Déverrouillage biométrique smartphone : un système de protection avancé sans risques ?
Image de couverture Prostock-studio / Shutterstock

Avec le déverrouillage biométrique, vous n’aurez plus à mémoriser de codes PIN, de mots de passe ou de schémas. Il suffit d’utiliser votre empreinte digitale ou votre visage pour accéder à votre smartphone. Cette méthode offre par ailleurs un gain de temps significatif. Toutefois, les données biométriques ne peuvent être changées si elles sont compromises, contrairement aux autres techniques d’authentification. 

Que sont les données biométriques ?

Le déverrouillage biométrique repose sur l’analyse des particularités physiques ou encore biologiques d’un sujet. Les données biométriques désignent ainsi les relevés de ces caractéristiques propres à une personne. Concrètement, elles englobent des éléments différenciant chaque individu comme les empreintes digitales ou vocales. La biométrie couvre aussi d’autres parties du corps comme le visage ou encore l’iris.

Les données biométriques sont des informations à caractère personnel et sensible. En effet, elles permettent d’identifier formellement une personne en raison de leur côté unique. Il s’agit donc d’excellentes bases pour développer des solutions d’identification et d’authentification. Par ailleurs, la plupart de ces données sont immuables, à l’image de l’ADN et des empreintes rétiniennes ou digitales. 

Des appareils électroniques sont actuellement capables de mesurer, de collecter et d’enregistrer ce type de renseignements. Ils pourront ensuite comparer en temps réel les relevés effectués avec les gabarits stockés dans leurs bases de données. Grâce à ce processus, les lecteurs biométriques sont en mesure de confirmer l’identité de l’individu considéré. 

La géométrie de la main fait notamment partie des premières données biométriques utilisées dans le domaine de la sécurité. Dès les années 1980, les entreprises se servaient de cette caractéristique physique dans leurs dispositifs d’authentification. La technique consiste notamment à mesurer la longueur, la largeur et l’épaisseur d’une main. L’accès sera autorisé si les mesures correspondent au gabarit enregistré dans le système. 

À quoi peuvent-elles servir dans le domaine de la téléphonie ?

Pour de nombreux consommateurs, le déverrouillage biométrique est synonyme d’empreintes digitales sur les smartphones. Ces données sont effectivement les plus utilisées dans l’univers de la téléphonie. Elles permettent d’authentifier l’utilisateur de l’appareil avant de déverrouiller l’écran ou de donner accès aux dossiers sécurisés. Aujourd’hui, ce facteur est de plus en plus courant dans l’authentification forte. 

La reconnaissance faciale tend également à se démocratiser sur les portables. Elle a surtout été popularisée par l’iPhone. Le produit phare d’Apple peut entre autres être déverrouillé en présentant son visage à l’objectif frontal. Le dispositif analyse les contours faciaux se trouvant face à la caméra et les compare avec les données enregistrées. 

D’autre part, la reconnaissance vocale tend à se répandre sur les téléphones. Cette technologie a surtout été exploitée par les assistants virtuels comme Siri, Alexa ou Google Assistant. Les smartphones ont ensuite hérité de ces intelligences artificielles de leurs systèmes d’exploitation ou d’appli tierces. En revanche, la reconnaissance d’iris est encore peu utilisée sur les mobiles pour l’instant. 

Les caractéristiques comportementales sont aussi des données biométriques prises en compte sur les smartphones. L’appareil analyse notamment la manière d’écrire sur un clavier, de scroller une page, d’appuyer sur un bouton… Ce système est peu connu du grand public. Pourtant, il est souvent utilisé pour distinguer les utilisateurs humains des robots comme dans le cas du Captcha

À quoi peuvent-elles servir dans le domaine de la téléphonie ?
Source : PopTika / Shutterstock

Les avantages d’une double authentification pour verrouiller son smartphone

La double authentification se définit par l’utilisation d’un facteur supplémentaire et de nature différente dans un dispositif de sécurité. Les risques de falsification sont ainsi plus faibles par rapport à une vérification unique. Dans la pratique, vous ne vous contentez pas par exemple du déverrouillage biométrique. Vous y ajoutez un autre élément comme un code PIN, un mot de passe, un schéma, un message codé, etc. 

Le principe de base est d’associer deux systèmes d’authentification pour reconnaître un individu. Il ne s’agit pas de recourir à une vérification en deux étapes similaires comme un code et une question de sécurité. Les deux parties doivent impliquer des facteurs différents, de préférence physiques et immatériels. D’ailleurs, ce système est aussi appelé 2 FA, de l’anglais « two-factor authentication ». 

En règle générale, l’authentification forte se base d’une part sur un mot de passe, un code PIN ou une question de sécurité. L’idée est d’utiliser une information connue seulement de l’utilisateur. D’autre part, elle repose sur un objet personnel et unique, comme une clé USB de sécurité. Les mesures biométriques sont ainsi des solutions intéressantes pour compléter le premier facteur mémorisé sur un smartphone. 

Si le gabarit reste dans l’appareil, la biométrie est efficace pour empêcher d’utiliser ou d’espionner un téléphone portable. La situation se révèle, en revanche, plus risquée si les données biométriques sont enregistrées dans le Cloud. Dans ce cas, elles seront confiées à une entreprise tierce et stockées sur des serveurs distants. 

Les risques à confier ses données à une entreprise tierce

Sur un smartphone, le lecteur biométrique peut fonctionner de manière autonome ou synchronisée avec un compte Cloud. Le premier cas correspond à un système fermé permettant d’isoler les données biométriques dans un environnement cloisonné. Autrement dit, ces informations sont inaccessibles depuis l’extérieur. Seul le dispositif de sécurité utilise le gabarit dans l’appareil pour procéder à une authentification. 

Dans le second cas, le scanner transmet ces données sensibles à des serveurs gérés par un opérateur Cloud. Le partage de l’information peut être ponctuel ou en continu selon l’appareil et la marque considérée. En tout cas, un réseau distant a en sa possession une copie de votre enregistrement biométrique. Un système connecté est pourtant exposé à des risques non négligeables de failles de sécurité. 

En matière de cybersécurité, il vaut mieux partir du principe selon lequel toutes les données transmises sont potentiellement vulnérables. Vous pouvez éventuellement limiter les risques en choisissant un opérateur de confiance. Cependant, les brèches ne sont pas à exclure dès que vous confiez des informations à un tiers. Le Cloud computing implique par ailleurs des échanges réguliers via Internet. 

Or, vos mesures biométriques sont uniques et non modifiables. Ce système sera donc compromis à vie en cas de vol de données. Après un piratage, les cybercriminels pourront reproduire votre empreinte digitale, votre iris… Ils seront ensuite capables d’usurper indéfiniment votre identité dans tout contrôle d’accès biométrique recourant à ces informations. En somme, les fuites de données peuvent entrainer des conséquences irréversibles, comme le rappelle souvent la CNIL.

Image de couverture Prostock-studio / Shutterstock

L'actualités :