La biométrie est de plus en plus présente dans nos vies, que ce soit pour déverrouiller son téléphone, s’authentifier sur les applications ou bien désormais pour réaliser un paiement. Cette généralisation s’explique par la sécurité induite par ce procédé de vérification, plus difficile à pirater qu’un mot de passe, ainsi que par sa commodité. En réalité, la sécurité apportée par la biométrie apparaît relative dans la mesure où un nombre accru de pirates, aux techniques plus pointues, réussissent aujourd’hui à contourner la protection apportée par la biométrie À l’heure où les cyber-attaques deviennent monnaie courante, est-ce raisonnable de mettre en jeu ses données biométriques par commodité ? Richard Suarez, Consultant senior chez Square Management, nous livre son analyse.
Par définition, la biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Elles ont, pour la plupart, la particularité d’être uniques et permanentes. Le principal atout de la biométrie est donc de pouvoir identifier une personne de manière fiable. Le deuxième atout qui peut lui être attribué est la fluidité apportée lors d’un processus d’authentification. Pour un commerçant, un paiement sans friction et sécurisé est un levier d’augmentation du chiffre d’affaires.
De par ces deux qualités, la biométrie a donc tout pour s’imposer dans le monde du paiement mais si nous utilisons aujourd’hui la biométrie pour les paiements électroniques, c’est principalement grâce à l’impulsion de la directive européenne DSP2 applicable depuis fin 2019, qui a catalysé la concurrence dans les paiements d’une part, mais surtout imposée l’utilisation de l’authentification forte à tous les prestataires de service de paiement. Cette dernière est désormais la condition sine qua non pour que le client accède à son compte de paiement ou effectue des paiements en ligne. L’authentification forte oblige l’utilisateur à prouver son identité en validant au moins deux des trois conditions suivantes : un mot de passe ou un code que seul l’utilisateur connaît, un appareil tel qu’un téléphone mobile ou carte à puce que seul l’utilisateur possède et finalement une caractéristique personnelle du client : c’est pour remplir cette troisième condition que la biométrie s’est fortement développée. Ce développement a été rendu possible via l’expansion mondiale de l’utilisation des smartphones avec 3 mobiles sur 4 écoulés depuis 2020 qui arborent des capteurs biométriques.
A lire aussi : Une cybersécurité plus collective, est-ce possible ?
Les acteurs historiques des paiements ainsi que les nouveaux acteurs vont encore plus loin, et innovent en proposant des transactions toujours plus fluides via la biométrie. C’est le cas de Mastercard qui permettra bientôt aux consommateurs de payer simplement et uniquement avec la reconnaissance faciale. Cela représenterait le premier cadre technologique du genre et contribuerait à l’établissement de normes pour de nouvelles façons de payer en magasin puisque celui-ci se passerait de tout autre élément autre que la biométrie. Quant à Amazon, le géant expérimente dans ses magasins Whole Foods la mise en place d’un nouveau dispositif permettant de payer d’un simple geste de la main. Pour fonctionner, un enregistrement de la paume sur une borne présente en magasin sera nécessaire. Le géant se veut rassurant sur la sécurisation des informations biométriques, en assurant qu’elles seront chiffrées et stockées sur leur cloud. Si un utilisateur souhaite un jour ne plus utiliser leur service, il pourra supprimer ses données à tout moment.
La question qui se pose avec la démultiplication des acteurs qui récoltent nos données biométriques est celle de la sécurité face à des vagues incessantes de cyberattaques. En 2020, le chercheur en cybersécurité Bob Diachenko a découvert qu’une base de données Amazon Web Services avait été accessible sans la moindre sécurité pendant plusieurs jours, laissant vulnérables les informations de près de 8 millions d’utilisateurs européens d’Amazon UK, d’eBay et de Shopify. Si des données biométriques venaient à être volées, l’intégrité de l’authentification de l’individu pourrait être compromise à vie. En effet, il ne s’agit pas d’un mot de passe ou bien d’un RIB, aisément modifiables, mais bel et bien d’un caractère personnel inaltérable qui caractérise l’individu.
Logiquement, pour des raisons de sécurité, l’information biométrique n’est pas stockée sous format brut mais cryptée. Elle est ainsi convertie en un modèle mathématique appelé modèle biométrique, rendant extrêmement difficile la possibilité de reproduire l’élément biométrique original. Cependant difficile n’est pas impossible. Et c’est là que la démultiplication des acteurs collectant les données biométriques, disposant de niveaux de sécurité disparates, pose problème : un seul maillon faible et l’intégrité de l’information biométrique est compromise. Il est donc recommandé de rester vigilant et de ne partager ses données biométriques qu’avec des entités en lesquelles nous avons pleinement confiance. Et pour limiter davantage le risque, il est préférable de préférer l’utilisation des mots de passe forts, changés régulièrement, afin que la situation…ne vous échappe pas des doigts !