et les capteurs d'empreintes des smartphones Android n'apportent qu'une seule information : est-ce bien l'empreinte du porteur du smartphone ? Si plusieurs personnes ont accès au téléphone, impossible de savoir exactement qui a été authentifié. Dans le domaine du paiement, cette nuance fait toute la différence. "S'il s'agit d'une transaction financière, pour la banque, cette information n'est pas suffisante car la transaction va pouvoir être réfutée par l'utilisateur" explique Vincent Bouatou. "Avec un SDK de reconnaissance faciale, le développeur a le contrôle total sur la reconnaissance faciale et peut contrôler tout le cycle de la transaction."

Si, pour des raisons marketing, les fabricants de smartphone poussent dans le sens d'une démocratisation des moyens biométriques, ce sont les géants du Web qui pourraient leur donner une impulsion décisive dans les prochaines années. L'alliance FIDO pour "Fast IDentity Online" regroupe en effet des grands noms de la biométrie, du secteur financier mais aussi Google, Microsoft. L'objectif est de mettre en place sur le Web une identité numérique unique interopérable avec n'importe quel service Internet. Membre du comité biométrie de l'alliance, Vincent Bouatou souligne : "La biométrie va jouer un rôle important dans le projet. FIDO 1.0 a été publié et Microsoft a annoncé son soutien et un support prochain de FIDO dans la plateforme Windows.  Cela va créer énormément d'adoption sur le PC, créer les usages sur Internet et je suis certain que tous les autres terminaux suivront ce mouvement très rapidement."

La distribution s'intéresse à des moyens de paiement plus rapides

En France, la Natural Security Alliance milite pour promouvoir les usages de la biométrie dans le secteur bancaire, mais aussi dans la distribution. Le groupe Auchan, Leroy Merlin font notamment parti des membres de l'alliance. Celle-ci écrit les spécifications d'une architecture de sécurité biométrique commune. "Nos spécifications sont agnostiques en termes de technologie biométrique employée, mais aujourd'hui nous considérons que la lecture d'empreinte est le moyen qui fonctionne le mieux" explique Romain Toulotte, responsable de la communication du consortium. "Elle présente deux avantages. D'une part, il existe énormément de capteurs d'empreintes à tous les prix, depuis les capteurs installés pour les contrôles en douanes, jusqu'à ceux intégrés dans les smartphones. En outre, la lecture d'empreinte se caractérise par le fait qu'il manifeste un acte volontaire de la part de l'utilisateur, contrairement à la reconnaissance par la voix ou la reconnaissance faciale qui peuvent être réalisées à l'insu de l'utilisateur."

La Natural Security Alliance a décroché le feu vert de la CNIL durant l'été 2016 et les déploiements d'équipements agréés vont pouvoir commencer en France. Auchan, qui fait parti du comité de direction du consortium, a déjà effectué des premiers tests en 2012 à Villeneuve d'Ascq, mais compte déployer un pilote en fin d'année. Des lecteurs permettront aux porteurs de la carte de fidélité myAuchan de s'identifier en caisse avec leur empreinte, de même qu'ils pourront utiliser leur Wallet Fidely pour régler leur achat non plus via un QR Code, mais avec leur empreinte. L'enseigne de restauration rapide "Envie de Saison" va faire de même dans les semaines à venir, tandis que le PMU prépare la prise de paris sécurisée par empreintes digitales pour la fin de cette année.