Les données biométriques peuvent-elles être « volées » ? Il s’agit d’une question fréquemment posée qui reçoit souvent une réponse inexacte.
La réponse incorrecte typique ressemble à ceci:
Bien que vous puissiez modifier votre mot de passe ou votre code PIN s’il est compromis, vous ne pouvez pas modifier vos informations biométriques. Une fois volé, il n’est pas possible d’être révoqué et peut être utilisé pour des fraudes répétées.
Dans cet article, nous fournissons 4 raisons pour lesquelles cette pensée est imparfaite.
4 raisons pour lesquelles les données biométriques sont à l’abri des pirates:
- Contrairement à un mot de passe, nos données biométriques ne sont pas un secret
- Les données biométriques sont sécurisées par la vie
- Les modèles biométriques sont inutiles pour les fraudeurs
- La biométrie n’est généralement pas le seul facteur d’authentification
#1 Contrairement à un mot de passe, nos données biométriques ne sont pas un secret
Au niveau le plus élémentaire, nos données biométriques sont intrinsèquement publiques, alors qu’est-ce que cela signifie d’être volé? Nos empreintes digitales sont laissées sur tout ce que nous touchons, nos voix sont facilement enregistrées et les caméras mobiles modernes sont capables de capturer des images et des vidéos en haute résolution. Plus particulièrement, la majorité d’entre nous publie intentionnellement des photos et même des vidéos de nous-mêmes sur des médias sociaux et des sites Web accessibles au public.
En tant que tel, il est assez simple pour les fraudeurs d’obtenir les informations nécessaires pour créer des artefacts synthétiques, tels que des photos imprimées ou des masques, à utiliser pour pirater ou « usurper » un système d’identification biométrique. Cette initiative ne nécessite pas de piratage de la base de données d’une entreprise pour obtenir des données biométriques — une simple recherche sur Google suffit pour obtenir des données pouvant être utilisées pour attaquer la biométrie du visage, de la voix et même de l’iris.
Cependant, contrairement à un mot de passe ou à un code PIN, l’authentification basée sur des données biométriques ne dépend pas d’informations secrètes. Autrement dit, il n’est pas nécessaire que la biométrie soit secrète. Pourquoi? Parce que les systèmes d’authentification biométrique modernes (1) ont une personne supervisant le contrôle biométrique, par exemple lors du passage d’une porte dans un aéroport, ou (2) utilisent la technologie liveness pour s’assurer que la biométrie provient d’une personne réelle et n’est pas une attaque par usurpation d’identité. Par conséquent, la menace de voler quelque chose qui est déjà public n’est pas vraiment une menace.
#2 La biométrie est sécurisée par Liveness
Comme mentionné au point #1, la correspondance biométrique n’est qu’une composante des systèmes actuels de vérification et d’authentification de l’identité. Alors que la biométrie répond à la question: « Est-ce la bonne personne? », la détection de la vie est nécessaire pour répondre à la question: « Est-ce une personne réelle? »La confirmation de la présence de la personne réelle lors de la présentation d’une biométrie est essentielle dans des cas d’utilisation à distance ou sans surveillance, comme l’ouverture d’un nouveau compte bancaire sur une application mobile plutôt qu’en personne dans une agence. En d’autres termes, la détection de la vie empêche le piratage de la biométrie.
Par exemple, pour la biométrie faciale, la technologie de la vie faciale fait la distinction entre la présence d’une personne vivante au point de vérification (présence devant la caméra) et les attaques d’usurpation d’identité, telles que celles qui utilisent des photos imprimées, des rediffusions vidéo et des masques. Les mêmes idées sur la vie s’appliquent aux empreintes digitales et à la voix où quelqu’un utilise du silicone pour usurper une empreinte digitale ou un enregistrement pour usurper une biométrie vocale.
Avec liveness en place, vous êtes protégé même si vos données biométriques sont piratées. La vivacité faciale est la technologie anti-usurpation d’identité la plus couramment déployée aujourd’hui, ce qui est logique compte tenu de l’utilisation croissante de la biométrie faciale pour l’intégration et l’authentification à distance. Les principaux produits de détection de la vie faciale d’aujourd’hui offrent une précision éprouvée et une fréquence extrêmement faible d’un fraudeur trompant le système biométrique.
À mesure que de plus en plus de cas d’utilisation apparaissent pour les appareils IoT compatibles avec la voix, nous nous attendons à une adoption similaire de la vie vocale pour permettre l’authentification vocale sécurisée pour les paiements intégrés à l’application, l’accès aux informations personnelles, etc.
Bien que les empreintes digitales puissent ne pas être aussi accessibles, la technologie est également protégée par liveness. Par exemple, la biométrie précise prend en charge la vivacité du visage avec ID R & D IDLive™ Face ainsi que la vivacité des empreintes digitales avec leur solution BioLive. BioLive identifie avec précision une fausse empreinte digitale en analysant plusieurs différences d’image fondamentales entre une image d’empreinte digitale en direct et une image d’une parodie.
Pour résumer le point #2, la détection de la vivacité limite considérablement le risque que les données biométriques tombent entre de mauvaises mains.
#3 Les modèles biométriques sont inutiles pour les fraudeurs
Qu’en est-il de la menace de piratage de la base de données biométrique d’une entreprise?
Les systèmes biométriques convertissent l’échantillon biométrique, tel qu’une image ou un enregistrement vocal, en un modèle. Ces modèles ne sont pas réversibles dans l’échantillon d’origine. Un système biométrique moderne ne stocke que les modèles, pas les informations biométriques d’origine. Les modèles n’incluent aucune information personnelle sur l’être humain, telle que l’âge, le sexe ou les caractéristiques physiques uniques. Même si quelqu’un vole un modèle, il n’y a rien qu’il puisse en faire. En plus de cela, l’application des meilleures pratiques de cryptage des données au repos garantit que tout pirate qui vole les modèles aura deux couches d’octets inutiles.
#4 La biométrie n’est généralement pas le seul facteur d’authentification
Les industries réglementées et les applications à haute assurance mettent en place de multiples contrôles de sécurité pour protéger les informations personnelles et les transactions. L’authentification forte du client nécessite l’utilisation de deux des trois facteurs suivants : quelque chose que vous connaissez (comme un code PIN), quelque chose que vous avez (comme votre téléphone) ou quelque chose que vous êtes (un code biométrique). Par exemple, une banque peut autoriser l’utilisation de la biométrie faciale avec liveness pour se connecter à son application mobile. Cependant, ils s’appuieront également sur votre appareil mobile comme jeton et pourront même demander une deuxième modalité biométrique ou un mot de passe unique pour certaines transactions à haut risque. Ceci s’ajoute à une intelligence artificielle sophistiquée qui peut être en place pour identifier les comportements inhabituels.
Aucune technologie d’authentification n’est infaillible. Dans les rares cas d’attaque réussie d’un système biométrique, les dommages seront atténués par des facteurs de sécurité supplémentaires, des outils de fraude et des pratiques de sécurité d’application couramment utilisées pour se protéger contre les attaques man in the middle et autres.
Repenser la question : Les données biométriques peuvent-elles être volées ?
Sur la base des informations ci-dessus, la question de savoir si des données biométriques peuvent être volées n’est pas très bonne. La meilleure question est : « Quel est le risque que quelqu’un compromette mon identité en utilisant mes données biométriques? »En termes de vérification et d’authentification de l’identité, le risque qu’un fraudeur crée un artefact et usurpe votre identité avec succès est extrêmement faible avec la détection de la vie en place. Le fraudeur sera arrêté et ne pourra pas commettre de fraude répétée même s’il dispose de vos données biométriques.
Alors que peu de gens publieraient une photo de leur mot de passe sur Facebook, nous ne réfléchissons pas à deux fois avant de publier un selfie. Nous ne surveillons pas activement les personnes qui prennent des photos, des enregistrements vidéo ou audio de nous. Et nous n’essuyons certainement pas tout ce que nous touchons pour empêcher nos empreintes digitales d’être relevées. C’est bien parce que la détection de la vie combinée aux bonnes pratiques des systèmes biométriques modernes protègent nos données biométriques contre le piratage et l’utilisation lorsque nous ne sommes pas présents.
En savoir plus sur les produits d’authentification biométrique et de vie d’ID R &D ou remplissez le formulaire pour contacter nos experts.