dimanche 22 octobre 2017

Accueil du site > Technologie > Biométrie, au doigt et à l’œil

Biométrie, au doigt et à l’œil

Marc Olanie, Réseaux & Télécoms

jeudi 13 octobre 2005, sélectionné par Spyworld

logo

Lorsque le doigt remplace Moneo : Robert Lemos, du Security Focus, se penche sur les implications du payement digital. Voilà un jeu de mot qui va amuser les linguistes durant un bref instant. Il s’agit en effet d’un système numérique utilisant les empreintes digitales en lieu et place d’une carte de crédit. Et d’opposer les solutions de Pay By Touch ou BioPay et autres partisans du Groupement International pour la Biométrie aux réflexions alarmistes du World Privacy Forum.

Il faut avouer que l’on peut frémir à l’idée de voir un caissier s’emparer d’une paire de ciseaux et demander à son client « Monsieur, votre banque nous informe que votre crédit est épuisé et nous demande de détruire votre moyen de payement. » Plus sérieusement, Lemos fait remarquer qu’un vol d’information biométrique est considérablement plus grave qu’un vol de carte de crédit. Après tout, on peut aisément faire opposition à un payement frauduleux et ré-émettre un nouveau morceau de plastique, avec ou sans puce, mais il est un peu plus compliqué de répudier son propre ADN, regraver une empreinte digitale ou se transformer le contour de l’iris. Et passons sur la sinistre probabilité qu’un usage généralisé des scanners d’empreinte risque fort d’accroitre les risques d’amputations criminelles.

La probabilité de vol d’identité biométrique, insiste Lemos, est d’autant plus simple qu’elle ne repose que sur des fichiers informatiques descriptifs et non pas sur des références physiques -nous n’aurons donc pas à donner un peu (plus) de notre sang et de notre sueur aux banques-. Or, les vols massifs d’identité qui ont défrayé la chronique en ce début d’année, le peu de moyens de protection dont disposent les centres de rétention de données font craindre le pire. Lexis-Nexis, CardSystems, ChoicePoint, les deux blitz sur les ordinateurs de l’Army et de la Navy américaine, l’affaire Wachovia, le rififi de Bank of America, la bévue de l’UBS, sans mentionner les dizaines d’affaires très probablement étouffées par d’autres banques ne sont pas pour nous rassurer. Et malgré tout çà, il existe des statistiques, nous explique l’article du Security Focus, qui indiquent que le payement biométrique est demandé par les consommateurs.

Vérité au-delà de l’Atlantique, vérité également en deçà. Car malgré les réserves de centaines d’experts, l’idée de la biométrie fait son chemin dans l’esprit des politiques. Nicolas Stampf pointe sur son blog un article de nos confrères de ZDNet signalant l’ouverture d’un portail « biométrie » ouvert par la Commission Européenne. Et Stampf d’énoncer de façon lapidaire quatre vérités élémentaires qui semblent échapper à beaucoup : La biométrie

n’est pas révocable à souhait : n’est pas inviolable, sauf à y mettre le prix au niveau du lecteur le surcoût au niveau du poste client n’est pas négligeable est intrusif ou considéré comme tel

On ne peut qu’abonder dans ce sens, et même radicaliser certains de ces propos. L’aspect irrévocable de la source même d’information, empreinte digitale, du lobe de l’oreille, reconnaissance de l’iris de l’œil, jusqu’à l’ADN, ne peuvent être changés pour raisons de « vol d’identité », c’est là un truisme évident. En revanche, rien n’interdit plus le « vol de preuve d’identité ». Car s’il est aisé, pour certains pirates, de subtiliser un lot de numéros de cartes de crédit, il est encore plus facile d’empocher un échantillon de salive, une trace de doigt ou le cliché discret d’un visage. Et il est presque simple d’imiter la signature physique de ces preuves d’identité, à grand renfort d’astuces chimiques ou de bricolages divers. Au plus grand bonheur des scénaristes de séries B américaines d’ailleurs. Bienvenue à Gattaca.

Le second point sur l’inviolabilité illusoire du procédé est également indiscutable, tout est une histoire de temps. De mémoire d’homme, aucun système de protection ne s’est avéré inviolable à la longue, de l’épieu du Neandertal à SHA1, en passant par les fortifications Vauban et le Grand Chiffre de Louis XIV. Or, comme on ne transmet pas encore de doigt, d’œil ou d’ADN sur une paire torsadée, l’on fait appel à une représentation mathématique de ces éléments humains. Une signature numérique issue d’une signature physique. Et l’on peut toujours imaginer soit la transmission d’une telle représentation « forgées », soit l’utilisation d’une représentation volée, soit la corruption de la référence servant à authentifier la véracité de la représentation (le Certificate Authority biométrique en quelque sorte). Là encore, les scénaristes de séries B ont du pain sur la planche. Il est simplement dommage que les politiques persistent à croire que la biométrie puisse constituer un mieux-disant sécuritaire. Toute nouvelle technologie apporte son propre lot de fraudes et d’idées reçues. Et la première idée reçue de la biométrie, c’est qu’identification est synonyme d’authentification. C’est hélas totalement erroné.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :