Les violations de données donnent à réfléchir aux conséquences de la mise à la disposition des fraudeurs de nos informations d’identification – y compris les données biométriques. Et avec chaque nouveau système d’information contenant nos données (pensez aux réservations d’hôtels et de vols, aux demandes de cartes de crédit, aux programmes de fidélité, etc.), le risque que ces informations se retrouvent entre de mauvaises mains augmente. Plus encore, si l’un de ces magasins de données se trouve être un exemple du fruit à portée de main qui est si frustrant et efficace pour attirer l’attention des mauvais acteurs.
Les gouvernements en ont depuis longtemps marre de la situation et ont adopté des lois telles que le RGPD en Europe et une série de lois sur la confidentialité aux US, et ailleurs. L’idée ici est que les entreprises – motivées pour éviter les amendes importantes – augmenteront leur niveau de sécurité au fil du temps, rendant nos informations d’identification personnelles (PII) un peu plus difficiles à atteindre. Mais les gouvernements peuvent aussi être des cibles. Les rappels de cela incluent le vol largement signalé, en 2015, de plus de 5 millions d’empreintes digitales (plus des dizaines de millions d’autres dossiers) de l’Office of Personnel Management (OPM) des États-Unis – le bras du gouvernement fédéral responsable de la gestion de la fonction publique .
Identifiants irremplaçables
La divulgation de données biométriques est particulièrement troublante – comme nous le découvrirons plus en détail prochainement – car ce n’est pas la même chose que de recommencer avec une carte de crédit de remplacement (avec un numéro et un code de sécurité différents). Les victimes ne peuvent pas demander une nouvelle série d’empreintes digitales, une paire d’iris ou un nouveau visage. Et même les âmes courageuses qui risquent la chirurgie plastique en option doivent admettre qu’il s’agit d’une solution drastique à une violation de données – et qui paierait la facture d’un incident touchant des millions de personnes ?
Sécurité biométrique pratique, mais facile à usurper
Au moment de la violation des données de l’OPM, les responsables ont admis que même si la possibilité d’abuser des données d’empreintes digitales était limitée, cela la probabilité pourrait changer au fil du temps à mesure que la technologie évolue. Et – comme si les adversaires n’avaient pas déjà accès à suffisamment de données biométriques – les chercheurs en sécurité ont montré en 2019 que d’autres bases de données étaient également vulnérables. Cette fois-ci, la sonnette d’alarme était destinée à un fournisseur coréen de sécurité Web, dont les services seraient utilisés par des milliers de clients dans le monde, y compris les forces de police. Naturellement, lorsque de telles failles de sécurité sont découvertes, des inquiétudes sont soulevées quant à la capacité des fournisseurs à protéger leurs actifs biométriques. Mais peut-être qu’une question plus sage à poser est de savoir si les données biométriques sont réellement utiles en premier lieu ?
Le célèbre expert en sécurité Bruce Schneier résume cela remonte à 1998 – soulignant que si la biométrie est utile en tant qu’identifiant unique, elle doit être construite sur un chemin fiable du lecteur au vérificateur. Et, notant un écueil courant, si vous comptez sur la biométrie pour posséder les caractéristiques d’une clé – être secrète, aléatoire, avoir la possibilité d’être mise à jour ou réinitialisée – alors vous êtes face à un problème de sécurité majeur. . La biométrie s’effondre rapidement dès que vous commencez à vous y fier en tant que secrets, et pire encore lorsque vous avez besoin que ces secrets soient remplaçables.
Vie en tant que service
Cela ne veut pas dire que les concepteurs doivent renoncer à la commodité des données biométriques. Au lieu de cela, les équipes produit doivent simplement s’assurer que les informations sont appliquées dans le bon contexte. Et aujourd’hui, cela inclut d’explorer les moyens de créer de la « vivacité » dans le processus de capture de données. La société américaine IDR&D développe des méthodes analytiques « pour déterminer si un échantillon biométrique est capturé à partir de un sujet vivant qui est présent au point de capture’.
La société basée à New York vise à empêcher les fraudeurs de réussir avec des attaques dites de présentation (par exemple, lorsqu’un adversaire déverrouille un appareil en montrant une photo pour imiter un vrai visage) et propose des solutions de sécurité pour le visage, les documents et données vocales. Ses développeurs travaillent avec des clients sur une gamme d’applications, notamment en aidant les entreprises de télécommunications à prévenir la fraude des abonnés en incorporant des informations sur la vivacité dans l’intégration des clients.