Dans un contexte de numérisation croissante des services, l’authentification est essentielle pour sécuriser les transactions (paiement, souscription à un service, etc.) ou l’accès (à une habitation, des bureaux, un système d’informations…). La biométrie parait y apporter une solution particulièrement pertinente, en exploitant des caractéristiques propres à chacun et infalsifiables, comme les empreintes digitales.
Même si la mise en œuvre des technologies d’authentification biométrique n’est pas toujours simple, le monde bancaire s’y intéresse de près !
L’être humain : de nombreuses caractéristiques à exploiter
Régulièrement, de nouvelles technologies d’authentification biométrique sont présentées. Reconnaissance d’iris, reconnaissance faciale ou de la forme de la main, analyse de la voix, étude du tracé de la signature ou de la frappe sur un clavier, ou encore, plus étonnant, analyse des battements du cœur : de nombreuses caractéristiques physiologiques ou comportementales peuvent être utilisées pour reconnaître de façon certaine un individu, dont les caractéristiques ont été mémorisées au préalable.
Pour l’utilisateur, ces technologies constituent une alternative idéale à l’usage des codes secrets ou mots de passe toujours plus nombreux et dont la mémorisation devient source d’angoisse pour certains.
Des technologies déjà sur le marché
La biométrie est déjà opérationnelle dans de nombreuses applications, même grand public, jouant à la fois le rôle de code de validation, de carte d’identité et de super-clé d’accès.
Des smartphones et des PC sont protégés par un lecteur d’empreintes digitales. La reconnaissance biométrique est intégrée à Windows 10, via Windows Hello : il suffit d’être équipé d’un capteur d’empreinte, ou d’une caméra pour une reconnaissance de l’iris, pour en bénéficier.
On peut également citer la reconnaissance faciale qui valide le paiement dans une grande surface en Suède, l’analyse des battements de cœur testée au Canada pour valider un paiement par carte bancaire, le contrôle d’identité via la reconnaissance d’iris en test à la douane de l’embarcadère Cherbourg et à l’aéroport de Roissy…
Des freins à lever
Pour déployer une technologie à grande échelle, il faut tout d’abord surmonter des difficultés techniques : savoir « coder » et stocker les caractéristiques d’un individu, mettre au point un capteur précis et fiable qui ne s’altère pas à l’usage.
Des obstacles légaux ou réglementaires freinent aussi le développement de la biométrie. Le problème est plus précisément l’absence de régime juridique pour la biométrie. La CNIL a toutefois précisé qu’elle considérait que les éléments d'identification biométriques entraient dans le champ d'application de la loi « informatique et liberté », au même titre que le nom ou l’adresse d’une personne. Ce qui signifie que conservation ou le stockage de ces éléments relève de la législation sur la protection des données : il faut, pour constituer une base de données biométriques, respecter les principes de finalité et de proportionnalité.
Par ailleurs, la CNIL préfère l’utilisation de données n’étant pas exploitées par les forces de l’ordre. Ainsi, elle a approuvé un système de contrôle d'accès à une cantine scolaire utilisant le contour de la main, mais émis un avis défavorable à un système qui, dans un contexte identique, reposait sur les empreintes digitales.
La sécurité en question
Côté sécurité, la biométrie ne résout pas tout. D’abord, que l’on utilise un mot de passe, une empreinte digitale ou les caractéristiques spécifiques d’un iris, il faut être sûr que des pirates ne puissent accéder à ces données.
En effet, s’il est possible d’extorquer un mot de passe, il serait aussi dans certains cas possible de produire des « faux » iris ou de « faux » doigts, par exemple !
Alors pour éviter que les pirates ne puissent accéder aux données nécessaires pour fabriquer ces « faux », l’enjeu du stockage des données confidentielles reste essentiel. Il faut sécuriser le stockage des données biométriques, qu’il soit local (dans un téléphone portable ou un ordinateur pour en protéger l’accès et l’utilisation par exemple) ou plus encore lorsqu’il est centralisé (dans une base de données) !
Des dispositifs synthétiques qui copient les caractéristiques humaines
Des chercheurs du Biometric Recognition Group de l’Université autonome de Madrid ont réussi à mettre au point un algorithme capable de produire un « faux » iris, en partant des données caractéristiques de l’oeil véritable, sous leur forme codée par le système de reconnaissance. Cet algorithme trompe déjà le système de sécurité dans 80% des cas.
De même, il est en théorie possible de créer un faux doigt, reproduisant sur une couche de silicone l’empreinte d’une personne, mais trompant aussi le capteur pour lui faire croire que le doigt est humain (température identique à la température c orporelle, simulation de battements cardiaques, conductivité identique à celle de la peau..).
Le coût d’un tel dispositif serait extrêmement élevé, mais techniquement possible !
Des technologies idéales pour le monde bancaire
Enfin, un autre obstacle à l’utilisation de la biométrie est lié à la réticence de l’utilisateur : lui aussi accepte plus facilement un système basé sur la main ou l’œil, qu’une analyse des empreintes digitales ou de l’ADN, dont l’usage pourrait être détourné. Il adopte aussi plus facilement les dispositifs protégeant l’accès à un équipement personnel (un PC, une tablette, un smartphone, voire sa voiture) qu’à un lieu public ou un service, qui impose le « fichage » des utilisateurs…
Toutefois, l’authentification biométrique est à ce jour un procédé fiable – les technologies susceptibles de la tromper sont encore dans les laboratoires de recherche – qui intéresse tout particulièrement le monde bancaire : pour valider un règlement par carte bancaire, autoriser l’accès à un guichet automatique, ou encore pour réaliser une transaction à distance…
La biométrie garantit l’identité de la personne ayant réalisé une action. Elle est ainsi une solution à l’escroquerie à la carte bancaire, au phishing et à l’usurpation d’identité. Elle présente aussi une limite : il ne sera pas possible de prêter une carte bancaire biométrique à son époux(se) ou son ado. Ce que certains verront comme un atout !
BNP Paribas expérimente l’authentification biométrique
BNP Paribas avec Banque Accord, Crédit Agricole et Crédit Mutuel Arkéa, se sont associés pour tester la solution de paiement par authentification des empreintes digitales de Natural Security.
Le but étant, à l’avenir, de payer grâce à des capteurs biométriques sur son téléphone et grâce à ses empreintes digitales.
L’objectif de ce déploiement multiforme: paiements plus faciles, plus sécurisés et préserver le rôle central de la banque comme tiers de confiance lors des transactions.
Le Groupe est convaincu que la biométrie entrera dans les usages grand public dans les cinq ans à venir.
Cependant, l'authentification biométrique fait encore l'objet de débats au sein de la CNIL.
En effet, il faut prouver que les données personnelles sont assez protégées, que les droits de l'individu sont bien respectés et que le système est bien sécurisé.