La biométrie regroupe aujourd'hui les techniques
d'identification d'une personne par mesure du corps humain, qu'il s'agisse de
l'empreinte rétinienne, digitale, palmaire ou encore des
caractéristiques ADN (Acide dexorubonucleique) . On est ainsi
tentés de croire qu'on est en présence d'un outil imparable pour
authentifier d'une manière certaine (identification d'un
correspondant.
La numérisation du visage et des empreintes digitales des
étrangers sont les éléments choisis pour être
intégrés dans les visas et titres de séjour
européens d'ici 2005. Le système d'information Schengen
conservera toutes ces informations destinées aux contrôles
effectués par les fonctionnaires nationaux habilités.
Selon Philippe Wolf, responsable su centre de formation de la
DCSSI, qui s'exprime dans la revue du CNRS (Centre National pour la Recherche
Scientifique) consacrée à la sécurité informatique,
cette technique de reconnaissance et de sécurisation est à la
mode mais elle crée un faux sentiment de sécurité. En
effet, les mécanismes en cause n'ont pas encore fait l'objet
d'évaluations suffisantes et surtout, de nombreuses méthodes,
faciles à mettre en oeuvre, permettent d'usurper l'identité d'une
personne. Des 2002, un chercheur japonais avait réussi à
créer de vraies-fausses empreintes digitales leurrant la majorité
des systèmes de reconnaissance testes. La présence sur internet
de nombreux sites avec des photographies identifiées voire d'un fichier
normalise des points caractéristiques d'empreinte biométrique
sont même de permettre l'usurpation d'une identité. On laisse ses
empreintes un peu partout et les récupérer est un jeu d'enfant,
rien de plus facile alors que de cloner l'empreinte. De la même on peut
dupliquer un segment ADN a partir d'un cheveu ou d'un peu de salive.
Sans s'attaquer à la reconnaissance biométrique,
il est aisé aujourd'hui de détourner les éléments
d'une base de données stockant les identifiants biométriques par
piratage et donc de se les approprier pour usurper une identité. Les
systèmes de reconnaissance sont également vulnérables et
peuvent être désactivés par « déni de service
», les rendant inopérants. II est également toujours
possible de pirater un compte déjà ouvert après
authentification licite, par un cheval de Troie ou par écoute du
réseau.
La difficulté majeure réside dans la non
possibilité de répudiation de ses propres données
biométriques. Lors d'une compromission d'un mot de passe ou d'un
certificat, on peut facilement les
72 D.MARTIN, contribution à la lettre «
Sentinel Analyses et Solutions » dans
www.infosentinel@
club-internet.fr
71
révoquer. Comment faire pour changer ses propres
empreintes digitales ?
C'est qu'en fait, la biométrie nous fait confondre deux
notions identification et
authentification.
Philippe Wolf explique : « s'identifier, c'est communiquer
son identité, s'authentifier, c'est apporter la preuve de son
identité, ce qui se traduit généralement au travers, du
couple identifiant (login) et mot de passe. La biométrie a tendance
à confondre login et mot de passe ».
Ainsi, la biométrie doit être remise à sa
juste place et il ne faut pas en attendre de miracle. Les capteurs
biométriques sont tout à fait adaptés pour faciliter
l'identification d'une personne, ils peuvent remplacer l'équivalent du
login. En raison des possibilités d'usurpation, ils ne peuvent supprimer
l'authentification qui constitue Line deuxième étape
indispensable et indépendante. Ils ne remplaceront pas les mots de
passe.
La sécurité est un concept global qui
réside dans la superposition de barrières différentes et
multiples permettant de déclencher une alerte en cas de franchissement
d'un seul élément. La biométrie constitue une de ces
barrières mail ne peut régler à elle seule tous les
problèmes.
