La biométrie est très puissante, mais si elle n’est pas manipulée correctement, elle peut s’avérer très dangereuse. De grands pouvoirs impliquent de grandes responsabilités.
Comment prouver que vous êtes qui vous prétendez être ? Voilà une question fondamentale présente dans toutes nos activités en ligne. Les réponses sont variées : Les mots de passe. Les codes numériques. Et de plus en plus souvent, la biométrie.
La biométrie se définit généralement comme un aspect du corps d’une personne qui lui est propre et très difficile, voire impossible, à reproduire. Si nous connaissons surtout les empreintes digitales et la reconnaissance faciale, Drummond Reed, le directeur des services de confiance d’Avast, précise que la catégorie peut également inclure le scan de la paume de la main, le scan d’ADN, le schéma de frappe, la démarche, voire une photographie.
« En règle générale, les données biométriques sont extrêmement difficiles, voire impossibles à modifier », explique M. Reed. « Vous pouvez changer de nom ou même de numéro de sécurité sociale, mais vous ne pouvez pas changer votre ADN, par exemple. »
Toutefois, afin de pouvoir être utilisées à des fins d’identification en ligne, vos données biométriques doivent être numérisées. Lorsque vous prenez une empreinte biométrique (une empreinte digitale, par exemple), celle-ci est transformée en « modèle biométrique ». Ce modèle est ensuite comparé à votre biométrie physique réelle afin de vérifier que vous êtes bien la personne que vous prétendez être ; puis vous êtes autorisé à accéder au service auquel vous souhaitez accéder.
À titre d’exemple, M. Reed cite un modèle biométrique très analogique : un permis de conduire. Votre permis de conduire contient des informations biométriques vous concernant, notamment votre photo, votre taille, votre poids et la couleur de vos yeux, ainsi que d’autres informations comme votre date de naissance, votre adresse et le type de véhicule que vous êtes autorisé à conduire.
Lorsque quelqu’un le consulte, il peut comparer ce qui figure sur le permis à la personne qu’il a en face de lui, c’est-à-dire vous. Si vos données biométriques (photo, taille, poids, couleur des yeux) correspondent à votre modèle biométrique (votre permis), on semble logique que les autres informations vous concernant (adresse, date de naissance, etc.) sont également exactes.
Dans le cas de la biométrie numérique, le modèle biométrique n’est pas quelque chose que le « titulaire » de la biométrie peut voir ou tenir entre ses mains. Il est stocké soit directement sur un appareil, comme c’est le cas avec les produits Apple, soit dans une base de données sur le cloud ou un autre serveur.
Quels sont les inconvénients de l’utilisation de la biométrie en ligne ?
De nombreux utilisateurs s’inquiètent de la collecte et de l’utilisation de leurs données biométriques, ce qui se comprend. Après tout, si vous pouvez changer de mot de passe, vous ne pouvez pas changer d’empreinte digitale. (Du moins, pas facilement ni sans beaucoup d’argent). Ainsi, si vos données biométriques sont compromises, il est fort possible qu’elles soient utilisées contre vous ; et vous n’aurez que très peu de recours.
Autres problèmes liés à la biométrie : l’abus qu’en font les gouvernements et leurs représentants. Par exemple, dans certains états des États-Unis, la police a le droit de vous obliger à débloquer votre téléphone à l’aide de votre empreinte digitale ou par reconnaissance faciale, mais elle ne peut pas vous forcer à saisir votre code d’accès.
En Chine, le gouvernement recueille un volume considérable de données biométriques allant du scan du visage à la reconnaissance vocale, en passant par la « reconnaissance de la démarche » (qui identifie les personnes par leur style et leur rythme de marche uniques). Lors des manifestations pour la démocratie de 2014 à Hong Kong, les manifestants portaient des parapluies, des masques et des casques pour protéger leur identité de la surveillance du gouvernement. Et lorsque l’armée américaine a quitté l’Afghanistan, elle a laissé derrière elle les données biométriques des Afghans qu’elle avait recueillies afin d’identifier les terroristes. Ces informations sont désormais entre les mains des talibans et pourraient être utilisées pour alimenter les représailles contre ceux qui ont participé aux opérations américaines.
Quels sont les avantages de l’utilisation de la biométrie en ligne ?
Les inconvénients de l’utilisation de la biométrie en ligne sont évidents, mais elle offre aussi des avantages majeurs. Les données biométriques ne sont pas seulement pratiques, elles sont aussi très difficiles à détourner. Même si des bases de données biométriques ont été piratées, il est important de souligner que la technologie nécessaire pour exploiter ces informations biométriques volées n’est pas disponible, ou du moins pas encore.
Mais tout comme les criminels sont parvenus à contourner tous les autres systèmes d’authentification créés jusqu’à présent, ils trouveront certainement aussi le moyen de déjouer la biométrie. C’est pourquoi il est important que le monde de la cybersécurité agisse de manière offensive et garde une longueur d’avance sur les cybercriminels, et ce, grâce à nos solutions de sécurité.
M. Reed affirme que le déploiement de la biométrie par Apple est un bon exemple de la manière de procéder tout en préservant la vie privée. La société conserve votre modèle biométrique sur l’appareil-même, et non dans une base de données distante. Autrement dit, il ne risque pas d’être volé si, par exemple, une base de données est piratée.
Parce qu’elles ne nous obligent pas à mémoriser quoi que ce soit, les données biométriques sont également bien meilleures que la méthode de vérification qui prévaut actuellement : les mots de passe. Mais à l’instar des mots de passe, les données biométriques peuvent être hachées (ou chiffrées, pour que les voleurs ne puissent pas les lire), ce qui signifie qu’elles peuvent être enregistrées dans une base de données.
« Une base de données biométriques n’est pas une mauvaise chose en soi, mais très peu de personnes dans le monde savent comment s’y prendre en toute sécurité », explique M. Reed. « C’est pour cela qu’on ne voit pas toujours les bases de données biométriques comme une très bonne idée. Dans le domaine de la protection de la vie privée, il s’agit d’un outil à utiliser avec beaucoup, beaucoup de précautions. Dans tous les projets auxquels j’ai participé et qui impliquaient des données biométriques, l’objectif était de ne jamais les intégrer à une base de données distante. »
M. Reed souligne aussi que la force de la biométrie pour la vérification en ligne (le fait qu’elle soit réellement unique à l’individu) lui confère un très haut niveau d’assurance. Et, même si vos données biométriques vous sont propres, elles peuvent être anonymes.
« Il s’agit simplement de faire correspondre l’empreinte digitale, le scan du visage, etc., au modèle », explique M. Reed. « Cette méthode peut être compatible avec la protection de la vie privée. Presque rien d’autre n’est aussi adapté : c’est assez puissant. »
La biométrie est-elle bénéfique ou nocive ?
Ce serait formidable si nous pouvions facilement classer toute chose comme « bénéfique » ou « nocive », mais presque tout se situe en fait dans la zone grise entre les deux. Cela inclut l’utilisation de la biométrie pour les vérifications en ligne.
« Je suis très favorable à la biométrie, mais seulement si elle est utilisée correctement », déclare M. Reed. « Je fais le parallèle avec la manipulation de substances radioactives. Celles-ci sont très puissantes, mais si elles ne sont pas manipulées correctement, elles s’avèrent surtout très dangereuses. De grands pouvoirs impliquent de grandes responsabilités. »