vendredi, 29 mars 2024

Échec du mot de passe : que faire en cas de vol de données biométriques ?

Les violations de données donnent à réfléchir aux conséquences de la mise à la disposition des fraudeurs de nos informations d’identification – y compris les données biométriques. Et avec chaque nouveau système d’information contenant nos données (pensez aux réservations d’hôtels et de vols, aux demandes de cartes de crédit, aux programmes de fidélité, etc.), le risque que ces informations se retrouvent entre de mauvaises mains augmente. Plus encore, si l’un de ces magasins de données se trouve être un exemple du fruit à portée de main qui est si frustrant et efficace pour attirer l’attention des mauvais acteurs.

Les gouvernements en ont depuis longtemps marre de la situation et ont adopté des lois telles que le RGPD en Europe et une série de lois sur la confidentialité aux US, et ailleurs. L’idée ici est que les entreprises – motivées pour éviter les amendes importantes – augmenteront leur niveau de sécurité au fil du temps, rendant nos informations d’identification personnelles (PII) un peu plus difficiles à atteindre. Mais les gouvernements peuvent aussi être des cibles. Les rappels de cela incluent le vol largement signalé, en 2015, de plus de 5 millions d’empreintes digitales (plus des dizaines de millions d’autres dossiers) de l’Office of Personnel Management (OPM) des États-Unis – le bras du gouvernement fédéral responsable de la gestion de la fonction publique .

Identifiants irremplaçables

La divulgation de données biométriques est particulièrement troublante – comme nous le découvrirons plus en détail prochainement – car ce n’est pas la même chose que de recommencer avec une carte de crédit de remplacement (avec un numéro et un code de sécurité différents). Les victimes ne peuvent pas demander une nouvelle série d’empreintes digitales, une paire d’iris ou un nouveau visage. Et même les âmes courageuses qui risquent la chirurgie plastique en option doivent admettre qu’il s’agit d’une solution drastique à une violation de données – et qui paierait la facture d’un incident touchant des millions de personnes ?

Sécurité biométrique pratique, mais facile à usurper

Au moment de la violation des données de l’OPM, les responsables ont admis que même si la possibilité d’abuser des données d’empreintes digitales était limitée, cela la probabilité pourrait changer au fil du temps à mesure que la technologie évolue. Et – comme si les adversaires n’avaient pas déjà accès à suffisamment de données biométriques – les chercheurs en sécurité ont montré en 2019 que d’autres bases de données étaient également vulnérables. Cette fois-ci, la sonnette d’alarme était destinée à un fournisseur coréen de sécurité Web, dont les services seraient utilisés par des milliers de clients dans le monde, y compris les forces de police. Naturellement, lorsque de telles failles de sécurité sont découvertes, des inquiétudes sont soulevées quant à la capacité des fournisseurs à protéger leurs actifs biométriques. Mais peut-être qu’une question plus sage à poser est de savoir si les données biométriques sont réellement utiles en premier lieu ?

Le célèbre expert en sécurité Bruce Schneier résume cela remonte à 1998 – soulignant que si la biométrie est utile en tant qu’identifiant unique, elle doit être construite sur un chemin fiable du lecteur au vérificateur. Et, notant un écueil courant, si vous comptez sur la biométrie pour posséder les caractéristiques d’une clé – être secrète, aléatoire, avoir la possibilité d’être mise à jour ou réinitialisée – alors vous êtes face à un problème de sécurité majeur. . La biométrie s’effondre rapidement dès que vous commencez à vous y fier en tant que secrets, et pire encore lorsque vous avez besoin que ces secrets soient remplaçables.

Vie en tant que service

Cela ne veut pas dire que les concepteurs doivent renoncer à la commodité des données biométriques. Au lieu de cela, les équipes produit doivent simplement s’assurer que les informations sont appliquées dans le bon contexte. Et aujourd’hui, cela inclut d’explorer les moyens de créer de la « vivacité » dans le processus de capture de données. La société américaine IDR&D développe des méthodes analytiques « pour déterminer si un échantillon biométrique est capturé à partir de un sujet vivant qui est présent au point de capture’.

La société basée à New York vise à empêcher les fraudeurs de réussir avec des attaques dites de présentation (par exemple, lorsqu’un adversaire déverrouille un appareil en montrant une photo pour imiter un vrai visage) et propose des solutions de sécurité pour le visage, les documents et données vocales. Ses développeurs travaillent avec des clients sur une gamme d’applications, notamment en aidant les entreprises de télécommunications à prévenir la fraude des abonnés en incorporant des informations sur la vivacité dans l’intégration des clients.

La biométrie vocale est-elle l’unique besoin des chatbots IA qui changent la donne ?

Les autres entreprises travaillant dans cet espace incluent Authenteq – basée à Berlin, en Allemagne – qui a commencé par fournir une solution pour vérifier les personnalités en ligne et valider les avis Web, et a élargi ses activités pour inclure des cas d’utilisation dans la finance, la gestion immobilière, la mobilité, les places de marché et l’économie du partage. Les bailleurs de fonds incluent le Conseil européen de l’innovation – un programme phare conçu pour soutenir « entrepreneurs visionnaires ». La solution d’Authenteq alimentée par l’IA a été formée pour valider plus de 5 000 documents d’identité différents émis par le gouvernement, un ensemble de données provenant de près de 250 pays et comprenant plus de 80 langues, selon les informations disponibles sur le site Web de l’entreprise.

De manière rafraîchissante, cette nouvelle vague d’entreprises reconnaît ouvertement que les données biométriques ne sont pas un secret et offrent des solutions qui s’appuient sur plusieurs flux d’informations plutôt que sur des stratégies à source unique qui peuvent rapidement s’effondrer. Cela ne veut pas dire que tous les problèmes ont été résolus. Les adversaires augmenteront également leur jeu – tout comme la nature du chat et de la souris de la sécurité – par exemple, en déployant un logiciel de changement de voix pour essayer de tromper les algorithmes biométriques. Les méthodes d’IA contradictoires sont une autre préoccupation potentielle. Mais une bonne conception de la sécurité est une plate-forme solide et rassurante sur laquelle s’appuyer.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici