L’engouement pour l’authentification biométrique et son rôle dans la cybersécurité ne cesse de croître, et divise de plus en plus. Perçue par certains experts comme l’avenir de la sécurité numérique, la biométrie suscite cependant des craintes quant à la confidentialité.

Alors que la CNIL a publié, le 28 mars 2019, « un règlement type qui précise les obligations des organismes souhaitant se doter de dispositifs biométriques à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail »

A destination des employeurs, les organisations doivent poursuivre leur transformation digitale tout en gardant le cap sur la protection des données sensibles, dont les données biométriques font partie.

« Autrefois réservés aux films de science-fiction, les lecteurs biométriques d’empreintes digitales, de reconnaissance faciale, ou encore les scanneurs rétiniens, ont prouvé leur efficacité ces dernières années pour authentifier les consommateurs et permettre l’usage de leurs terminaux.

Tant et si bien que de nombreuses entreprises ont souhaité explorer l'authentification biométrique comme un moyen de protéger leurs données sensibles. Or, il faut d’abord en comprendre les enjeux.

Pour être utiles à des fins d'identification et de contrôle d'accès, les marqueurs biométriques doivent être totalement individuels, permanents et enregistrables. Les exemples de données biométriques incluent des caractéristiques propres à chaque individu comme la structure faciale d'une personne, l'iris de l'œil, les empreintes digitales, le timbre de la voix, ou encore la géométrie d'une main.

Ces caractéristiques uniques sont collectées et stockées dans une base de données, offrant un moyen sécurisé aux utilisateurs pour se connecter à plusieurs périphériques, ou systèmes, sans avoir à utiliser et à mémoriser de nombreux mots de passe.

Or, l'authentification biométrique préoccupe beaucoup du point de vue de la sécurité et de la protection de la vie privée, notamment parce que leur caractère permanent tend à vulnérabiliser les systèmes.

En effet, partant du principe qu’il n’est pas possible de modifier son visage, la structure des veines de ses mains ou ses empreintes digitales, comme on modifie un mot de passe traditionnel, si une personne vole, utilise ou duplique l’identité biométrique d’un individu, ce dernier ne peut rien y faire - ses comptes et appareils resteront vulnérables ad vitam aeternam.

Par ailleurs, le fait que l'authentification biométrique soit permanente pourrait facilement conduire certaines personnes et/ou organisations à devenir trop confiantes dans la technologie et à abandonner d’autres bonnes pratiques de sécurité, telles que les stratégies de mot de passe fort ou l'authentification multifactorielle (MFA).

Cette relâche de la sécurité n’a pas échappé aux pirates qui ont ainsi lancé une vague d’attaques contre ces nouveaux marqueurs biométriques allant des micropuces aux services génétiques, en passant par les bases de données biométriques.

Les technologies d'authentification biométrique ne sont pas encore totalement infaillibles. Bien que l’avenir des mots de passe traditionnels ne semble pas prometteur, il reste encore beaucoup à faire en cybersécurité, et au niveau de la réglementation de la confidentialité, pour permettre aux organisations d’adopter cette approche d’authentification facilement et en toute confiance. »

David Higgins, Director of Customer Development EMEA, chez CyberArk