Reconnaissance faciale, empreinte digitale, reconnaissance vocale… Quels risques représentent vraiment les données biométriques ? Comment les prévenir ? Et la biométrie pourrait-elle être utilisée à des fins de sécurité dans un cadre protégé ? À l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco, nous avons tenté de faire le point sur le sujet.
Usbek & Rica le 29/10/2019
Les données biométriques, enjeu du futur ? Vous l’ignorez peut-être mais elles sont en fait déjà une réalité pour des milliers de collégiens et de lycéens. Comme l’expliquait Libération en septembre, certains établissements scolaires du secondaire remplacent, depuis une dizaine d’années, les traditionnels badges par des dispositifs biométriques pour permettre l’accès à la cantine : « Pour recevoir un plateau, ou actionner le tourniquet qui lui permet d’accéder au self, l’élève doit taper un code personnel et placer sa main dans le lecteur qui reconnaît les contours de sa main préalablement enregistrés. »
A l’origine de l’article, un tweet devenu viral dans lequel une jeune internaute s’étonnait, comme beaucoup, du procédé. Le système biométrique utilisé ? Un produit de l’entreprise Alise, qui équiperait environ 800 établissements scolaires en France à l’heure actuelle. Un dispositif répandu, donc, mais qui charrie aussi son lot d’inquiétudes légitimes. Faut-il se méfier du développement exponentiel des dispositifs biométriques, en France et ailleurs ? Comment les encadrer ? Et si la biométrie pouvait, au contraire, devenir un instrument au service d’une meilleure sécurité ? Des questions qu’on a posé à quelques experts à l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco.
Facilité d’usage
Premier rappel d’ordre sémantique : pour le Larousse, la biométrie désigne « la technique qui permet d’associer à une identité une personne voulant procéder à une action, grâce à la reconnaissance automatique d’une ou de plusieurs caractéristiques physiques et comportementales de cette personne préalablement enregistrées ». En plus des très médiatiques catégories de « reconnaissance faciale » et d’« empreinte digitale », la biométrie recouvre ainsi d’autres zones ou caractéristiques du corps humain que l’on a souvent tendance à oublier : contours de la main, battement du cœur, façon de marcher, reconnaissance vocale, iris d’un œil…
Crédits : Delta News Hub (CC BY 2.0).
Devenus faciles à utiliser grâce aux progrès de la technologie, les dispositifs biométriques sont d’ailleurs déjà ancrés dans notre quotidien, notamment à travers les capteurs d’empreinte ou de reconnaissance faciale installés sur la plupart des smartphones récents. Les assistants vocaux de Google ou encore Amazon peuvent également être configurés de façon à ce qu’ils ne reconnaissent que la voix de leurs propriétaires.
Une facilité d’usage permise par les applications du quotidien, qui masque toutefois une diversité de finalités possibles. « La biométrie peut servir à trois catégories, explique Matthieu Bourgeois, avocat spécialiste du numérique et président du Cercle de la Donnée (think-tank de réflexion sur la donnée et ses usages). Premièrement, la classification : masculin/féminin, enfant/adulte… Deuxièmement, la description : c’est ce qui existe depuis la nuit des temps lorsqu’on va chez le médecin et que l’on mesure la croissance, la taille ou le poids. Ces deux premières catégories ne posent pas de problème particulier sur un plan juridique. Une troisième catégorie, en revanche, renvoie à l’identification. C’est celle-là qui pose un problème, dans la mesure où elle permet de reconnaître des personnes de manière unique. Si un usurpateur d’identité compromet cette donnée biométrique, il pourra potentiellement l’utiliser à vie, puisque personne ne peut changer son visage, son doigt ou son réseau veineux, sauf à des coûts prohibitifs. C’est LE sujet du moment. »
« Les risques d’une mauvaise implémentation du dispositif peuvent être dramatiques pour l’utilisateur »
« Les risques d’une mauvaise implémentation du dispositif peuvent être dramatiques pour l’utilisateur, appuie Patrick Ménez, responsable de la sécurité des systèmes d’information au sein de l’assurance AXA (et membre du Cercle de la Donnée), au cours de la conférence des Assises de la sécurité sur le sujet. En cas de perte de ces données biométriques, les conséquences pourront être irréparables, suite à un piratage par exemple. » Pour lui, le choix effectué par toute organisation de son « dispositif de collecte » et de ses « partenaires de confiance » s’avère donc crucial.
L’enjeu concerne, d’ailleurs, aussi bien les entreprises privées que les institutions publiques : à Nice et à Marseille, le président LR de la région PACA, Renaud Muselier, souhaite, depuis plusieurs mois, implanter un dispositif de reconnaissance automatique du visage à l’entrée de deux lycées. Un produit développé en collaboration avec l’industriel Cisco, et dont le déploiement est encore suspendu. La CNIL (Commission Nationale Informatique et Libertés) vient justement de rendre un avis cinglant sur le sujet, estimant que le dispositif « ne saurait être légalement mis en œuvre. » L’organisation répète en effet, depuis des années, qu’en cas d’usage purement « facilitateur » de la biométrie, le consentement préalable des personnes est obligatoire. Pour l’autorité administrative, il est crucial de respecter le choix des utilisateurs de vouloir, ou non, se soumettre à la biométrie.
Que dit la loi ?
Côté réglementation, « le traitement de données biométriques aux fins d’identification est interdit en France », rappelle solennellement Matthieu Bourgeois. Fin de la discussion ? Pas vraiment : une dizaine d’exceptions, d’ordre médical notamment, existent. « Parmi ces exceptions, il y en a deux qui se distinguent, expose l’avocat. La première consiste à donner le choix aux salariés, qui doivent pouvoir refuser ou accepter l’usage de la biométrie sans conséquence sur leur activité. C’est le principe du consentement libre et éclairé. » Deuxième exception : « l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail », dont le RGPD a laissé le choix aux Etats-membres de le transposer, ou pas, dans leur droit national. Dans le cas de la France, le texte a bien été adopté, et la CNIL a édité un référentiel à destination des entreprises en janvier 2019 sur le sujet. Avec le nouveau texte, imposer la biométrie sans le consentement des travailleurs est devenu « possible », mais uniquement à des fins d’accès à des « locaux professionnels » ou à des « équipements professionnels » (ordinateurs portables, smartphones, etc.).
« Ce n’est pas parce que la technologie donne la possibilité de faire quelque chose qu’on doit forcément l’utiliser »
Si le droit s’empare donc peu à peu de ces sujets, la biométrie manque encore d’une réflexion éthique plus large, qui soit l’affaire de tous les citoyens, dans les entreprises mais pas seulement. « La biométrie rend possible, au-delà de l’identification des individus, l’identification de caractéristiques spécifiques à l’individu : ADN, rythme cardiaque… L’usage qui peut être fait de ces données personnelles à des fins liberticides – on peut penser au panoptique de Benthamnotamment -, militaires ou criminelles, doit nous inciter à la plus grande prudence », affirme Patrick Ménez. Qui poursuit : « On est certes aidés par la réglementation, mais d’une façon générale, une réflexion éthique doit avoir lieu sur l’usage de la biométrie, afin de mettre en perspective les avantages de la solution retenue au regard des risques qu’elle engendre. Ce n’est pas parce que la technologie donne la possibilité de faire quelque chose qu’on doit forcément l’utiliser. Cette dimension éthique ne peut plus être absente du débat, et doit s’intégrer dans la formation des architectes, des RSSI(Responsable de la sécurité des systèmes d’information), des data scientists, etc. »
Une réflexion d’autant plus cruciale que se pose aussi la question de l’efficacité-même des dispositifs biométriques. Dans une tribune publiée dans Le Monde, le juriste Martin Drago et le chercheur Félix Tréguer, s’inquiètent ainsi d’un manque de prise de recul sur le sujet, et de garanties encore « illusoires ». « En dépit de leurs effets politiques délétères, ces coûteuses machines seront incapables d’apporter la sécurité vantée par leurs promoteurs, écrivent-ils. Les milliards d’euros dépensés depuis plus de vingt ans au nom du “solutionnisme technologique” en vogue dans les milieux de la sécurité devraient là encore nous en convaincre : la technologie s’est avérée inopérante pour enrayer les formes de violence qui traversent nos sociétés. »
Exemple parmi d’autres : au Royaume-Uni, une étude réalisée par l’Université d’Essex a montré cette année que le système de reconnaissance faciale londonien (qui a pour ambition de repérer les personnes suspectées de crime dans la foule) présentait un taux d’erreur de 81%. Dans une vidéo devenue virale, la BBC avait même recueilli le témoignage d’un homme ayant reçu une amende pour… avoir tout simplement refusé de participer à un essai de cette même technologie.
Risques de contrefaçon
Car au-delà des organisations, la question des dérives possibles se pose évidemment pour les individus eux-mêmes. « Aujourd’hui, on sait déjà qu’en faisant un simple signe “V” de la main sur une photo Facebook, on peut peut zoomer dessus jusqu’à reconnaître l’empreinte digitale, prévient Coralie Héritier, directrice générale de l’entreprise française de cybersécurité Idnomic. Quelqu’un de malveillant pourrait donc potentiellement exploiter cette empreinte en l’utilisant comme “seconde peau” sur des systèmes peu sécurisés. » Depuis quelques années, certains chercheurs recommandent d’ailleurs d’éviter ce genre de gestes sur les photos postées sur son service.
Autre forme de risque tout aussi inquiétant : celle de la contrefaçon. Les données de reconnaissance faciale ou vocale, par exemple, peuvent aujourd’hui être contrefaites et utilisées à des fins malveillantes. C’est ce que montre, entre autres, le phénomène désormais reconnu des « deepfakes », ces vidéos permettant de faire dire ce que l’on veut (ou presque) à une personne en détournant les mouvements de son visage, grâce à des technologies d’intelligence artificielle et de deep learning. Un problème face auquel les réseaux sociaux, Google et Facebook en tête, préparent d’ores et déjà leurs outils de détection. Et pour cause : d’après une étude récente de Deeptrace, une société néerlandaise spécialisée dans la cybersécurité, la quantité de deepfakes présents sur Internet aurait augmenté de 84% en moins d’un an.
« Il faut assurer une dichotomie entre les données biométriques elles-mêmes et d’autres facteurs d’identification »
Visiblement en pleine expansion, le phénomène apparaît difficile à endiguer à un niveau personnel. « Mettre une photo ou une vidéo de soi sur les réseaux sociaux, c’est déjà rentré dans les mœurs, analyse Coralie Héritier. Et c’est naturel, puisque les gens privilégient l’usage d’un service par rapport à ses risques potentiels. Ici, le risque est d’autant plus grand si une donnée biométrique est associée au nom ou au prénom d’une personne : en cas de fuite sur internet, c’est toute votre identité qui se retrouve exposée. Ce qu’il faut, c’est donc plutôt assurer une dichotomie entre les données biométriques elles-mêmes et d’autres facteurs d’identification de la personne, pour qu’on ne puisse pas faire le lien entre les deux. »
La dirigeante cite notamment l’exemple de l’Estonie, où un système de « carte d’identité nationale électronique » contient un double niveau de sécurité, qui passe à la fois par une puce et un certificat électronique ne pouvant être compromis : « Pour faire simple, on couple un facteur d’identification simple – ici, celui de la biométrie – avec un facteur d’identification beaucoup plus fort, qui ne peut pas être détenu par un tiers et ne peut pas être contrefait – ici, un certificat électronique. »
Crédits : U.S. Navy photo by Aaron Schoenfeld (CC).
Sécurité renforcée ?
Alexis Caurette, directeur des produits de cybersécurité à Atos (entreprise de services du numérique française), plaide quant à lui pour une meilleure prise en compte des avantages liés à certains systèmes de sécurité biométriques. « Ce que les gens ne voient pas forcément avec les données biométriques des smartphones, c’est qu’elles ne sont pas centralisées, détaille-t-il. Les empreintes digitales ou faciales restent dans la structure de l’appareil que vous utilisez. Elles sont donc relativement protégées, puisqu’elles restent dans le téléphone à travers ce qu’on appelle un “élément sécurisé”, et ne sont jamais diffusées. »
Le dirigeant va même plus loin : impossible, pour lui, de ranger la problématique des « deepfakes » dans la catégorie « biométrie » à proprement parler. « Cela relève davantage de l’usurpation d’identité et du détournement d’images très avancé, certes sur la base de données biométriques, précise-t-il. Mais l’authentification biométrique ne permet pas de s’authentifier avec une simple photo de quelqu’un, ou même une simple empreinte digitale prélevée sur verre, parce qu’elle présente des contraintes de réalité physique. » Dans les systèmes biométriques véritablement « robustes », ce n’est en effet pas seulement « l’image » de la personne qui est mesurée mais aussi sa température, son authentification veineuse, palmaire… Autant de caractéristiques qui permettent, ensemble, de garantir l’identité d’une personne.
« La biométrie est un système beaucoup plus sécurisé qu’un identifiant et un mot de passe »
« La biométrie au sens de la cybersécurité permet d’utiliser un élément indissociable d’une personne pour l’identifier de manière très robuste, résume Alexis Caurette. Ce système est beaucoup plus sécurisé qu’un identifiant et un mot de passe, parce que vous êtes identifié pour la personne que vous êtes. Il n’y a pas photo. » « L’hygiène de la cybersécurité implique d’édicter tous les risques, et de donner des exemples concrets, appuie Coralie Héritier. Aujourd’hui, les principaux facteurs de compromission sont plutôt liés au système “login/mot de passe” qu’aux données biométriques. En l’état actuel des choses, le système du mot de passe est un espèce de sésame qui sert à tout, et notamment à accéder à des applications elles-mêmes potentiellement en lien avec des donnés biométriques. »
En attendant la généralisation de systèmes de sécurité biométrique prometteurs (comme la technique relativement complexe du chiffrement homomorphe, sur laquelle chercheurs et entrepreneurs travaillent déjà), c’est la question de leur acceptabilité qui devrait se poser dans un futur proche. Avec, sans surprise, des différences de définition non négligeables entre les pays et leurs systèmes politiques. Si, d’après une étude GMX datant de 2017, 59% des Français « préfèrent les mots de passe à la biométrie », la Chine semble quant à elle se diriger tête baissée vers la généralisation des technologies de reconnaissance faciale à des fins autoritaires. Annonce la plus récente en la matière : depuis fin septembre, le gouvernement central chinois exige de tous ses citoyens souhaitant accéder à internet sur leur téléphone qu’ils scannent d’abord… leur visage.
Comments are closed, but trackbacks and pingbacks are open.