Après 6 mois d'expérimentation de la solution de paiement biométrique de Natural Security, le Crédit Mutuel Arkéa fait état du succès rencontré (avec 96% d'utilisateurs séduits), qu'il faut cependant relativiser puisque seuls 112 volontaires ont tenté l'aventure. Cette actualité n'est cependant qu'un prétexte pour faire un point sur les perspectives de la biométrie et les risques qu'elle pourrait induire.Déjà aujourd'hui, le débat est animé autour de l'enjeu pour les libertés individuelles. Celui-ci est en particulier au cœur de l'exigence de la CNIL française (Commission Nationale de l'Informatique et des Libertés) de ne jamais centraliser les informations biométriques des personnes (elles doivent toujours rester en leur possession). Mais est-ce vraiment le seul problème qui se pose ? Et si l'apparent surcroît de sécurité apporté par ces dispositifs n'était finalement qu'un leurre ?
Évidemment, l'adoption d'une caractéristique biologique pour la sécurité des systèmes informatiques a ses avantages, notamment par le fait qu'elle ne requiert aucun effort de la part de l'utilisateur (à l'inverse d'un mot de passe, qui doit être mémorisé). Autre bénéfice avancé, l'essence même de la biométrie rend impossible l'usurpation de la donnée d'authentification par un tiers, puisqu'elle fait partie intégrante de l'individu identifié. Vraiment ?
Il n'est pas besoin de tomber dans l'excès paranoïaque (et d'imaginer, par exemple, des gangsters coupant les doigts de leurs victimes afin d'utiliser leur empreinte digitale) pour émettre des doutes. En effet, les dispositifs biométriques sont des composants technologiques comme les autres, donc susceptibles de comporter des failles de sécurité. Or, l'histoire démontre qu'elles seront fatalement découvertes et exploitées, un jour ou l'autre.
Que se passera-t-il alors si (ou plutôt "quand", même si on peut reconnaître que l'échéance est certainement lointaine) les hackers parviennent à capturer les informations biométriques (numérisées) et à les exploiter ? L'utilisateur ne pouvant les changer (comment modifier ses propres empreintes digitales ?), il n'aura d'autre solution que de clore son "compte" (quel qu'il soit), sans plus aucune possibilité d'y accéder, jusqu'à l'hypothétique introduction d'une nouvelle technologie d'authentification.
Dans le cas de l'implémentation de Natural Security (et du Crédit Mutuel Arkéa), ce risque est modéré par l'utilisation d'un deuxième facteur d'authentification, prenant la forme de la carte que doit posséder le client pour s'authentifier. Néanmoins, une solution de paiement possède naturellement un fort pouvoir d'attraction pour les escrocs en tout genre et il serait exagérément optimiste de penser que ceux-ci se laisseront décourager par un tel obstacle.
En conclusion, la biométrie peut certes contribuer à améliorer la sécurité des applications sensibles mais elle ne constitue pas une panacée, du fait de la permanence des caractéristiques utilisées et, par conséquent, de l'irreversibilité d'une compromission des données correspondantes. De ce fait, son usage devrait probablement être limité, a minima en en faisant un élément secondaire dans une approche d'authentification multi-facteurs, afin d'éviter d'en faire le principal enjeu d'une course à l'armement qui pourrait avoir des conséquences graves.
Jeu de briques
Snake
Pacman
Bubble