La biométrie est censée être l’un des fondements d’un système d’authentification moderne. Mais de nombreuses implémentations biométriques (qu’il s’agisse d’empreintes digitales ou de reconnaissance faciale) peuvent être extrêmement imprécises, et la seule chose universellement positive à dire à leur sujet est qu’elles valent mieux que rien.
Aussi — et cela peut s’avérer critique — le fait que la biométrie soit perçue à tort comme très précise peut suffire à dissuader certaines tentatives de fraude.
Il existe une variété de raisons pratiques pour lesquelles la biométrie ne fonctionne pas bien dans le monde réel, et un article récent d’un spécialiste de la cybersécurité chez KnowBe4, un fournisseur de formations de sensibilisation à la sécurité, ajoute une nouvelle couche de complexité au problème de la biométrie.
Roger Grimes, un évangéliste de la défense chez KnowBe4, écrit sur LinkedIn à propos de Institut national des normes et de la technologie (NIST) cotes d’évaluation. Comme il l’a expliqué : « Tout fournisseur biométrique ou créateur d’algorithme peut soumettre son algorithme pour examen. Le NIST a reçu 733 soumissions pour son examen des empreintes digitales et plus de 450 soumissions pour son avis sur la reconnaissance faciale. Les objectifs de précision du NIST dépendent de l’examen et du scénario testé, mais le NIST recherche un objectif de précision d’environ 1:100 000, ce qui signifie une erreur pour 100 000 tests.
« Jusqu’à présent, aucun des candidats soumis n’est proche », a écrit Grimes, résumant les conclusions du NIST. « Les meilleures solutions ont un taux d’erreur de 1,9 %, ce qui signifie près de deux erreurs pour 100 tests. : 100 000 et certainement loin des chiffres annoncés par la plupart des fournisseurs J’ai été impliqué dans de nombreux déploiements biométriques à grande échelle et nous constatons des taux d’erreurs bien plus élevés – faux positifs ou faux négatifs – que même ce que le NIST voit dans le meilleur des cas tests de conditions de laboratoire de scénarios Je vois régulièrement des erreurs à 1: 500 ou moins.
Laissez cela couler dans un instant.
Lors de tests indépendants, de nombreux éléments biométriques ne tiennent tout simplement pas leurs promesses avec précision. En plus de cela, de nombreux fournisseurs, dont Apple (iOS) et Google (Android), font des choix marketing dans leurs paramètres, où ils choisissent le degré de rigueur ou d’indulgence de l’authentification. Ils ne veulent pas que beaucoup de gens soient incorrectement verrouillés sur leurs téléphones, ils choisissent donc de le rendre moins strict, donnant en fait le feu vert à l’accès à l’appareil par un plus grand nombre de personnes non autorisées.
Vous souvenez-vous de ces vidéos montrant des téléphones laissant entrer les enfants ou les frères et sœurs d’un utilisateur de téléphone lors de l’utilisation de la reconnaissance faciale ? C’est une grande raison pour laquelle.
Un autre facteur clé est la précision théorique par rapport à la précision réelle. Considérez deux méthodes d’authentification téléphonique populaires : la reconnaissance faciale et la reconnaissance d’empreintes digitales. En théorie, la reconnaissance faciale est beaucoup plus exigeante car elle peut prendre en compte un plus grand nombre de points de données. Dans la pratique, cependant, cela n’arrive souvent pas.
Avez-vous vu des enfants ou des frères et sœurs accéder au téléphone via une empreinte digitale ? La reconnaissance faciale doit faire face à l’éclairage, aux cosmétiques, au changement de cheveux et à des dizaines d’autres facteurs. Rien de tout cela n’est en jeu lors de l’utilisation de la reconnaissance d’empreintes digitales.
Il y a aussi un problème de distance. Avec la reconnaissance faciale, un appareil doit être à une distance précise du visage pour le lire avec précision – ni trop près, ni trop loin. Personnellement, j’utilise un iPhone avec Face ID et je constate généralement un échec 60% du temps. J’ajuste ensuite un peu la différence et, si j’ai de la chance, mon téléphone se déverrouille. (Encore une fois, ce n’est pas un problème avec les empreintes digitales.)
Remarque : pourquoi de nombreuses applications bancaires traitent-elles les scans de chèques (oui, certaines entreprises utilisent encore des chèques) de manière plus sophistiquée ? L’application vous demandera généralement de « rapprocher le téléphone » ou de « reculer » avant de photographier l’image de contrôle. Pourquoi la reconnaissance faciale ne peut-elle pas faire la même chose ?
N’oubliez pas non plus que du point de vue de l’authentification, de nombreux déploiements biométriques sont une blague. Pourquoi? Car lorsqu’une authentification biométrique échoue, l’accès se fait par défaut sur le code PIN d’un téléphone.
En d’autres termes, si un voleur veut contourner la biométrie, tout ce qu’il a à faire est d’échouer une ou deux fois, puis de s’occuper du code PIN le plus facile à déchiffrer. À quoi ça sert? Il est clair que les principaux fournisseurs de téléphones utilisent moins la biométrie pour l’authentification ou la cybersécurité que pour la commodité. C’est un moyen d’accéder à un appareil sans avoir à saisir un code PIN.
Aussi laxiste que cela puisse paraître, Grimes soutient que la situation est probablement pire. « Les tests du NIST sont les meilleurs scénarios. Ils sont tous horriblement inexacts. La sécurité est surpromise dans presque toutes les situations », a-t-il déclaré dans unn entretien.
Grimes a également exprimé sa préoccupation quant à la nature immuable de la biométrie. Si un mot de passe ou un code PIN est compromis, il est facile de générer un nouveau mot de passe ou code PIN. Même un jeton physique peut être remplacé. Que se passe-t-il si la biométrie est compromise ? Vous ne pouvez pas facilement changer votre visage, votre rétine, votre voix ou vos empreintes digitales.
« Une fois volés, comment les récupérer ? » Grimes a déclaré, ajoutant que la rétro-ingénierie des données biométriques est tout à fait possible.
Le problème fondamental ici est la perception et la caractérisation. Ces efforts biométriques, tels qu’ils sont actuellement mis en œuvre, ne sont guère plus que pratiques. (Ne vous méprenez pas ; en tant que personne naturellement paresseuse, je suis follement amoureux de la commodité.) Mais ils sont proposés comme étant adaptés à la cybersécurité. Et par conséquent, les utilisateurs et les technologues s’appuieront sur la biométrie comme mesure de protection.
Il existe de nombreuses façons de déployer la biométrie en toute sécurité. Les scans de la rétine sont généralement sécurisés et les empreintes digitales fonctionnent bien pour les personnes qui ont des empreintes digitales correctement scannables. Mais la biométrie vocale, actuellement utilisée par diverses institutions financières, reste trop facile à falsifier.
Cela nous ramène aux décisions de paramétrage. Si les paramètres sont suffisamment stricts, même la reconnaissance faciale peut devenir un mécanisme de sécurité. Bref, la biométrie est une belle commodité. En tant que défense de sécurité, la plupart des implémentations d’aujourd’hui ne suffisent pas.
Copyright © 2022 IDG Communications, Inc.