Le verrouillage à empreinte digitale (fonctionnalité Touch ID sur iPhone) a promis d'être notre salut. Il est facile à utiliser et dépend des caractéristiques propres à chacun d'entre nous. Nous sommes aussi toujours attachés à nos doigts, de sorte qu'ils ne peuvent pas être volés ou oubliés. Et la complexité du dactylogramme rend nos empreintes presque impossibles à déchiffrer.
La réalité, cependant, est assez différente. Parmi les diverses raisons de ne pas utiliser le verrouillage à empreinte digitale, trois me semblent sortir du lot :
1) Les gens peuvent pirater vos empreintes digitales (et les scanner)
Nous laissons des empreintes digitales partout où nous allons : sur les poignées de porte, sur les rampes, sur les tasses et les verres, sur les claviers, sur les écrans, sur les photos, etc. Il existe donc beaucoup d'endroits où les pirates peuvent récolter ce mot de passe soi-disant impossible à pirater.
Le Chaos Computer Club l'a démontré dès 2008. Pour protester contre la proposition d'un politicien allemand de mettre en œuvre la biométrie, le club a utilisé une photographie pour recréer ses empreintes digitales. En 2013, il a utilisé le latex pour créer un faux doigt afin de déverrouiller un appareil. Plus récemment, l'approche a été répétée avec de la pâte à modeler et de la colle d'Elmer, soulignant à quel point il devient facile de recréer des empreintes physiques.
Pire encore, les empreintes digitales peuvent également être piratées virtuellement. Lors de la convention Black Hat 2015 à Las Vegas, quelques experts en sécurité ont fait la démonstration d'un certain nombre de piratages de verrouillage des empreintes digitales. Ils ont créé une application qui imite l'écran de déverrouillage d'un téléphone ; lorsqu'elle est utilisée par la victime, elle peut approuver une transaction financière. Ils ont préchargé des empreintes digitales sur le téléphone, permettant d'en avoir l'accès. Ils ont montré qu'il était relativement facile de reconstruire une empreinte digitale à partir du fichier utilisé pour la stocker. Ils ont également piraté le scanner lui-même, ce qui leur a permis de saisir des images d'empreintes digitales chaque fois qu'il était utilisé.
2) Vous pouvez changer votre mot de passe mais pas vos empreintes digitales
C'est tellement évident qu'on néglige souvent ce détail. Lorsque mon compte e-mail a été piraté il y a plusieurs années, j'ai changé le mot de passe et le problème a disparu. Mais si quelqu'un avait piraté mon empreinte digitale, il l'aurait toujours.
Pensez à tout ce que ce cas de figure peut induire. Les empreintes digitales durent à vie. Une fois que les personnes mal intentionnées les détiennent, elles peuvent continuer à les utiliser ou à les vendre à d'autres. Cette situation est particulièrement troublante si l'on considère le nombre d'organismes gouvernementaux qui recueillent les empreintes digitales et le nombre croissant d'entreprises privées qui les utilisent pour l'authentification.
Les empreintes digitales durent à vie. Une fois que les personnes mal intentionnées les détiennent, elles peuvent continuer à les utiliser ou à les vendre à d'autres.
3) La police n'a pas besoin de votre permission pour déverrouiller un téléphone avec des données biométriques
Il est également important de se rappeler que nous ne contrôlons pas toujours nos propres mains. Tout ce que quelqu'un a à faire pour vous faire déverrouiller votre téléphone est d'appuyer vos doigts sur l'écran.
Cette procédure a été autorisée aux États-Unis, où un juge a accordé une ordonnance de perquisition à des policiers de Glendale, en Californie. La raison est qu'une empreinte digitale est une « preuve physique », semblable à une clé physique, qui peut être recueillie comme preuve ou exigée par une ordonnance du tribunal. Par ailleurs, les empreintes digitales sont facilement accessibles parce qu'elles sont couramment recueillies dans le cadre des procédures policières et juridiques de base. Et parce que les empreintes digitales sont physiques et non pas des « témoignages », elles ne sont pas protégées par la clause du cinquième amendement sur l'auto-incrimination.
Ce n'est pas le cas des mots de passe et des codes PIN. Forcer une personne à vous montrer quelque chose « dans son esprit » est un témoignage et la coercition est donc interdite. Les grandes entreprises de technologie (y compris AVG) présentent un argument similaire au sujet de l'information sur les entreprises. Luttant contre le FBI pour un problème encore loin d'être résolu sur l'accès au téléphone utilisé par le terroriste de San Bernardino, Apple a fait valoir l'argument juridique que le FBI essayait de forcer Apple à parler, et ce contre ses propres intérêts, ce qui ne devrait être interdit. Le FBI a abandonné l'affaire après avoir payé un tiers pour pirater le téléphone. Si la location de services de piratage s'est avérée efficace, elle s'est également révélée assez coûteuse et, pour l'instant, il est peu probable que la plupart des cas justifient un tel investissement.
Néanmoins, il est possible que les organismes d'application de la loi forcent ou contraignent les fabricants à inclure des portes dérobées aux appareils de collecte d'empreintes digitales au moyen d'un verrouillage à empreinte digitale.
Dernière remarque concernant les empreintes digitales et la sécurité
Bien sûr, je ne m'attends pas à ce que les utilisateurs renoncent à utiliser des verrouillages à empreinte digitale. C'est tout simplement hyper pratique. À tort ou à raison, cependant, le pouvoir du gouvernement de recueillir et de stocker des informations nous concernant numériquement est en plein essor. Le système intégré automatisé d'identification dactyloscopique du FBI comprend des dizaines de millions d'empreintes non liées à des activités criminelles, recueillies auprès du personnel militaire, des employés du gouvernement et d'autres innocents. Et plus généralement, les dossiers gouvernementaux ne sont pas toujours sécurisés. La fuite des données de 2015 au bureau de gestion des données personnelles des États-Unis comprenait 5,6 millions d'empreintes digitales, ce qui suggère que les empreintes digitales sont devenues un élément de plus pouvant être piraté et utilisé pour violer notre vie privée, en l'occurrence, pendant très longtemps.
