Reconnaissance biométrique : pas de solutions miracles

Tous les jours, nous utilisons des mots de passe pour se connecter à nos différents comptes, ouvrir notre session Windows ou s’offrir quelques skins sur Fortnite ! Mais ces Sésames ne garantissent pas un niveau élevé de sécurité. Surtout quand nous faisons des erreurs… Les solutions biométriques comblent (en partie) ces failles.

Chaque année, le palmarès des mots de passe les plus utilisés laisse pantois les experts en sécurité informatique. 123456 et password sont toujours dans le Top 5. Ces deux mots de passe sont évidemment « faibles ». Deuxième erreur trop souvent commise : un mot de passe est utilisé pour différents comptes. Par paresse !

Dans les deux cas, ces comportements facilitent l’usurpation d’identité et le vol de données sensibles. La situation commence à évoluer favorablement avec le recours à des gestionnaires de mots de passe. Les plus connus sont Keepass, Dashlane et LastPass… Mais encore une fois, ils reposent sur un mot de passe « maître » qui protège tous les autres. Encore faut-il que ce mot de passe soit « fort », du style « 4kIfR:!64Dez ».

Il existe différentes techniques mnémotechniques pour s’en souvenir. Mais certains restent réfractaires. D’où l’idée d’utiliser les différentes solutions de reconnaissance biométriques. Depuis quelques années, des marques de smartphone et des industriels proposent des dispositifs censés nous faciliter la vie tout en assurant un bon niveau de sécurité. Il y a même une chaîne de supermarché en Allemagne où il est possible de payer en posant son pouce sur un lecteur ! Au Canada, une entreprise vend des coffres-forts et des serrures qui s’ouvrent par reconnaissance digitale.

Nous avons sélectionné trois solutions, parmi les plus répandues pour des usages grand public.

L’empreinte digitale

C’est la solution la plus employée dans le monde depuis les années 60. Mais pour le président du Chaos Computer Club (une association de hackers en Allemagne), Frank Rieger, « c’est complètement stupide d’utiliser comme élément de sécurité quelque chose qu’on laisse si facilement traîner derrière soi ». Pour preuve, les capteurs d’empreintes du Galaxy 5 et de l’iPhone 5S avaient été piratés quelques jours après leur sortie.

Certes, les techniques utilisées ne sont pas à la portée de tout le monde. Mais elles doivent néanmoins inquiéter les professionnels qui stockent des informations confidentielles sur leurs terminaux mobiles ou fixes.

La reconnaissance faciale

Depuis des travaux menés à la fin des années 80, cette solution s’est améliorée.
Lorsqu’un visage est détecté, l’image est recadrée par rapport aux yeux et redimensionnée (en 3D pour le Face ID d’Apple) pour pouvoir être comparée à celle de sa base de données (en l’occurrence, votre visage si vous avez un iPhone X). Mais elle n’est pas encore parfaite.

Une équipe de chercheurs du centre vietnamien Bach Khoa Internetwork Security (Bkis) avait démontré en 2009 que les systèmes installés sur les PC portables Lenovo, Asus et Toshiba n’étaient pas très « intelligents ». Pour duper les logiciels, ils avaient imprimé le visage de l’utilisateur sur une feuille de papier et l’avaient présenté à la webcam. Apple affirme justement que sa solution 3D ne peut pas être trompée par une simple photo. Pourtant quelques jours après sa sortie, un autre groupe de hackers vietnamiens (de Bkav Corporation) avaient réussi à berner la reconnaissance 3D de l’iPhone X avec un masque très basique…


La reconnaissance faciale de l’iPhone X leurrée par un masque

L’authentification vocale

Depuis les travaux menés au début des années 60 par un ingénieur du Bell Laboratories, on sait que la voix est unique. Mais dans un communiqué de presse, l’Association Francophone de la Communication Parlée (AFCP) a rappelé qu’elle présente des différences majeures avec les empreintes digitales et génétiques : elle évolue au fil des années et elle peut être modifiable volontairement et être imitée assez facilement.

Ces trois cas montrent que les systèmes de reconnaissance biométrique ne sont pas la panacée. Néanmoins, il faut reconnaître que les techniques pour les contourner ne sont pas à la portée du premier pirate venu. Elles peuvent donc être utilisées pour sécuriser son smartphone ou son poste de travail. À condition de nettoyer régulièrement le capteur de son mobile car il peut parfois ne pas reconnaître l’empreinte de votre pouce s’il y a une saleté (ou une rayure). Cela ne vous dispense par changer le code PIN par défaut et d’activer le verrouillage automatique de l’écran au bout de quelques secondes ou minutes !