Maîtriser la biométrie
Le problème des mots de passe
Outre son caractère peu pratique, cette situation constitue un problème de sécurité de plus en plus important, car la plupart des mots de passe se trouvent sur des serveurs centralisés qui peuvent être facilement piratés par les cybercriminels les moins expérimentés. Une fois que les hackers ont obtenu l’accès aux informations, celles-ci sont utilisées à des fins d’attaques de type « password-spraying », de « credential stuffing » et d’autres attaques qui les mènent directement aux comptes des utilisateurs. À l’échelle mondiale, cela représente actuellement des milliards de dollars de fraude chaque année.
La promesse de la biométrie
À mesure que la disparition progressive et nécessaire des mots de passe se poursuivra au cours des prochaines années, la biométrie apparaîtra comme une solution de remplacement idéale favorisant l’adoption de l’authentification à double facteur. Cependant, il sera essentiel de ne pas répéter les mêmes erreurs que celles qui ont été commises dans la gestion des mots de passe.
Bien que les données biométriques soient intrinsèquement plus sûres que les mots de passe, les avantages qui y sont associés sont négligeables si elles sont également stockées sur des serveurs centralisés. En réalité, cela pourrait même constituer une plus grande menace, car les informations biométriques ne peuvent naturellement pas être modifiées de la même manière qu’un mot de passe.
Les données peuvent et doivent être stockées localement sur l’appareil de l’utilisateur. La bonne nouvelle tient au fait que plusieurs fournisseurs de plateformes et d’appareils de renom, tels que Microsoft, Apple et Google, adoptent déjà cette approche, favorisant une transparence accrue quant à leur approche du stockage des données biométriques lorsqu’elles sont utilisées à des fins d’authentification.
Usurpation d’identité
Outre la question du stockage, un autre aspect de la biométrie qui suscite des inquiétudes provient du fait qu’elle peut être usurpée ; la méthode la plus couramment évoquée étant la possibilité, pour les pirates, de produire des moulages d’empreintes digitales à l’aide d’imprimantes 3D. Bien qu’une telle usurpation soit évidemment possible, sa mise en œuvre est complexe et surtout difficile à généraliser.
En d’autres termes, seul un nombre restreint de personnes qui gèrent et ont accès à des comptes ou à des dispositifs en ligne de grande valeur courent le risque que des cybercriminels les ciblent de cette manière. Cette technique ne pourra cependant pas être utilisée pour compromettre des millions de comptes simultanément, comme ce fut le cas de la violation de Biostar 2, par exemple.
En bref, la question de l’usurpation d’identité est loin d’être suffisamment importante pour justifier une marche arrière dans le déploiement des technologies d’authentification biométrique – tant que les développeurs continueront à améliorer les dispositifs biométriques pour lutter contre les avancées des pirates informatiques.
Deuxièmement, la possession physique de l’appareil personnel de l’utilisateur autorisé doit être vérifiée à chaque fois que la biométrie est présentée au moyen d’un cryptage sur le dispositif. En prenant ces mesures, nous pourrons profiter des avantages de l’authentification biométrique sans faire de compromis et sans craindre de perdre les seuls fragments de notre identité qui nous restent.