Les enjeux d’identification et de sécurité à l’heure de la biométrie

Dans les années à venir et bien au-delà, la biométrie va continuer à redessiner et à réinventer notre quotidien.

Des approches novatrices de l’identification et de l’authentification vont non seulement transformer les innombrables opérations que nous exécutons régulièrement, comme demander une autorisation de transaction bancaire ou passer facilement le contrôle aux frontières aéroportuaires, mais également la nature même des relations que nous entretenons avec les administrations de l’État, les organismes publics ou les entreprises privées.

La biométrie au service de la sécurité

Certains d’entre nous ont déjà pu entrevoir les possibilités de cette technologie, notamment en déverrouillant leur smartphone avec leur empreinte digitale ou à l’aide d’un selfie (reconnaissance faciale). Il ne s’agit toutefois que d’une infime partie du potentiel réel de la biométrie, l’amélioration radicale du confort d’utilisation n’étant pas le seul bénéfice de cette technologie.

En effet, en nous octroyant le pouvoir de prouver, au-delà de tout doute raisonnable, que nous sommes bien la personne que nous prétendons être, la biométrie permet de lutter plus efficacement contre les menaces de notre monde moderne telles que la cybercriminalité, l’immigration illégale et le terrorisme à échelle internationale. Dans les années à venir, il en résultera une confiance accrue vis-à-vis du numérique ainsi qu’une plus grande convergence entre nos univers dématérialisés et le monde réel.

L’accès à nos vies numériques ne sera plus entravé par une liste interminable d’identifiants, de mots de passe et de codes PIN. Ces derniers sont bien trop souvent simplifiés à l’excès ou stockés en dépit de toutes les règles de sécurité, fragilisant considérablement notre cyberprotection. La gestion des mots de passe, source d’erreurs et de complications, ne sera bientôt qu’un souvenir. De nouvelles solutions à base de biométrie arrivent avec la promesse de répondre aux deux principales priorités des consommateurs du 21e siècle : le confort et la sécurité.

Une technologie introduite par le gouvernement

Si les premiers développements au début du 20e siècle, avaient pour but de soutenir les forces de police dans leur lutte anticriminelle (par le prélèvement d’empreintes digitales), l’usage de la biométrie s’est depuis diversifié et son déploiement intensifié. En effet, les gouvernements et les pouvoirs publics, premiers convaincus par cette technologie, l’ont adoptée notamment pour le passeport électronique. Avec le stockage des données personnelles et biométriques dans un microprocesseur intégré et sécurisé, ces documents officiels facilitent, pour les autorités, la lutte contre l’usurpation d’identité et la contrefaçon. Cette même approche est de plus en plus appliquée aux programmes d’identité nationale, de santé, de protection sociale, d’état civil et de vote électronique.

Par la suite, le succès de ces initiatives a stimulé, à son tour, l’intérêt du monde commercial. Le lancement de l’iPhone 5s, en 2013 par exemple, s’est révélé décisif, en familiarisant des millions de personnes avec la reconnaissance d’empreintes digitales. L’adoption de cette technique a été remarquablement rapide, avec des consommateurs très enthousiastes à l’idée de s’authentifier en utilisant une donnée personnelle unique. Par la suite, le développement de ces nouvelles technologies et techniques s’est très vite accéléré. Elles englobent aujourd’hui la biométrie physiologique, qui inclue les empreintes digitales, la reconnaissance faciale et de l’iris, la forme de la main ou du réseau veineux, ainsi que la biométrie comportementale, telles que la démarche, la dynamique de frappe au clavier ou la locution.

Une authentification à double facteur qui nous définit

Parallèlement à l’attrait irrésistible qu’exerce cette technologie sur l’utilisateur final, il existe un autre élément capital d’adoption de la biométrie. La plupart des transactions sécurisées que nous effectuons – aussi bien dans le monde réel que dans le monde dématérialisé – sont fondées sur le principe d’une « authentification à double facteur ». Jusqu’à ce jour, cela signifiait généralement la combinaison d’un objet que nous possédons, comme une carte de paiement ou un téléphone mobile, et d’une information que nous connaissons, comme un code PIN ou un mot de passe. La biométrie remplace (ou complète, selon le niveau de sécurité requis à l’authentification) ce dernier élément par une caractéristique qui nous définit, c’est-à-dire une donnée qui est toujours disponible, et qui ne peut être ni copiée, oubliée, perdue ou volée.

Afin d’étendre ces avantages, la biométrie peut désormais être associée à des systèmes basés sur l’évaluation des risques. Une technique récente permet d’effectuer des mesures biométriques comportementales et d’apprentissage automatique, afin de dessiner des profils riches et multidimensionnels de chaque utilisateur, et de s’assurer que le processus d’authentification est toujours en adéquation avec le véritable risque encouru au cours d’une transaction. Par ailleurs, il est possible d’adapter l’authentification non seulement au niveau d’assurance requis, mais également aux préférences personnelles de chaque utilisateur final. Pour les fournisseurs de services, la biométrie permet de garder une longueur d’avance par rapport aux cybercriminels, tout en satisfaisant davantage les besoins des consommateurs grâce à une plus grande personnalisation des fonctionnalités. La biométrie offre également une plus grande conformité aux nouvelles réglementations, notamment les procédures de connaissance du client (KYC - Know Your Customer) et la directive PSD2 associée aux transactions bancaires en Europe.

La biométrie : une technologie complexe

Malgré le potentiel de la technologie, il ne faut pas sous-estimer la complexité à capturer, stocker et vérifier les données biométriques ainsi que le besoin absolu en précision et fiabilité. En effet, des banques innovantes autorisent l’utilisation de selfies pour faciliter et accélérer l’ouverture de comptes ou l’accès aux services en ligne. Les aéroports mettent en place des portiques automatiques pour permettre aux voyageurs de passer plus rapidement les frontières grâce aux passeports électroniques et à la reconnaissance faciale. Cette année, la première carte de paiement EMV biométrique et sans contact, munie d’un lecteur d’empreinte digitale intégré pour une authentification sans code PIN a vu le jour à Chypre. Ces cas d’usage à haute valeur ajoutée nécessitent une grande fiabilité technologique.

Les solutions actuelles de biométrie renferment toute une diversité et une variété de techniques. Et la tendance va s’accélérer : la biométrie comportementale, qui évalue notamment la manière dont l’utilisateur interagit avec un écran tactile ou un clavier, sert également à analyser les risques liés aux transactions de paiement. De même, les solutions de reconnaissance faciale en temps réel (utilisées entre autres pour la sécurité publique) ont considérablement progressé ces dernières années, pour arriver à des niveaux de précision que même l’œil humain le mieux entraîné ne peut espérer atteindre.

Chaque solution biométrique possède des atouts et des caractéristiques propres qui répondent à différentes applications ou besoins utilisateurs. L’intérêt de la biométrie est avant tout dans la flexibilité et l’adaptation qu’elle apporte aux différents cas d’usage. Toutefois même si la biométrie permet de réaliser de grandes avancées technologiques en matière d’expérience utilisateur (telle que l’authentification fluide et silencieuse), les enjeux dépassent largement l’aspect technique. Alors que nous abordons à grands pas une nouvelle ère, les lois sur la protection et la confidentialité des données s’efforcent de suivre le rythme des innovations numériques. Les entreprises du monde entier doivent donc prendre des décisions importantes afin de savoir comment, quand, où et avec qui nous sommes prêts à partager nos profils biométriques.

C’est aussi le rôle des experts en sécurité de prendre toutes les mesures nécessaires afin de sécuriser l’accès à ces données personnelles et de s’assurer que toute donnée soit chiffrée pour éviter son utilisation frauduleuse en cas d’interception. Après le défi technologique que la biométrie représente (notamment par l’association à d’autres révolutions tel que le machine learning) c’est certainement le débat sur la confidentialité qui déterminera la vitesse à laquelle nous permettrons à cette nouvelle ère biométrique d’éclore.