Apple a dévoilé son premier smartphone intégrant un système biométrique basé sur les empreintes digitales de son propriétaire. Cette nouveauté survient dans une période particulière, avec la publication de documents révélant la proximité d'Apple et de la NSA, qui essaie par ailleurs d'accéder à toutes les informations possibles. Baptisée Touch ID, cette fonctionnalité soulève évidemment des interrogations...et des craintes.

Lors de sa conférence automnale, Apple a présenté deux nouveaux smartphones. L’un d’eux, l’iPhone 5S, inclut un dispositif biométrique intégré au bouton principal. Cette fonctionnalité ouvre de nouvelles perspectives pour l’usager, puisque l’empreinte digitale de ses doigts remplace le mot de passe. Il peut ainsi déverrouiller son mobile, télécharger une application depuis l’App Store ou régler un paiement sur iTunes en posant simplement son doigt sur le bouton principal.

Ce dispositif, baptisé Touch ID, est décrit ainsi sur le site de l’entreprise :

« La surface du bouton, constituée de cristal de saphir taillé au laser, dirige l’image de votre doigt vers un capteur tactile qui lit sous les couches extérieures de votre peau pour obtenir une empreinte détaillée. Le bouton lui-même est entouré d’un cercle en acier inoxydable qui détecte votre doigt, réveille le capteur et améliore le ratio signal sur bruit. Le logiciel lit ensuite les crêtes de votre empreinte puis trouve la correspondance pour déverrouiller votre iPhone« .

De la protection des empreintes digitales

Donnée on ne peut plus personnelle, l’empreinte digitale mérite naturellement la meilleure des protections. Au cours de sa keynote, Apple a affirmé que toutes les données biométriques liées aux empreintes digitales de l’utilisateur sont chiffrées et verrouillées dans la puce A7 (ce qui ne devrait pas gêner la NSA). Elles ne sont pas directement accessibles ou utilisées par les autres logiciels présents sur le téléphone. En outre, elles ne sont pas hébergées sur les serveurs d’Apple et ne sont pas sauvegardées dans iCloud.

Évidemment, impossible en l’état actuel des choses de s’assurer si Apple dit bien la vérité. L’écosystème de l’entreprise américaine étant fermé, personne ne peut effectivement aller vérifier la nature des traitements qui peuvent intervenir sur ces données biométriques… ni si ces informations demeurent bien localement, c’est-à-dire dans le téléphone. En la matière, il faut accepter de faire confiance à Apple. Or, l’affaire Snowden et les révélations qui ont suivi doivent inciter à la plus grande prudence.

Concernant le fonctionnement de Touch ID, Apple est resté très flou. Il est possible qu’au terme de l’enregistrement initial des empreintes digitales et de leur stockage dans la puce A7, le système génère une sorte de signature par empreinte (similaire à la fonction de hashage concernant les mots de passe) qui servira ensuite de liaison entre les données biométriques contenues dans la puce et certaines manipulations (déverrouillage, achat, téléchargement).

Touch ID suscite de vives inquiétudes

La présentation de Touch ID a évidemment provoqué quelques réactions. Sur Twitter, Troy Hunt, architecte logiciel chez Microsoft, s’est ainsi amusé à imaginer l’alerte qu’enverrait Apple en cas de souci. « Cher utilisateur de l’iPhone, en raison d’une attaque imprévue, il est possible que votre empreinte digitale a été divulguée. Merci de réinitialiser votre doigt immédiatement« .  Dylan Tweney, de Venture Beat, a mis à jour l’une des présentations d’Apple pour rajouter un élément qui a manifestement été oublié.

Ces remarques à grand renfort d’imagination et de trucage photo illustrent surtout une crainte générale : que va-t-il se passer si le mécanisme d’Apple, même annoncé comme chiffré et verrouillé, est compromis ? Que va-t-il advenir des données biométriques des individus ? Un facteur mémoriel comme un mot de passe peut être réinitialisé. Mais quid du cas impliquant un facteur corporel comme les empreintes digitales, l’iris de l’oeil, la reconnaissance faciale ou le timbre de voix ?

Sur le site Reflets, l’informaticien Olivier Laurelli rappelle d’ailleurs que l’utilisation de la biométrie comme dispositif de sécurité est loin d’être une bonne idée. Il pointe à cette occasion vers de documents datés de 2003 dans lesquels sont illustrés des techniques pour contourner une sécurité impliquant des empreintes digitales. Par ailleurs, les traces digitales laissées par un individu lambda sont nombreuses… comme le sont les techniques pour les relever. Conclusion de Reflets : il ne faut pas se servir de Touch ID.

La biométrie en France

En la matière, les opposants à la biométrie seront heureux d’apprendre que les Français se méfient de l’arrivée de cette technologie dans la vie quotidienne. Cet été, 72 % des sondés ont déclaré s’opposer à la biométrie comme moyen de paiement. Idem pour d’autres activités, bien que l’opposition se manifeste à des degrés divers. Un tiers juge enfin « qu’utiliser les empreintes digitales dans les actes de la vie courante comporte des risques pour la vie privée et ne devrait pas être possible« .

Du côté de la Commission nationale de l’informatique et des libertés (CNIL), il n’y a pas de rejet par principe de la biométrie. Toutefois, l’entreprise qui souhaite opérer des traitements utilisant un système biométrique doit suivre une procédure devant la CNIL incluant une demande d’autorisation (vu la finalité prévue) qu’il s’agisse du contour de la main, de l’empreinte digitale, du réseau veineux de la main ou n’importe quelle autre type de biométrie.

Selon Apple, les empreintes digitales ne sont pas censées quitter le téléphone. Tout au plus la « signature », si celle-ci est avérée. Cependant, la CNIL rappelle qu’il existe une procédure au cas où s’opère un transfert de données personnelles  depuis le territoire européen vers des pays situés en-dehors de l’Union européenne. Celui-ci n’est pas possible, sauf dans un nombre limité de cas. Cela ne concerne officiellement pas Apple. Mais là encore, il faut croire l’entreprise.

Partager sur les réseaux sociaux

Articles liés