Sécurité

Identification biométrique : est-ce vraiment sûr de nous authentifier ?

À l’époque, la fonctionnalité de déverrouillage de notre mobile avec l’empreinte digitale était extrêmement innovante, notamment en raison de sa praticité. No solamente utilizamos la huella para el desbloqueo de dispositivos sino también para desbloquear aplicaciones, especialmente las aplicaciones de servicios financieros, bancarios y de pagos de servicios, se valen de esta funcionalidad para aumentar la seguridad (y la facilidad para autenticarnos) de las transacciones que se réalisent. Cependant, sont-ils vraiment aussi sûrs qu’ils le promettent ?

Faisons d’abord un peu d’histoire. Il faut remonter au début des années 2000. Bien que les premiers mobiles aient été lancés dès le siècle dernier, ils étaient plus que jamais une nouveauté à cette époque. Il est valable de dire que les PDA (Personal Digital Assistant) sont les précurseurs des smartphones, plus connus sous le nom de smartphones . L’âge d’or des PDA était précisément dans les années 2000. Le HP iPAQ 5455  est connu pour être le premier mobile doté de la fonctionnalité de déverrouillage des empreintes digitales via le capteur biométrique. En outre, c’était le premier appareil de type ordinateur portable (Pocket PC) à disposer d’une connectivité Bluetooth et Wi-Fi. Cependant, ce n’est que l’année de lancement de l’iPhone 5S que le déverrouillage par empreinte digitale est devenu très populaire.

Forces et faiblesses de l’authentification biométrique

L’authentification par biométrie nous permet de nous authentifier auprès de systèmes ou d’applications avec « quelque chose que nous sommes », c’est-à-dire une partie de notre corps. Par exemple, la biométrie peut être nos yeux, l’iris de l’œil, les empreintes digitales, la voix, les traits du visage et même la signature manuscrite et la géométrie de la main. Au fil du temps, le matériel nécessaire à la biométrie est moins cher, mais il reste assez cher, il faut des méthodes biométriques bon marché et fiables. Une authentification biométrique fiable doit répondre à certaines caractéristiques :

  • Universel : tout le monde peut l’utiliser.
  • Différentiateur : 100 % certitude que nous sommes qui nous disons être, qu’il n’y a pas de faux positifs ou de faux négatifs.
  • Permanent : que les traits qui sont mesurés ne changent pas avec le temps, par exemple, notre empreinte digitale peut changer avec le temps si notre travail consiste en des problèmes de construction.
  • Accessible : facile à collecter les données requises, que le logiciel biométrique n’a pas à être trop «formé».
  • Erreurs biométriques : Taux de fraude vs taux d’insultes, cet aspect est essentiel pour avoir un bon système biométrique. Le taux de fraude correspond aux faux positifs, c’est-à-dire qu’une personne se faisant passer pour nous est authentifiée dans le système et « passe » automatiquement comme légitime. Le taux d’insultes est à l’opposé, nous essayons de nous authentifier dans le système, et cela nous dit que nous ne sommes pas ce que nous prétendons être.

L’une des combinaisons les plus sûres consiste à entrer dans un système en combinant « quelque chose que nous sommes », « quelque chose que nous savons » et « quelque chose que nous avons ». Le «quelque chose que nous sommes» signifie utiliser la biométrie, le «quelque chose que nous savons» sont les mots de passe typiques que nous utilisons dans la plupart des services, et le «quelque chose que nous avons» peut être des cartes d’identité ou notre smartphone pour s’authentifier avec un code TOTP. Si nous n’utilisons qu’une seule des méthodes, le système n’est pas complètement sécurisé, il est toujours recommandé d’avoir au moins une combinaison de deux (authentification à deux facteurs).

Comment fonctionne le déverrouillage du mobile avec l’empreinte digitale

Il faut toujours garder à l’esprit que cela fait partie des cas d’utilisation des capteurs biométriques. Fondamentalement, il en existe trois types : optique, capacitif et ultrasonore. Si nous citons chacun d’eux dans l’ordre, nous remarquerons qu’ils s’améliorent progressivement en termes de sécurité, ayant un taux de fraude plus faible et un taux d’insultes moindre, de cette façon, nous n’aurons ni faux positifs ni faux négatifs.

Capteurs optiques

Ce type de capteur parvient à générer une image de notre empreinte digitale grâce à une surface en verre éclairée par une diode LED. À travers ledit verre éclairé, et dans la limite de ses possibilités, il génère cette image de notre empreinte digitale qui nous permet de verrouiller et de déverrouiller à la fois les appareils et les applications.

Ce qui ne favorise pas cette technique, déjà dépassée et connue pour être dangereuse, c’est qu’elle est extrêmement sensible à l’humidité, à la saleté et à tout détail qui pourrait rendre difficile la génération de l’empreinte digitale. En outre, cela entrave le processus de verrouillage et de déverrouillage. Un autre facteur défavorable est qu’il ne peut pas être utilisé correctement par les personnes âgées. La raison en est que la peau n’est pas assez élastique, cela permet même de donner une fausse reconnaissance lors du blocage et/ou du déverrouillage.

L’une des raisons pour lesquelles ce type de capteur n’est pas sûr est que le capteur d’empreintes digitales est facile à tromper. Par exemple, avec des photographies de l’empreinte. N’oubliez pas que ce capteur ne crée qu’une image de notre empreinte digitale, il est donc relativement facile de la violer.

Capteurs capacitifs

Ils utilisent plusieurs condensateurs qui stockent l’énergie en fonction de la forme de l’empreinte. N’oubliez pas qu’aucune empreinte n’est identique à l’autre, du tout. A quoi servent ces condensateurs ? Ils sont chargés de former une empreinte digitale avec le plus haut niveau de détail possible. Ce type de capteur est populaire sur plusieurs smartphones. J’utilise notamment un smartphone de marque Motorola qui possède ce type de capteur. Je peux enregistrer une ou plusieurs empreintes digitales pour verrouiller et déverrouiller le mobile. Lors de l’enregistrement, des instructions apparaissent à l’écran qui me disent de placer mon doigt jusqu’à ce que l’image représentative de l’empreinte digitale soit complètement colorée.

Qu’est-ce que ça veut dire? J’ai mis mon doigt une fois, un groupe de condensateurs parvient à collecter et stocker l’énergie de charge pour former l’empreinte digitale. Je remets mon doigt, un autre groupe de condensateurs fait de même. Et ainsi de suite, jusqu’à ce que le processus de création d’empreintes digitales soit terminé. Il y a beaucoup, beaucoup de condensateurs qui démarrent lorsque nous générons nos empreintes.

Heureusement, le capteur capacitif est assez fiable et sûr , cependant, cela peut représenter un surcoût non négligeable. À l’époque, les smartphones lancés sur le marché avec cette fonctionnalité étaient présentés à un coût bien plus élevé que ceux qui n’en disposaient pas. Bien sûr, il y a quelques années, cela n’était pas disponible sur trop d’appareils. Aujourd’hui, il est pratiquement obligatoire que notre smartphone dispose d’un capteur d’empreintes digitales.

Capteurs optiques

Ce sont déjà des capteurs plus modernes avec une couche de sécurité supplémentaire. Ils se composent d’un émetteur et d’un récepteur. Voyons ce que chacun fait :

  • Émetteur : envoie des ultrasons à l’extérieur, c’est-à-dire vers le capteur où nous placerons notre doigt pour créer l’empreinte digitale.
  • Récepteur : enregistre les ultrasons pour créer une empreinte digitale tridimensionnelle, qui émule pratiquement la propre empreinte digitale de chacun.

Une fois que l’empreinte digitale est déjà créée, elle passe par un processus de cryptage. Ce qui conduit à la génération d’une clé qui sécurise l’empreinte digitale et qui participe au processus d’authentification. Ce dernier fait référence au moment où l’utilisateur souhaite déverrouiller son mobile.

On peut dire que l’un des avantages de ce type de capteur est qu’il est possible d’authentifier notre empreinte digitale même s’il y a une trace minime de crème ou de tout autre type de saleté. Cependant, nous devons toujours garder à l’esprit que l’hygiène est obligatoire en ces temps. Il est nécessaire de garder nos mains et nos appareils très propres afin d’éviter les maladies potentielles.

Capteurs d’empreintes digitales mobiles : toujours avec plusieurs vulnérabilités

Dans un premier temps avec les premiers smartphones équipés d’un lecteur d’empreintes digitales, ils ont constaté de sérieux problèmes de sécurité qui permettront de se soustraire à ce type d’authentification rapidement et facilement. Dans tout système biométrique, une sécurité accrue signifie un taux d’insultes plus élevé, et une sécurité décroissante signifie un taux de fraude plus élevé. Les fabricants doivent travailler dur et avoir une sécurité optimale, afin que le taux de fraude et d’insulte soit minimal.

Il y a eu des smartphones avec un capteur d’empreintes digitales à ultrasons, dont l’emplacement sous l’écran présentait des problèmes de sécurité car le taux de fraude était trop élevé. À tel point que certaines banques au Royaume-Uni ont désactivé l’authentification à leurs services bancaires si un certain modèle de smartphone est utilisé. Cependant, l’autre banque a directement désactivé la possibilité de s’authentifier avec l’empreinte digitale. Cette vulnérabilité est devenue évidente lorsqu’il a été démontré qu’il était possible de contourner les mécanismes de sécurité en plaçant simplement un protecteur d’écran puis en plaçant le doigt sur le lecteur. Le résultat est que l’appareil est déverrouillé, même si notre empreinte digitale n’est pas enregistrée avec le mobile.

Les mises à jour logicielles ultérieures ont résolu le problème. Cependant, il ne fait aucun doute que se fier à 100 % au verrouillage/déverrouillage par empreinte digitale n’est pas recommandé. Que reste-t-il à faire dans ces cas ? Complétez la sécurité de nos smartphones et applications avec des méthodes d’authentification complémentaires telles que l’ authentification multifacteur . Si vous utilisez des applications telles que la banque mobile, si elle prend en charge l’authentification multifacteur, vous devez la configurer dès que possible.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba