Assurer la sécurité des données biométriques

Les outils de sécurité utilisent de plus en plus les données biométriques individuelles des utilisateurs pour prouver que chaque personne et son appareil sont légitimes.

Alors que tous les types de fraude en ligne continuent de proliférer à un rythme rapide dans le monde entier, le consensus est que notre avenir en matière de cybersécurité et d'identité numérique est fondé sur le Zero Trust et l'authentification sans mot de passe. Les outils de sécurité utilisent de plus en plus les données biométriques individuelles des utilisateurs pour prouver que chaque personne et son appareil sont légitimes.

Qu'est-ce que l'information biométrique ?

Les caractéristiques biométriques utilisées pour confirmer l'identité doivent être uniques, permanentes, et mesurables ou collectables. Ces caractéristiques font des données biométriques l'un des moyens les plus efficaces d'identifier les utilisateurs. La biométrie est également très fiable pour les utilisateurs, car les caractéristiques uniques ne sont pas quelque chose que l'on peut perdre ou oublier, comme c'est le cas avec une combinaison identifiant et mot de passe. À l'heure actuelle, les données biométriques couramment capturées sont entre autres les empreintes digitales, l’iris et la rétine, l’empreinte vocale, les structures faciales, profils ADN… D'autres éléments biométriques ne sont pas très répandus, mais pourraient avoir davantage d'applications à l'avenir : tout d’abord, l’odeur corporelle, empreinte chimique unique que chaque personne porte sur elle. Ensuite, l'empreinte ou la structure de l'oreille, qui ne change pas avec l'âge. Enfin, la reconnaissance des gestes, qui fait déjà partie de Windows 10 ou l’empreinte des lèvres.

Comment les informations biométriques sont-elles stockées ?

Comme les utilisateurs ne peuvent pas modifier leurs données biométriques obtenues par des parties non-autorisées, il est extrêmement important de les traiter avec le plus grand soin. Pour utiliser les informations biométriques à des fins d'authentification de l'identité, la première étape consiste à capturer ces informations. Les informations capturées sont converties en un rendu mathématique appelé modèle biométrique, qui est comparé à la version réelle présentée par l'utilisateur si nécessaire. Le fait de capturer et de convertir ou de copier les caractéristiques spécifiques d'un échantillon biométrique donné sous une forme sécurisée fait sortir l'image ou l'échantillon de l'équation, le remplaçant par un équivalent mathématique binaire ou un algorithme. Il est donc extrêmement difficile, certains disent presque impossible de reproduire un élément de données biométriques. L'image d'une empreinte digitale, de l'iris ou de toute autre caractéristique est éliminée et la version en direct présentée par l'utilisateur est comparée en temps réel aux caractéristiques capturées sous forme mathématique.

L'une des principales raisons pour lesquelles les données biométriques sont sûres et sécurisées est que, dans de nombreux cas, elles ne sont stockées que sur l'appareil de l'utilisateur. Souvent, elles ne sont pas saisies ni envoyées à des dispositifs, bases de données ou serveurs externes, ce qui n’élimine tout point de collecte unique où un pirate pourrait les voler. Même si quelqu'un accède aux données biométriques d'un appareil, il est impossible d'inverser la conversion qui les a créées pour produire une image qui sera reconnue et acceptée par un capteur biométrique.

Tout capteur d'un appareil possède généralement un fichier où est stocké le modèle biométrique. Ce fichier est protégé par une clé générée aléatoirement et cryptée dans le système. Certains capteurs ne dépendent pas du système d'exploitation pour cela, car ils stockent les données biométriques sur le module du capteur et peuvent effectuer la correspondance biométrique des caractéristiques d'un utilisateur avec le modèle biométrique au sein même du capteur. Les données biométriques sont généralement stockées de manière sécurisée sur un dispositif, un token mobile, un tableau de contrôle, un serveur de base de données biométriques, un serveur et un dispositif ou alors réparties sur plusieurs matériels.

Quels sont les risques liés au stockage des données biométriques ?

Toutes ces méthodes de stockage utilisent le cryptage pour protéger les données biométriques, mais tout ce qui est crypté peut être décrypté. En fin de compte, la sécurité et la fiabilité des données cryptées, quel que soit leur type, dépendent des personnes qui y ont accès. Le stockage des données biométriques sur un dispositif est plus sûr que le stockage dans une base de données. Le stockage dans une base de données peut être pratique et rentable. Cependant, avec un grand nombre de modèles biométriques pour les utilisateurs, les bases de données peuvent être une cible de piratage attrayante, et si elles sont piratées avec succès, un grand volume de données devient vulnérable. Le cryptage est utile, mais la clé de la réduction des risques réside dans le contrôle des personnes qui ont accès aux données et de la manière dont elles les utilisent.

Une autre préoccupation est le risque pour la vie privée, car les données biométriques sont susceptibles d'amener la publicité ciblée dans le monde physique, où les caméras en magasin collaborent avec les sociétés de médias sociaux pour vous identifier et vous afficher des publicités en magasin spécifiquement pour vous. Heureusement, certains organismes gouvernementaux sont conscients des tendances actuelles, et des lois sont créées pour contrôler la façon dont les données biométriques sont utilisées. Le RGPD répond à ces préoccupations en Europe.

Protégez vos données biométriques

L'utilisation de la biométrie devenant de plus en plus courante, vos caractéristiques personnelles sont susceptibles d'être stockées dans un nombre croissant d'endroits. Il est important que les utilisateurs restent vigilants en matière de sécurité biométrique. Ne fournissez jamais d'informations biométriques sans avoir soigneusement réfléchi à la nécessité de le faire, sans avoir étudié la sécurité en place et sans avoir déterminé les antécédents de toute entité vous demandant de les fournir. Si vous n'êtes pas à l'aise pour fournir vos informations à un appareil, un service, un produit ou une organisation, ne donnez aucune de vos informations, biométriques ou autres. Quelle que soit la situation, n'oubliez pas que vos informations d'identification, y compris les données biométriques, restent les vôtres. Selon l'endroit où vous vivez, des lois et des règlements sont en place pour vous protéger, vous et vos données, et pour exiger des normes de sécurité et des obligations de déclaration de la part de toute entité qui demande et collecte des données sur les utilisateurs.

Les autres mesures à prendre consistent à suivre les recommandations de base en matière de sécurité et de confidentialité, qui étaient déjà répandues avant même que la plupart des utilisateurs ne sachent que la biométrie existe. Utilisez des mots de passe forts et changez-les régulièrement. Veillez à maintenir le logiciel de votre appareil à jour afin de bénéficier des dernières mises à jour et des derniers correctifs, qui corrigent souvent les failles de sécurité et portez une attention particulière à votre système d'exploitation et à votre logiciel de sécurité Internet.