Biométrie

La biométrie n'est pas, selon moi, adaptée aux processus informatiques. Point final. Alors pourquoi ça a le vent en poupe ?

  • Parce qu'il existe désormais des dispositifs grand public, comme sur les smartphones ;
  • Parce que c'est confortable ;
  • Parce que ça donne un faux sentiment de sécurité ;
  • Parce que le marketing crie plus fort que la sécurité.

Alors pourquoi on nous en vend autant ? Parce qu'on peut en vendre, justement. Avant on ne pouvait pas, car les lecteurs biométriques étaient trop chers. Maintenant qu'ils sont bon marché, on profite de leur prétendue sécurité, issue probablement de l'image véhiculée par le cinéma de science fiction.

Définition

Un système de contrôle biométrique est un système automatique de mesure basé sur la reconnaissance de caractéristiques propres à l'individu (définition du CLUSIF). Il peut en être fait différents usages, mais en informatique, on l'utilise quasi-exclusivement dans des processus d'authentification.

Historiquement, la biométrie est une innovation datant de la préhistoire[1] : les artistes utilisaient déjà la forme de leur main[2] pour signer leurs peintures, ce qui constitue une forme d'identification biométrique (avec trace, cf ci-dessous).

Facteur d'authentification

Tout d'abord, il faut se rappeler ce qu'est un facteur d'authentification : un moyen de prouver au système que vous êtes bien celui que vous prétendez être.

L'illusion de la sécurité

Tout d'abord, le sentiment de sécurité en ce qui concerne la biométrie provient de l'idée fallacieuse que nous sommes les seuls à disposer des originaux : nos empreintes digitales, la forme de notre main, et donc de toutes les caractéristiques utilisées en biométrie.

Pour commencer, cela est tout d'abord variable selon le type de caractéristique utilisé. La CNIL propose une classification en trois grands groupes[3].

Classification CNIL (ancienne)

  • Biométrie sans trace
  • Biométrie avec trace
  • Biométrie intermédiaire

Les caractéristiques biométriques sans trace sont celles qu'on ne peut que lire, sans pouvoir les copier ou ne recueillir un échantillon. Le scan du réseau veineux de la main est un exemple de système de biométrie sans trace : seul un capteur peut lire la forme voulue, on ne peut pas la reproduire (c'est-à-dire qu'on ne sait pas faire de main artificielle ayant les mêmes caractéristiques), et l'utilisateur ne laisse pas derrière lui de trace permettant de retrouver ses caractéristiques biométriques. Les systèmes sans trace sont a priori les meilleurs candidats pour l'authentification biométrique.

Les systèmes avec traces semblent moins propices à l'utilisation, car ils sont par définition ceux où l'utilisateur peut laisser des traces, soit lors de l'authentification, soit en dehors. L'empreinte digitale en est l'exemple parfait : nous laissons nos empreintes partout, ce qui a fait dans un premier temps la joie des policiers de l'identification criminelle, et ce qui fait ou fera la joie des pirates d'ici peu.

Les systèmes intermédiaires sont entre les deux : ils ne laissent pas de trace directement, mais il est (plus ou moins) facile de se procurer un échantillon. La voix, la forme du visage ou la forme de l'iris en font partie. La voix peut être enregistrée, notre visage peut être retrouvé partout, y compris maintenant grâce aux système de vidéosurveillance.

Nouvelle doctrine CNIL

La CNIL considère désormais que toutes les biométries sont à traces. Je trouve ça un tantinet exagéré, mais pourquoi pas : nous laissons tellement de traces directes ou indirectes de nos jours... La biométrie veineuse doit encore être sans trace, mais elle reste trop contraignante pour atteindre le grand public.

De fait, la CNIL classe les solutions en fonction du contrôle que l'utilisateur peut exercer sur la biométrie :

  • Solutions où l'utilisateur garde le contrôle complet de la biométrie (exemples : l'empreinte digitale stockée uniquement localement sur son smartphone, ou gabarit protégé par un chiffrement dont la clé n'est détenue que par l'utilisateur) ;
  • Solutions où l'utilisateur n'a qu'un contrôle partiel de la biométrie (le gabarit biométrie peut être utilisé sans que la personne n'en soit informée).

Inattaquable

La plus grosse des erreurs

La plus grosse des erreurs quand on parle de biométrie est d'imaginer que c'est difficile voire impossible à contrefaire ou reproduire. Peut-être dans certains cas, mais cela ne rend pas la biométrie inattaquable, car il y a d'autres façons d'attaquer un système biométrique, comme l'attaque matérielle. Sans compter que si, les données biométriques peuvent être contrefaites ou reproduites.

Et si je ne me fais rien voler ?

Un critère oublié

Pour qu'une authentification biométrique soit utilisable, elle doit combiner plusieurs caractéristiques ; elle doit être :

  • Discriminante (deux individus différents doivent avoir des caractéristiques différentes, idéalement uniques) ;
  • Universelle (ce qui n'est jamais le cas en biométrie, d'où l'obligation d'avoir une solution alternative) ;
  • Permanente (ou au moins relativement stable dans le temps) ;
  • Mesurable et enregistrable ;
  • Infalsifiable.

Or il est impossible d'affirmer qu'une solution est infalsifiable : on peut tout au plus affirmer qu'à notre connaissance, elle est infalsifiable. A contrario, on peut affirmer qu'elle est attaquable quand il existe au moins un scénario d'attaque.

En 2018, quasiment toutes les caractéristiques biométriques peuvent être reproduites de façon à tromper les capteurs, car quasiment aucun d'eux ne vérifie que la personne est effectivement présente lors de l'authentification !

La liveness detection (la vivantitude en français) est oublié de quasiment toutes les solutions de biométrie, ou elle n'est que très sommaire (et elle peut être également trompée).

  • Dans le cas d'une empreinte digitale, certains capteurs (perfectionnés) vérifient la conductivité de la peau ou sa chaleur, caractéristiques pouvant être reproduites facilement ;
  • Dans l'authentification du visage, le capteur peut demander à bouger la tête pour éviter le présentation d'une photo ; il suffit alors de présenter... une vidéo !

A partir du moment où presque toutes les biométries laissent des traces, et qu'on peut donc reproduire les caractéristiques souhaitées, la détection de vie devrait être un impératif pour tous les systèmes biométriques : personne n'est capable (pour l'instant) de reproduire un être vivant (ou suffisamment vivant) pouvant tromper les capteurs. Or cette liveness detection est délaissée, probablement car elle est très complexe à mettre en oeuvre.

Or tant que cette détection de vie ne sera pas en place, toutes les biométries présentées à froid ne seront pas dignes de confiance. Et si on arrive à un niveau élevé de détection de vie, il faudra garder à l'esprit que les pirates ont plus d'imagination que nous pour tromper les systèmes.

Premières attaques industrielles

Beaucoup de hacks et du bon sens

L'empreinte digitale est curieusement très utilisée, alors que c'est un assez mauvais candidat puisqu'étant avec traces. Le Chaos Computer Club a pu tromper très rapidement le système biométrique de l'iPhone, puis du Samsung S5, et surtout à démontré qu'il était possible de récupérer une image de l'empreinte suffisamment précise pour être utilisée à partir d'un appareil photo du commerce, à une distance de trois mètres[4].

Ensuite il faut faire preuve de bon sens : sécuriser un terminal grâce à une empreinte qu'on retrouve... partout sur le terminal lui-même, car il est rare de porter des gants avec nos smartphones ! Surtout si on veut utiliser la saisie tactile ou le lecteur d'empreinte. Et comme la mode est aux surfaces brillantes...

Bien que je préfère espérer que certains faits divers stupéfiants ne restent qu'exceptionnels, mais il y a déjà des précédents :

  • Trois individus arrêtés après avoir kidnappé une fillette afin de falsifier un test ADN[5] ;
  • Alsace : Il utilisait le doigt coupé de sa victime pour usurper son identité[6].

J'ai peur que la nature humaine ne pousse des criminels à des actions de plus en plus insensées pour contourner la quasi-exactitude d'une identification biométrique. Comme il est précisément impossible de modifier ses caractéristiques biométriques, des malfrats vont (et l'ont déjà fait) mettre en oeuvre des scenarii insensés et violents soit pour récupérer les identifiants biométriques, soit pour disposer d'échantillons permettant de créer une fausse identité. Au lieu de nous protéger, la biométrie forcera les malfaiteurs à attaquer physiquement les individus, avec la part de violence que cela peut engendrer.

Quelques chiffres et éléments de comparaison

Je me base ici sur les chiffres fournis par les constructeurs ou intégrateur de systèmes biométriques (tels qu'Apple, Samsung[7] ou ZTE[8]). Apple indique que le taux d'erreur de son système de biométrie (EER) par empreinte est de l'ordre de 1 pour 50 000. Pour Fujitsu, qui équipe le ZTE, ce taux est meilleur puisqu'il est de 1 pour 250 000.

Un petit rappel : un mot de passe ne comprenant que des lettres (majuscules et minuscules) et faisant 8 caractères de long, on est à 1 pour 53 459 728 531 456. C’est donc 200 millions de fois plus complexe qu’un scan de l’iris.

A contrario, un code PIN sur 5 chiffres donne 1 pour 100 000, sachant qu’un code PIN peut être répudié. Donc un scan de l’iris est comparable à un code PIN de 5 chiffres, en moins bien (car impossible à répudier). Côté Apple, le lecteur d’empreinte Apple donné 1 pour 50 000[9] n'équivaut donc qu’à un code PIN de 4 chiffres (je me répète : en moins bien, car impossible à répudier).

Donc contrairement aux discours commerciaux comme ceux de ZTE, ça n’est absolument pas en termes de sécurité qu’il faut voir les choses mais en termes de confort et d’expérience utilisateur[10].

Et le vol de données biométriques ?

Si je me fais voler mon empreinte, c'est grave ?

La réponse est : non, tout va bien. Enfin presque. Normalement. Dans l'état actuel de la technologie. Rassurant, non ?

Oui, car il faut tempérer les propos rassurants comme suite à l'affaire de vol de données confidentielles de l'OPM[11] : après quelques investigations, ils se rendent compte que ça n'est pas 1 mais 5 millions d'empreintes qui sont dans la nature[12], mais qu'heureusement il est difficile d'en faire quelque chose... dans l'état actuel des technologies : .

Par chance, le gouvernement américain reviendra vers les victimes si, dans le futur, cela devenait possible. Comme vous le voyez, la biométrie des empreintes digitales est une technique sûre !

Un petit rappel : si une donnée biométrique est compromise (par exemple votre empreinte), non seulement c'est à vie mais également sur tous les autres dispositifs utilisant cette empreinte. Dire qu'on conseille de ne pas réutiliser le même mot de passe sur différents sites, avec une empreinte (ou n'importe quelle donnée biométrique), vous l'utilisez partout à l'identique !

Où trouver l'original d'une empreinte utilisée pour déverrouiller un smartphone ?

Et la voix ?

En tant que technologie intermédiaire, c'est plus risqué. Cela dit, il faut que le pirate puisse enregistrer votre voix, de préférence lorsque vous prononcez la phrase servant à l'authentification. Et encore, les systèmes de reconnaissance ont des mécanismes anti-rejeu. Enfin, parfois. A moins que... A moins qu'on puisse à partir d'échantillons divers de votre voix reconstruire la phrase qu'on veut. Mais ça, c'est de la science-fiction[13]. Et je ne parle même pas des frères jumeaux[14] !

Et l'iris ?

Ayé, c'est fait : le CCC a réussi à en faire son affaire[15]...

Et la tête ?

Alouette. Maintenant (2018) on peut déverrouiller son smartphone en montrant sa tronche. Il va donc falloir se promener cagoulé pour éviter la compromission de mon moyen d'authentification.

Biométrie révocable

Une solution idéale en biométrie serait de pouvoir révoquer la donnée biométrique utilisée. Or les quelques propositions qu'ont trouve dans la nature n'évoquent que la révocation des minuties stockées, et non de la donnée de base. De plus, la sécurité du stockage est trop souvent perfectible, et quoi qu'il en soit ce stockage sera toujours attaquable.

Voir https://hal.archives-ouvertes.fr/hal-01591593/document

Vulnérabilités

Liens web

Références

  1. (en) « Biometric authentication (What is biometrics?) | 2018 Review » (consulté le 22 octobre 2018)
  2. « Les mains dans la préhistoire - Hominidés », sur www.hominides.com (consulté le 22 octobre 2018)
  3. « Le contrôle d’accès biométrique sur les lieux de travail », sur www.cnil.fr (consulté le 2 février 2018)
  4. (en) « CCC | Fingerprint Biometrics hacked again », sur www.ccc.de (consulté le 2 février 2018)
  5. « Serbie : trois Français interpellés pour le rapt d'une fillette », sur m6info.yahoo.com, M6Infos,
  6. « Alsace: Il utilisait le doigt coupé de sa victime pour usurper son identité », sur 20minutes.fr,
  7. (en) Adnan Farooqui, « Galaxy S5 Eye Scanner Rumors Mount », sur ubergizmo,
  8. « Ubergizmo France | Le Blog High-Tech et digital lifestyle », sur Ubergizmo France (consulté le 2 février 2018)
  9. (en) « iOS Security Guide » [PDF], sur apple.com, Apple, , p. 8
  10. Frédéric Mouffle, « Les conseils pour protéger son empreinte digitale sous androïd et pourquoi c’est important », sur atlantico.fr,
  11. (en) « OPM Announces Steps to Protect Federal Workers and Others From Cyber Threats », sur U.S. Office of Personnel Management, (consulté le 2 février 2018)
  12. (en) « Statement by OPM Press Secretary Sam Schumach on Background Investigations Incident », sur U.S. Office of Personnel Management, (consulté le 2 février 2018)
  13. (en) Katherine Shonesy, « UAB - News - UAB research finds automated voice imitation can fool humans and machines », sur www.uab.edu, University of Alabama at Birmingham (consulté le 2 février 2018)
  14. (en) Dan Simmons, « BBC fools HSBC voice recognition security system », sur bbc.com, (consulté le 2 février 2018)
  15. (en) « CCC | Chaos Computer Clubs breaks iris recognition system of the Samsung Galaxy S8 », sur www.ccc.de (consulté le 2 février 2018)