LUXEMBOURG
MATTHIEU FARCOT

Difficile de passer à côté de l’annonce d’un nouvel iPhone, surtout quand celui-ci embarque son lot de nouvelles technologies. Adieu authentification par lecture de l’empreinte digitale: le futur est sans contact et passe par une analyse tridimensionnelle du visage pour débloquer son terminal ou procéder à un achat sans contact. Un regard suffit - c’est beau la technologie. Ce n’est pas une nouveauté en soi. Samsung offre depuis son Galaxy S8 des fonctionnalités similaires, basées sur des technologies différentes. La sécurité est aussi la priorité de pas mal de chercheurs, organisations et communautés dédiées (dont SECURITYMADEIN.LU). En Allemagne, le Chaos Computer Club s’est intéressé de près au système de reconnaissance d’iris embarqué sur le Samsung. Le résultat est impressionnant: Le téléphone se déverrouille. Matthieu Farcot de SECURITYMADEIN.LU explique les risques et défis d’un tel système.
«Il est juste que lors de l’apparition des premiers smartphones avec un système de lecture d’empreintes (comme le TouchID d’Apple sur ses iPhones), nombreux furent ceux qui soulevèrent les risques potentiels, à tort ou à raison (sachant par exemple qu’aux Etats-Unis un policier ne peut pas vous forcer à divulguer votre mot de passe mais il peut vous forcer à poser votre pouce sur votre téléphone pour le déverrouiller).
Car c’est un fait - toutes les technologies de sécurisation (surtout si elles sont simples d’usage) sont potentiellement faillibles à un moment. Un code à chiffre, ça s’observe par un regard indiscret lorsqu’il est tapé. Plus largement, un équipement mobile ça se vole. Comme une faille de sécurité peut être exploitée.

Un problème insidieux

Mais le problème est beaucoup plus insidieux. Il se positionne en terme d’habitude sociale et de norme comportementale. En faisant de la lecture du visage une option viable, le grand public est éduqué. La biométrie devient la règle, et non pas l’exception. Mais les conséquences peuvent être innombrables.
En juin 2015, le bureau de la gestion du personnel (Office of Personnel Management – OPM) des Etats Unis d’Amérique annonça avoir eu une fuite de données conséquente. Parmi toutes ces données 5,5 millions de données biométriques sous la forme d’empreintes digitales, incluant celles d’agents secrets protégés. Plus récemment, le scandale de la fuite de données d’Equifax en Amérique du Nord pousse à réfléchir aux conséquence de fuites de données. Cette société spécialisée dans l’analyse de solvabilité pour l’obtention de crédits à la consommation a diffusé dans la nature 146 millions de profils personnels allant des numéros de sécurité sociale aux références fiscales en passant par les noms, adresses, dates de naissances et numéros de permis de conduire – qui ont un point commun: la plupart de ces données ne sont pas révocables. Vous ne changerez pas de numéro de sécurité sociale.

Des crypto-apéros

Les informations biométriques sont utilisées dans le cas des téléphones à la fois comme identifiant et mot de passe. Une situation d’autant plus préoccupante qu’une donnée biométrique n’est pas elle aussi révocable. Un visage est un mot de passe impossible à changer, et il est de plus visible par tous. Aujourd’hui, lorsque des données fuient, on limite la casse en changeant les mots de passe. Cette option ne serait plus envisageable.
Ce sujet sera aussi au programme au prochain crypto-apéro gratuit organisé aux Rotondes. Le cycle commencera le 4 octobre 2017 avec pour vocation de coller à l’actualité de la sécurité du citoyen connecté.
Alors oui, les données biométriques de l’iPhone X sont stockées localement. Pour autant ce choix technique peut être revu et n’est pas la norme du secteur dans sa globalité. Alors dans ces conditions, un conseil: gardez votre visage pour vous.»