La Commission nationale de l'informatique et des libertés diffuse un rappel sur les conditions d’application de l'authentification biométrique sur les smartphones, une méthode d'accès controversée qui tend à se démocratiser.

Encore relativement rares il y a quelques années, les technologies d’authentification biométrique sont devenues relativement répandues sur les smartphones, en tout cas ceux occupant les créneaux du moyen et du haut de gamme. On trouve par exemple sur le Nexus 5X, dont la commercialisation a commencé en 2015, mais aussi sur des terminaux beaucoup plus récents, comme le Huawei P10 et le Moto G5 Plus.

Pour pousser à l’adoption des technologies d’authentification biométrique — comme par exemple un lecteur d’empreintes digitales ou un scanner d’iris –, leurs partisans mettent en avant leur grande facilité d’emploi. Plus besoin de taper un mot de passe long et complexe pour déverrouiller un smartphone : il suffit d’apposer son doigt sur le lecteur ou de pointer le terminal vers ses yeux.

Empreintes digitales
CC Kevin Dooley

Cependant, le fait est qu’une information biométrique ne peut par nature faire l’objet d’aucune révocation. En outre, des méthodes de contournement ont permis de montrer qu’une telle sécurité peut être bernée avec de simples photos de vos doigts — ce que la police n’ignore pas. Aussi, son usage n’est guère recommandé et, le cas échéant, mieux vaut l’utiliser en complément d’une autre sécurité.

Cela étant, la démocratisation de la biométrie nécessite toutefois de savoir un certain nombre de choses à son sujet. En effet, le fait est que cette technique, qui se base sur des paramètres corporels, est beaucoup plus accessible au grand public qu’avant. C’est pourquoi la Commission nationale de l’informatique et des libertés a décidé de publier le 8 mars un rappel sur les conditions d’application de ce type de système.

Ainsi, sur l’usage des empreintes digitales comme moyen d’authentification, la Cnil note que « l’éditeur doit veiller à ce que le système résiste à des tentatives de piratage classique, notamment, l’utilisation d’une empreinte imprimée à plat ». Même logique pour la reconnaissance faciale : il faut faire en sorte « que le capteur résiste aux attaques telles que l’utilisation d’une photo pour duper la reconnaissance faciale ».

Toujours avoir une solution alternative non-biométrique à disposition

Il faut également que la biométrie ne soit pas imposée aux utilisateurs. Les éditeurs doivent veiller à fournir une « alternative à la méthode d’authentification non-biométrique » pour les usagers qui ne veulent employer leurs caractéristiques physiques, biologiques et comportementales pour accéder à leur smartphone. Ce peut être le code PIN, le mot de passe ou encore le schéma à tracer à l’écran

La Cnil distingue en fait lieu d’hébergement du gabarit biométrique : celui-ci peut-être stocké localement, c’est-à-dire dans le smartphone, ou bien dans le cloud, à distance, sur des serveurs distants. La Cnil recommande de privilégier le stockage local. Dans le cloud, le gabarit peut être « manipulable par des applications voir récupérable par un tiers. La personne concernée [n’en] a donc pas la maitrise ».

yeux-oeil-lentille
CC Skitter

Partager sur les réseaux sociaux