Biométrie : la fin du badge et du mot de passe ?

Si la biométrie répond à une préoccupation très ancienne de prouver son identité, de manière irréfutable et sans aucun support autre que soi-même, le coût important des technologies biométriques a longtemps freiné leur développement. Depuis le XXI^e siècle, on constate cependant un développement sans précédent de nombreux produits d’authentification et d’identification biométrique, dû à l’augmentation du besoin de sécurité à la fois dans le domaine privé, professionnel et public. A travers cet article, nous allons tenter de déterminer si ces « nouvelles technologies » représentent une réelle alternative aux traditionnels badges et mots de passe.

Il était une fois la biométrie

Le procédé de reconnaissance anthropométrique le plus ancien, bien connu du grand public, est l’analyse des empreintes digitales, ce qui explique aujourd’hui son importance parmi les nombreux procédés d’identification biométrique.

En effet, les premiers prototypes de terminaux d’analyse d’empreintes digitales arrivent dans le milieu des années 1970, débouchant sur l’arrivée de produits commerciaux au début des années 1980. Leurs usages sont dans un premier temps limité au contrôle d’accès et/ou de gestion du temps pour des organisations gouvernementales.

Par la suite, l’usage du téléphone mobile s’est progressivement démocratisé, notamment vers la fin des années 1990. De plus, depuis les années 2010, la majorité des téléphones mobiles disposent de nombreuses fonctions supplémentaires, rendues possibles grâce à l’intégration d’un véritable système d’exploitation dans le téléphone (smartphones).

Ainsi, les smartphones ont progressivement intégré des « capteurs d’empreintes digitales » à des boutons spécifiques pour déverrouiller l’appareil ou encore autoriser certaines actions (achat d’application ou identification, par exemple). Par conséquent, l’authentification par empreintes digitales sur mobile est devenue la technologie biométrique la plus couramment utilisée.

Le marché mondial de la biométrie

Pour illustrer ce phénomène, on peut se baser sur un extrait du rapport “The Future of Biometrics – Mainstream, Ubiquitous Biometric Authentication by 2020″ réalisé par Acuity. On voit ainsi que les empreintes digitales sont la principale technologie biométrique en termes de part de marché et les applications d’identification/authentification représentent près de 50% des usages.

Par ailleurs, si la part de marché de l’accès physique n’a que très peu évoluée entre 2009 et 2017, celles de l’accès logique et du monitoring sont en forte croissance. Ceci est en grande partie attribuable au développement des nouvelles applications biométriques.

Particularités d’identification / authentification d’un système biométrique

Pour identifier ou authentifier une personne au sein d’une population donnée, la donnée biométrique utilisée doit être unique à cette personne (empreinte digitale, iris de l’œil, etc.), notamment au sein de très larges populations. Ainsi, certaines techniques biométriques fortement liées au patrimoine génétique telles que la forme de la main ou du visage, devront être renforcées à l’aide d’au moins un autre facteur (code personnel (PIN), etc.) afin de pouvoir distinguer de vrais jumeaux par exemple.

Par ailleurs, contrairement à une identification/authentification classique, un système biométrique n’utilise pas toute l’information recueillie dans l’image ou le signal capté. En fait, uniquement certaines caractéristiques spécifiques sont extraites et un calcul est effectué pour obtenir un résultat à partir des données sélectionnées. Cela a pour conséquence de réduire la quantité d’information mais aussi la capacité du système à reconnaitre l’unicité des données. La robustesse d’un système biométrique dépend donc aussi des critères retenus et de la méthode de modélisation (ou de calcul) utilisée.

Ainsi, pour juger de la performance d’un système biométrique il est possible d’utiliser trois paramètres :

Le taux de fausse acceptation, qui est la probabilité de confusion d’identité (FAR)
Le taux de faux rejet, qui est la probabilité de ne pas reconnaitre une identité lors d’un essai (FRR)
Le taux d’échec à l’enrôlement, qui traduit la possibilité d’absence d’une caractéristique biométrique pour un individu dans une population (FER)

Pourquoi utiliser la biométrie ?

Aujourd’hui les principales raisons motivant l’usage de la biométrie sont :

Une identification/authentification forte ou à deux facteurs (association à un code PIN, un mot de passe, etc.)
Le confort, en remplacement par exemple du mot de passe pour l’accès au poste de travail. Fini les mots de passe sur les post-it ou encore les appels au helpdesk pour perte de mot de passe.
La suppression des risques, en effet la biométrie supprime le risque de copie, de vol, d’oubli et de perte (voir tableau 1).

(1) Le risque de copie des données biométriques est considéré comme faible à condition d’utiliser un matériel et une technologie éprouvés.

Ainsi, la biométrie pourrait faire économiser aux entreprises (à moyen ou long terme) beaucoup de temps et d’argent !

Un développement sans freins ? Pas tout à fait…

Si le coût élevé des technologies biométriques a longtemps freiné leur développement, aujourd’hui leur coût ne cesse de décroître et les organisations publiques et privées commencent à s’équiper. Cependant, les retours d’expériences sont encore relativement peu nombreux.

Par ailleurs, des freins psychologiques et réglementaires existent encore à l’heure actuelle notamment dans un souci de protection de la vie privée ou encore de danger potentiel pour la santé.

Ainsi, le règlement général sur la protection des données[1] (RGPD) impose la démonstration d’un but légitime aux entreprises, via une autorisation de la CNIL en France, pour utiliser et stocker des données biométriques. En effet, le 30 juin 2016, la CNIL a adopté deux nouvelles autorisations uniques qui encadrent l’ensemble des dispositifs biométriques, quel que soit le type de biométrie utilisé :

Les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit[2] biométrique (AU-052)
Les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).

Dans ce cadre, les dispositifs garantissant la maîtrise des personnes sur leur gabarit doivent être privilégiés. Dans le cas contraire, la conservation des gabarits en base doit être justifiée et assortie de garanties fortes.

A ceci s’ajoute un cadre juridique disparate suivant les pays, voire inexistant, en dehors de l’Union Européenne.

[1] Le règlement général sur la protection des données (RGPD, en anglais : « General Data Protection Regulation » : GDPR) est le texte de référence européen en matière de protection des données à caractère personnel.

[2] Un « gabarit » biométrique désigne les mesures qui sont mémorisées lors de l’enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris…), biologiques (ADN, urine, sang…) ou comportementales (démarche, dynamique de tracé de signature…) de la personne concernée.

Conclusion

On peut constater que la biométrie est une véritable alternative aux badges et aux mots de passe. Cependant, les premiers retours d’expériences démontrent que pour qu’un système biométrique soit robuste et respectueux de la vie privée, il est préférable de les combiner avec d’autres technologies connues (badge, PIN ou mot de passe) et parfois d’associer simultanément plusieurs méthodes d’authentification biométrique entre elles.

En outre, la biométrie présente un inconvénient majeur car aucune des analyses effectuées ne se révèle totalement exacte. En effet, l’Homme étant un organisme vivant, il peut subir des modifications plus ou moins importantes. Ainsi, les systèmes de comparaison de données biométriques reposent sur un système de marge d’erreur (taux de faux rejets et taux de fausses acceptations).

En tant que cabinet de conseil et d’expertise technologique, spécialiste de la sécurité du système d’information et en IAM, SYNETIS se propose de vous accompagner dans votre démarche de dématérialisation de l’accès physique. Ainsi, forts de leur expérience dans ce domaine, nos experts passionnés et constamment formés vous permettront d’avoir une vision claire de l’état de l’art du marché sur les nouveaux types d’authentification et vous proposeront une liste de scénarios possibles conformes aux réglementations en vigueur.