La Cnil fait le point sur l'authentification biométrique pour les smartphones
Encore relativement rares il y a quelques années, les technologies d'authentification biométrique sont devenues relativement répandues sur les smartphones, en tout cas ceux occupant les créneaux du moyen et du haut de gamme.
Pour pousser à l'adoption des technologies d'authentification biométrique -- comme par exemple un lecteur d'empreintes digitales ou un scanner d'iris --, leurs partisans mettent en avant leur grande facilité d'emploi. Plus besoin de taper un mot de passe long et complexe pour déverrouiller un smartphone : il suffit d'apposer son doigt sur le lecteur ou de pointer le terminal vers ses yeux.
Cependant, le fait est qu'une information biométrique ne peut par nature faire l'objet d'aucune révocation. En outre, des méthodes de contournement ont permis de montrer qu'une telle sécurité peut être bernée avec de simples photos de vos doigts -- ce que la police n'ignore pas. Aussi, son usage n'est guère recommandé et, le cas échéant, mieux vaut l'utiliser en complément d'une autre sécurité.
Cela étant, la démocratisation de la biométrie nécessite toutefois de savoir un certain nombre de choses à son sujet. En effet, le fait est que cette technique, qui se base sur des paramètres corporels, est beaucoup plus accessible au grand public qu'avant. C'est pourquoi la Commission nationale de l'informatique et des libertés a décidé de publier le 8 mars un rappel sur les conditions d’application de ce type de système.
Ainsi, sur l'usage des empreintes digitales comme moyen d'authentification, la Cnil note que « l'éditeur doit veiller à ce que le système résiste à des tentatives de piratage classique, notamment, l’utilisation d’une empreinte imprimée à plat ». Même logique pour la reconnaissance faciale : il faut faire en sorte « que le capteur résiste aux attaques telles que l’utilisation d’une photo pour duper la reconnaissance faciale ».
Il faut également que la biométrie ne soit pas imposée aux utilisateurs. Les éditeurs doivent veiller à fournir une « alternative à la méthode d’authentification non-biométrique » pour les usagers qui ne veulent employer leurs caractéristiques physiques, biologiques et comportementales pour accéder à leur smartphone. Ce peut être le code PIN, le mot de passe ou encore le schéma à tracer à l'écran
La Cnil distingue en fait lieu d'hébergement du gabarit biométrique : celui-ci peut-être stocké localement, c'est-à-dire dans le smartphone, ou bien dans le cloud, à distance, sur des serveurs distants. La Cnil recommande de privilégier le stockage local. Dans le cloud, le gabarit peut être « manipulable par des applications voir récupérable par un tiers. La personne concernée [n'en] a donc pas la maitrise ».