Petit voyage en biométrie

Zeljka Zorz, du HNS, fait un rapide tour d’horizon de la biométrie. Un court voyage de quelques dizaines de lignes qui résume de manière lapidaire les limitations de ce procédé d’authentification et qui, surtout montre à quel point la notion d’intégration d’une technologie est un problème bien distinct des principes qui régissent la technologie elle-même. Contrôler une empreinte digitale, par exemple, c’est réduire à un facteur unique et immuable une « preuve » d’authentification. Que la traduction numérique de cette preuve soit compromise (volée, divulguée..) et il est impossible d’en changer. Zeljka Zorz aurait également pu ajouter qu’à part une amputation radicale de l’index et du pouce des deux mains, cette authentification est également impossible à répudier. S’ajoute également la possibilité de substituer ce qui peut ressembler à la preuve. Une affaire récente dévoilée par la PAF Japonaise laissait même deviner que les fausses empreintes digitales commençaient à être utilisées par des non spécialistes. Reste, ajoute Zorz pour rassurer ses lecteurs, qu’il est difficile de « bruteforcer » une empreinte, ce qui fait du biométrique un excellent second facteur capable de renforcer une première authentification par mot de passe. Cet argument, doit-on préciser, est considéré par quelques spécialistes de la fausse peau comme un élément aggravant, comme un vecteur de « sentiment de fausse sécurité ». Car s’il est impossible de cracker une empreinte ou toute autre propriété physique, elle peut être obtenue par des procédés psychologiques plus traditionnels. Tout se résume donc à une simple évaluation du risque encouru associé à une analyse technique et humaine des techniques de crédence. Plus le secret à préserver est précieux, plus le nombre de facteurs d’authentification doit être multiplié. Mais plus les procédures d’authentification deviennent nombreuses et contraignantes, plus les risques de contournement de la part des usagers légitimes sont élevés, provoquant ainsi un effet contraire à celui escompté. Dans cette perspective, la biométrie redevient alors une solution sinon inviolable, du moins considérablement plus ergonomique qu’une succession de mots de passe changeants, de cartes à puce à ne perdre sous aucun prétexte, de « passphrases » alambiquées et de codes PIN rarement mnémotechniques.