Pourquoi je n’aime pas le Biométrique

Avec des mobiles devenant nos servers personnels et centre névralgique de notre système d’information individuel, le choix de les sécuriser s’impose de lui-même. Ce qui a de la valeur n’est pas le petit bijou de technologie qui vous a quand même couté $700 mais ce qu’il contient, à commencer par l’accès à votre email principal, la vraie clé qui permet d’ouvrir tout le reste.

Nous sommes tous à peu près d’accord. Pour qu’un mot de passe soit « solide », il doit être complexe, du genre « V%67&)[email protected]$)14 ». Si vous utilisez ce genre de mot de passe, vous faites parti des 0,1% de nerds paranoïaques qui ont un poster de @Snowden dans leur chambre. Pour les autres, la tendance est à la simplicité. Les code à 4 chiffres tout comme les patterns (ces espèces de chemins que l’on va reproduire sur l’écran d’un téléphone) sont la règle. Pourtant, ils sont d’un niveau de sécurité très douteux. C’est vrai qu’ils sont plus simples à utiliser, mais à quoi bon fermer la porte s’il suffit d’y mettre un petit coup d’épaule pour l’enfoncer !?!

Dans les essais visant à traiter ce « point de souffrance » – ces champs de réflexions immenses où il est possible d’innover pour améliorer une situation archaïque ou posant un problème – Google a fait un premier essai en intégrant la reconnaissance faciale à Android. Ainsi, vous pouviez unlocker votre téléphone en le tenant à hauteur de visage. La caméra reconnaissait que c’était vous et votre device devenait utilisable. Honnêtement, je n’ai jamais vu ce système fonctionner correctement, sans même parler des milliers de situations où les conditions de lumière ou d’accès direct à votre visage, de face, le rendent inutilisables.

Il y a deux générations, Apple a lancé l’un des tous premiers capteurs biométriques pour unlocker l’iPhone. Ceux qui l’ont utilisé ont pu traverser ce process assez drôle visant à apprendre vos empreintes digitales à iOS. C’est un peu lent à l’usage mais globalement fiable. Ainsi, Apple fort de ce succès, s’est immédiatement lancé dans la sécurisation de votre profil iCloud, votre compte iTunes, Apple Pay, etc… via cette empreinte. Sur le papier, c’est génial car vous êtes effectivement seul au monde avec vos jolies petits doigts.

Du coup, le dernier Nexus, le téléphone pour nerds de Google, embarque également un capteur biométrique… d’une rapidité fulgurante, celui-ci. Votre téléphone est disponible quasiment quand vous le prenez en main, dès que votre doigt effleure le capteur, intelligemment placé au dos du téléphone cette fois. On frôle la perfection.

Mais voilà, je n’aime pas cette perfection car elle est irréversible. Lorsque votre empreinte sera hackée (vous remarquerez que je n’écrit pas « Si votre empreinte… » parce qu’il ne fait aucun doute qu’elle le sera), le traduction mathématique encryptée de celle-ci sera alors compromise. Comme il vous est impossible – ou très difficilement – de changer d’empreinte, vous n’avez plus d’alternative, pas de plan B.

Suis-je parano dans mes réflexions ? Pas plus que ceux qui mettent un post-it sur leur webcam de peur que celle-ci ne révèle leur quotidien sans qu’ils ne le sachent. Il y a quelques années, les vols de données concernaient généralement des centaines de personnes, sur des data plus ou moins exploitables. Aujourd’hui, il ne se passe pas une semaine sans qu’on apprenne que tel distributeur a perdu des dizaines de millions de profils de ses clients ou que tel système gouvernemental a reçu la visite de Russo-Chinois à moins que ce ne soient des Islamistes (c’est à dire que globalement, ils n’en savent rien).

J’aime les mots de passe complexes, car ils ne sont pas si facile à deviner qu’on ne l’imagine. Cela demande un peu de réflexion pour trouver une nomenclature personnelle (un ensemble de moyens mnémotechniques que vous vous êtes appropriés pour imaginer des suites de caractères qui semblent n’avoir rien de naturel) qui puisse ensuite vous aider à en créer des dizaines sans les oublier. L’un d’entre eux vous semble compromis ? Changez-le, tout simplement. Votre système est découvert, inventez-vous une nouvelle nomenclature. J’aime ces mots de passe pour leur caractère non définitif, caractère qui est exactement ce que je reproche aux identifications biométriques actuelles.

Quoi qu’il soit, le centre de votre système d’information personnel est votre mobile pour encore quelques années. Le plus gros chantier qui s’ouvre, est vraiment de protéger son contenu des tonnes de menaces qui pèsent dessus.

4 réflexions sur “ Pourquoi je n’aime pas le Biométrique ”

  1. Pour le coup, je ne suis pas d’accord.

    Il y a mot de passe complexe et complexe. Ce strip de xkcd l’illustre plutôt bien : https://xkcd.com/936/
    On peut avoir un mot de passe complexe à mémoriser et facile à craquer et un mot de passe facile à mémoriser et très complexe à craquer. Un mot de passe complexe aura aussi + de risque de se retrouver sur une feuille de papier.

    Pour la biométrie, cela reste une sorte de double authentification entre le périphérique et l’empreinte. L’attaquant doit donc avoir accès au périphérique et avoir « imprimé » un doigt ou plus complexe un visage pour pénétrer dans le système. La possibilité d’une attaque reste complexe et certainement du même niveau que pour « casser » un mot de passe. Quoiqu’il arrive, l’empreinte digitale n’est là que pour « libérer » le vrai mot de passe du service que l’utilisateur souhaite utiliser. La faille est donc plutôt au niveau du gestionnaire de mot de passe ou du périphérique de l’utilisateur. Et dans tous les cas, ce n’est pas l’empreinte digitale qui pose problème c’est le fait de pouvoir accéder à l’adresse principale d’un utilisateur au travers de l’un de ces périphériques ou d’un quelconque autre moyen.
    D’ailleurs, le gestionnaire de mot de passe est souvent protégé par une authentification. L’adresse email quant à elle permettra de modifier n’importe quel mot de passe via le formulaire mot de passe perdu de la plupart des sites.

  2. Zut, on ne peut pas éditer.
    Je reste bien sûr d’accord avec la conclusion de l’article 🙂

    Le smartphone dans sa nécessité d’être accessible rapidement et facilement devient une faille de sécurité dans notre système d’information.

  3. Te t’inquiète pas, tu as déjà donne ton empreinte la dernière fois que t’es allé voir Mickey a Orlando… Mais peut-être que Mickey saura rester discret 🙂

  4. Merci pour ces réflections. Moi aussi j’aime des mots complexes mais c’est aussi complexe à les mémoriser, donc je dois les écrire sur un papier.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.