Données biométriques : menace ou sécurité ? (VSOC 1 2019-2020)
Sommaire
Données biométriques : menace ou sécurité ?
Pablo Maillé
Reconnaissance faciale, empreinte digitale, reconnaissance vocale… Quels risques représentent vraiment les données biométriques ? Comment les prévenir ? Et la biométrie pourrait-elle être utilisée à des fins de sécurité dans un cadre protégé ? À l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco, nous avons tenté de faire le point sur le sujet.
Les données biométriques, enjeu du futur ? Vous l’ignorez peut-être mais elles sont en fait déjà une réalité pour des milliers de collégiens et de lycéens. Comme l’expliquait Libération en septembre, certains établissements scolaires du secondaire remplacent, depuis une dizaine d’années, les traditionnels badges par des dispositifs biométriques pour permettre l’accès à la cantine : « Pour recevoir un plateau, ou actionner le tourniquet qui lui permet d’accéder au self, l’élève doit taper un code personnel et placer sa main dans le lecteur qui reconnaît les contours de sa main préalablement enregistrés. »
A l’origine de l’article, un tweet devenu viral dans lequel une jeune internaute s’étonnait, comme beaucoup, du procédé. Le système biométrique utilisé ? Un produit de l’entreprise Alise, qui équiperait environ 800 établissements scolaires en France à l’heure actuelle. Un dispositif répandu, donc, mais qui charrie aussi son lot d’inquiétudes légitimes. Faut-il se méfier du développement exponentiel des dispositifs biométriques, en France et ailleurs ? Comment les encadrer ? Et si la biométrie pouvait, au contraire, devenir un instrument au service d’une meilleure sécurité ? Des questions qu'on a posé à quelques experts à l’occasion des Assises de la Sécurité, rendez-vous annuel des experts de la cybersécurité qui s’est tenu du 9 au 12 octobre à Monaco.[1]
Facilité d'usage
Premier rappel d’ordre sémantique : pour le Larousse[2], la biométrie désigne « la technique qui permet d'associer à une identité une personne voulant procéder à une action, grâce à la reconnaissance automatique d'une ou de plusieurs caractéristiques physiques et comportementales de cette personne préalablement enregistrées ». En plus des très médiatiques catégories de « reconnaissance faciale » et d’« empreinte digitale », la biométrie recouvre ainsi d’autres zones ou caractéristiques du corps humain que l’on a souvent tendance à oublier : contours de la main, battement du cœur, façon de marcher, reconnaissance vocale, iris d’un œil…
Un mécanisme de reconnaissance faciale mis en place à l'aéroport d'Atlanta. Photo prise en 2018. Crédits : Delta News Hub (CC BY 2.0).
Devenus faciles à utiliser grâce aux progrès de la technologie, les dispositifs biométriques sont d’ailleurs déjà ancrés dans notre quotidien, notamment à travers les capteurs d’empreinte ou de reconnaissance faciale installés sur la plupart des smartphones récents. Les assistants vocaux de Google ou encore Amazon peuvent également être configurés de façon à ce qu’ils ne reconnaissent que la voix de leurs propriétaires.
Une facilité d’usage permise par les applications du quotidien, qui masque toutefois une diversité de finalités possibles. « La biométrie peut servir à trois catégories, explique Matthieu Bourgeois, avocat spécialiste du numérique et président du Cercle de la Donnée[3] (think-tank de réflexion sur la donnée et ses usages). Premièrement, la classification : masculin/féminin, enfant/adulte… Deuxièmement, la description : c’est ce qui existe depuis la nuit des temps lorsqu’on va chez le médecin et que l’on mesure la croissance, la taille ou le poids. Ces deux premières catégories ne posent pas de problème particulier sur un plan juridique. Une troisième catégorie, en revanche, renvoie à l’identification. C’est celle-là qui pose un problème, dans la mesure où elle permet de reconnaître des personnes de manière unique. Si un usurpateur d’identité compromet cette donnée biométrique, il pourra potentiellement l’utiliser à vie, puisque personne ne peut changer son visage, son doigt ou son réseau veineux, sauf à des coûts prohibitifs. C’est LE sujet du moment. »
« Les risques d’une mauvaise implémentation du dispositif peuvent être dramatiques pour l’utilisateur »
« Les risques d’une mauvaise implémentation du dispositif peuvent être dramatiques pour l’utilisateur, appuie Patrick Ménez, responsable de la sécurité des systèmes d'information au sein de l’assurance AXA (et membre du Cercle de la Donnée), au cours de la conférence des Assises de la sécurité sur le sujet. En cas de perte de ces données biométriques, les conséquences pourront être irréparables, suite à un piratage par exemple. » Pour lui, le choix effectué par toute organisation de son « dispositif de collecte » et de ses « partenaires de confiance » s’avère donc crucial.
L’enjeu concerne, d’ailleurs, aussi bien les entreprises privées que les institutions publiques : à Nice et à Marseille, le président LR de la région PACA, Renaud Muselier, souhaite, depuis plusieurs mois, implanter un dispositif de reconnaissance automatique du visage à l’entrée de deux lycées. Un produit développé en collaboration avec l’industriel Cisco, et dont le déploiement est encore suspendu. La CNIL (Commission Nationale Informatique et Libertés) vient justement de rendre un avis cinglant sur le sujet, estimant que le dispositif « ne saurait être légalement mis en œuvre. » L'organisation répète en effet, depuis des années, qu’en cas d’usage purement « facilitateur » de la biométrie, le consentement préalable des personnes est obligatoire. Pour l’autorité administrative, il est crucial de respecter le choix des utilisateurs de vouloir, ou non, se soumettre à la biométrie.
Que dit la loi ?
Côté réglementation, « le traitement de données biométriques aux fins d’identification est interdit en France », rappelle solennellement Matthieu Bourgeois. Fin de la discussion ? Pas vraiment : une dizaine d’exceptions, d’ordre médical notamment, existent. « Parmi ces exceptions, il y en a deux qui se distinguent, expose l’avocat. La première consiste à donner le choix aux salariés, qui doivent pouvoir refuser ou accepter l’usage de la biométrie sans conséquence sur leur activité. C’est le principe du consentement libre et éclairé. » Deuxième exception : « l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail », dont le RGPD a laissé le choix aux Etats-membres de le transposer, ou pas, dans leur droit national. Dans le cas de la France, le texte a bien été adopté, et la CNIL a édité un référentiel à destination des entreprises en janvier 2019 sur le sujet. Avec le nouveau texte, imposer la biométrie sans le consentement des travailleurs est devenu « possible », mais uniquement à des fins d’accès à des « locaux professionnels » ou à des « équipements professionnels » (ordinateurs portables, smartphones, etc.).
« Ce n’est pas parce que la technologie donne la possibilité de faire quelque chose qu’on doit forcément l’utiliser »
Si le droit s’empare donc peu à peu de ces sujets, la biométrie manque encore d’une réflexion éthique plus large, qui soit l’affaire de tous les citoyens, dans les entreprises mais pas seulement. « La biométrie rend possible, au-delà de l’identification des individus, l’identification de caractéristiques spécifiques à l’individu : ADN, rythme cardiaque… L’usage qui peut être fait de ces données personnelles à des fins liberticides - on peut penser au panoptique de Bentham notamment -, militaires ou criminelles, doit nous inciter à la plus grande prudence », affirme Patrick Ménez. Qui poursuit : « On est certes aidés par la réglementation, mais d’une façon générale, une réflexion éthique doit avoir lieu sur l’usage de la biométrie, afin de mettre en perspective les avantages de la solution retenue au regard des risques qu’elle engendre. Ce n’est pas parce que la technologie donne la possibilité de faire quelque chose qu’on doit forcément l’utiliser. Cette dimension éthique ne peut plus être absente du débat, et doit s’intégrer dans la formation des architectes, des RSSI (Responsable de la sécurité des systèmes d'information), des data scientists, etc. »
Une réflexion d’autant plus cruciale que se pose aussi la question de l’efficacité-même des dispositifs biométriques. Dans une tribune publiée dans Le Monde, le juriste Martin Drago et le chercheur Félix Tréguer, s’inquiètent ainsi d’un manque de prise de recul sur le sujet, et de garanties encore « illusoires ». « En dépit de leurs effets politiques délétères, ces coûteuses machines seront incapables d’apporter la sécurité vantée par leurs promoteurs, écrivent-ils. Les milliards d’euros dépensés depuis plus de vingt ans au nom du “solutionnisme technologique” en vogue dans les milieux de la sécurité devraient là encore nous en convaincre : la technologie s’est avérée inopérante pour enrayer les formes de violence qui traversent nos sociétés. »
Exemple parmi d’autres : au Royaume-Uni, une étude réalisée par l’Université d’Essex a montré cette année que le système de reconnaissance faciale londonien (qui a pour ambition de repérer les personnes suspectées de crime dans la foule) présentait un taux d’erreur de 81%. Dans une vidéo devenue virale, la BBC avait même recueilli le témoignage d’un homme ayant reçu une amende pour… avoir tout simplement refusé de participer à un essai de cette même technologie.
Risques de contrefaçon
Car au-delà des organisations, la question des dérives possibles se pose évidemment pour les individus eux-mêmes. « Aujourd’hui, on sait déjà qu’en faisant un simple signe “V” de la main sur une photo Facebook, on peut peut zoomer dessus jusqu’à reconnaître l’empreinte digitale, prévient Coralie Héritier, directrice générale de l’entreprise française de cybersécurité Idnomic. Quelqu’un de malveillant pourrait donc potentiellement exploiter cette empreinte en l’utilisant comme “seconde peau” sur des systèmes peu sécurisés. » Depuis quelques années, certains chercheurs recommandent d’ailleurs d’éviter ce genre de gestes sur les photos postées sur son service.
Autre forme de risque tout aussi inquiétant : celle de la contrefaçon. Les données de reconnaissance faciale ou vocale, par exemple, peuvent aujourd’hui être contrefaites et utilisées à des fins malveillantes. C’est ce que montre, entre autres, le phénomène désormais reconnu des « deepfakes », ces vidéos permettant de faire dire ce que l’on veut (ou presque) à une personne en détournant les mouvements de son visage, grâce à des technologies d’intelligence artificielle et de deep learning. Un problème face auquel les réseaux sociaux, Google et Facebook en tête, préparent d’ores et déjà leurs outils de détection. Et pour cause : d'après une étude récente de Deeptrace, une société néerlandaise spécialisée dans la cybersécurité, la quantité de deepfakes présents sur Internet aurait augmenté de 84% en moins d'un an.
« Il faut assurer une dichotomie entre les données biométriques elles-mêmes et d’autres facteurs d’identification »
Visiblement en pleine expansion, le phénomène apparaît difficile à endiguer à un niveau personnel. « Mettre une photo ou une vidéo de soi sur les réseaux sociaux, c’est déjà rentré dans les mœurs, analyse Coralie Héritier. Et c’est naturel, puisque les gens privilégient l’usage d’un service par rapport à ses risques potentiels. Ici, le risque est d’autant plus grand si une donnée biométrique est associée au nom ou au prénom d’une personne : en cas de fuite sur internet, c’est toute votre identité qui se retrouve exposée. Ce qu’il faut, c’est donc plutôt assurer une dichotomie entre les données biométriques elles-mêmes et d’autres facteurs d’identification de la personne, pour qu’on ne puisse pas faire le lien entre les deux. »
La dirigeante cite notamment l’exemple de l’Estonie[4], où un système de « carte d’identité nationale électronique » contient un double niveau de sécurité, qui passe à la fois par une puce et un certificat électronique ne pouvant être compromis : « Pour faire simple, on couple un facteur d’identification simple - ici, celui de la biométrie - avec un facteur d’identification beaucoup plus fort, qui ne peut pas être détenu par un tiers et ne peut pas être contrefait - ici, un certificat électronique. »
Un capteur d'empreinte digitale mis en place au sein du Fleet and Industrial Supply Center, à San Diego, aux Etats-Unis. Photo prise en 2010. Crédits : U.S. Navy photo by Aaron Schoenfeld (CC).
Source : Pablo Maillé, « Données biométriques : menace ou sécurité ? »,Usbek & Rica, 29/10/2019.
Notes et références
Articles complémentaires
La biométrie remplacera-t-elle la carte bancaire ?.
Votre façon de marcher pourrait bientôt déverrouiller votre smartphone
« Nous sommes au Moyen-Age du numérique »
Test de requêtes sémantiques
Exemple 1 :
Les articles ayant pour thème la culture
- A$AP Yams (InfoNum2 2019-2020)
- Art urbain
- Aurore polaire (InfoNum2 2015-2016)
- Avec "Donda", Kanye West est-il définitivement immunisé contre la cancel culture ? (InfoNum 2021-2022)
- Banque de données internationale du chanvre (Infonum2 2015-2016)
- Basilique Sainte-Sophie de Constantinople (InfoNum2 2015-2016)
- Battlefield 1 (InfoNum2 2016-2017)
- Biographie de Selena Gomez (INO2 2022-2023)
- Blues Pills à la BAM (InfoNum2 2015-2016)
- Booba (rap)
Exemple 2 :
Les articles sorti après 1971 en fonction du pays d'origine
A pour pays d'origine | A pour titre original | A pour langue(s) originale(s) | |
---|---|---|---|
A Journey to Avebury (film, 1971) | Royaume-Uni | A Journey to Avebury | Anglais (langue) |
Andrew Logan Kisses the Glitterati (film, 1971) | Royaume-Uni | Andrew Logan Kisses the Glitterati | Anglais (langue) |
Electric Fairy (film, 1971) | Royaume-Uni | Electric Fairy | Anglais (langue) |
Studio Bankside (film, 1971) | Royaume-Uni | Studio Bankside | Anglais (langue) |
Exemple 3 :
Article écrit par Vincent Schmitt