Nous suivre Industrie Techno

Avis d'expert

La biométrie peut-elle vraiment remplacer les mots de passe ?

La biométrie peut-elle vraiment remplacer les mots de passe ?

Peut-on faire confiance à la biométrie ?

© dr

Il a fallu deux jours à l’équipe de hackers du Chaos Computer Club (CCC) pour venir à bout du système de sécurité biométrique d’Apple, qu’intègre l’i-Phone 5s. Une empreinte de l’utilisateur du téléphone, photographiée sur une surface en verre, a suffi pour créer un faux doigt capable de débloquer la sécurité TouchID. C'était il y a deux ans. Cette année, les hackers sont allés plus loin : ils ont réussi à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Emmanuel Schalit, PDG de Dashlane revient sur la sécurité biométrique et explique les conséquences de ces hacks pour l'avenir de l'authentification.

 

«Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :

  •  Ce qu’il sait (mot de passe, code pin, question secrète…)
  •  Ce qu’il possède (jetons, cartes…)
  •  Ce qu’il est (signature de l’iris, empreinte digitale…)

Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multifacteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multifacteurs sur les dizaines de sites web qu’ils utilisent régulièrement. Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.

Biométrie vs mot de passe

Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web. La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multifacteur mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire.

Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :

  • Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
  • Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
  • Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?

Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mots de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.

Le mot de passe reste le standard

Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultrasophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !

Emmanuel Schalit,

PDG de Dashlane

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

[Avis d’expert] Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

Avis d'expert

[Avis d’expert] Infiltration des centrales énergétiques : autopsie d’une cyberguerre furtive

Comment des hackers parviennent-ils à s’infiltrer dans les systèmes d’opération des centrales[…]

Transformateur pour smart grids, reconnaissance gestuelle, polymère de résistance au feu... les innovations qui (re)donnent le sourire

Transformateur pour smart grids, reconnaissance gestuelle, polymère de résistance au feu... les innovations qui (re)donnent le sourire

La commande gestuelle s’intègre dans les technologies de réalité virtuelle et augmentée Qualcomm

La commande gestuelle s’intègre dans les technologies de réalité virtuelle et augmentée Qualcomm

 Un transformateur plus compact pour les smart grids

 Un transformateur plus compact pour les smart grids

Plus d'articles