Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Biométrie « sans traces » : une nouvelle génération de techniques biométriques

janvier 2009 par Sébastien Roman, Associé, ITekia

Les techniques de biométrie actuelles sont de plus en plus répandues mais souffrent de limitations en termes de souplesses et de contraintes imposées par la CNIL. L’apparition de technologies de biométrie « sans traces » permet de s’affranchir de certaines de ces limitations. Leur déploiement doit toutefois être réalisé en s’assurant d’un minimum de précautions.

La biométrie est aujourd’hui répondue dans nombre d’environnements. On en retrouve jusque dans la configuration par défaut de certains PC portables. C’est également un sujet très à la mode comme en témoigne le rapport d’audit de l’Inspection Générale suite à l’affaire Kerviel. Les vendeurs de solutions biométriques mettent souvent en avant la simplicité d’utilisation de ces techniques. Elles permettraient de résoudre tous les problèmes de pertes de mots de passe ou de badges, voire elles empêcheraient que les utilisateurs se partagent des comptes via la transmission de leurs mots de passe.

Cet engouement doit toutefois être tempéré par les nombreuses interrogations que soulève l’utilisation de systèmes biométriques. La CNIL est, par exemple, vigilante sur l’utilisation de techniques d’authentification basées sur des empreintes digitales. Afin de prévenir toute dérive dans l’utilisation des empreintes digitales en entreprise, elle recommande que chaque utilisateur reste en possession du conteneur de ses empreintes.

Dans la pratique cette recommandation se traduit souvent par le stockage de l’empreinte sur le PC de l’utilisateur s’il dispose d’un PC personnel ou sur une carte à puce. Dans les deux cas, on réduit fortement la souplesse que devait apporter la technologie d’authentification biométrique. Il existe beaucoup de rumeurs quand à la fiabilité des dispositifs biométriques, en particulier ceux récupérant les empreintes digitales. Le Web et la presse spécialisée contiennent des explications détaillées sur la fabrication de faux doigts en latex à partir d’une empreinte digitale récupérée sur un support (verre, table, etc.). La mise en place de capteurs qui ne parviendraient pas à différencier un faux doigt d’un vrai, n’augmenterait pas le niveau de sécurité mais introduirait au contraire une faille dans l’authentification.

La biométrie dite « sans traces » apporte aujourd’hui une plus-value indéniable à ces difficultés. Il s’agit d’une technologie basée sur la récupération d’un élément biométrique que l’utilisateur ne dissémine pas dans sa vie de tous les jours. Il peut s’agir, par exemple, de la capture du réseau veineux d’un doigt. En situation normale, il n’est pas envisageable de récupérer l’image du réseau veineux d’un utilisateur sans son consentement ni sans qu’il s’en rende compte. Comme, en outre, la possession de l’image du réseau veineux ne permet pas d’identifier les activités privées de la personne, la CNIL a émis un avis plus favorable à ce type de technologie biométrique 1 : « …, la CNIL a considéré que le réseau veineux, en l’état actuel de la technique, est une biométrie sans trace dont l’enregistrement dans une base de données comporte moins de risques que l’empreinte digitale. »

Le recours à une carte à puce peut aujourd’hui être évité et les minuties (les donnés biométriques) peuvent être stockées de manière centralisée dans une base de données. On revient donc à un mode de gestion des équipements informatiques plus conformes aux pratiques des entreprises. En outre, l’utilisateur peut s’enrôler sur un poste et être automatiquement reconnu sur tous les postes de l’entreprise et cela sans avoir à transporter une carte à puce ou une clé USB.

Cette évolution paraît donc prometteuse. Toutefois, toute médaille ayant son revers, la mise en place d’une solution comme celle-ci peut entraîner des blocages forts. Les utilisateurs ne disposant plus de mots de passe personnels, il leur devient difficile de le partager. C’est une bonne chose en soi en termes de sécurité. Mais, beaucoup d’utilisateurs ont pris l’habitude de partager des comptes soit pour pallier à une absence temporaire soit pour accéder à des applications partagées voire à des postes en libre service. Ils pourraient alors militer pour la suppression du dispositif biométrique et le retour à la bonne vielle technique des mots de passe.

De plus, les technologies de biométrie « sans traces » restent chères par rapport à l’entrée de gamme des technologies biométriques par empreinte digitale. Il n’est donc guère envisageable de les déployer pour l’ensemble des utilisateurs de l’entreprise mais plutôt de les réserver à des catégories d’utilisateurs ayant des besoins spécifiques en termes d’authentification.

Enfin, et ce n’est pas là le moindre des paradoxes, la suppression de la carte à puce, si elle apporte de la souplesse, ne permet plus d’avoir accès à certains de ses avantages comme le stockage de certificats d’utilisateurs permettant la signature ou le chiffrement d’informations.

1 – CNIL – Biométrie : de nouvelles technologies expertisées - http://www.cnil.fr/index.php?id=2380


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants