Accueil Cybercriminalité Empreintes digitales volées: la biometrie est-elle fragile?

Empreintes digitales volées: la biometrie est-elle fragile?

Le bilan du vol massif d’empreintes digitales dont a été victime l’Office of Personnel Management (OPM) en début d’année vient de s’alourdir. Ce ne sont plus 1,1 millions d’empreintes digitales mais 5,6 millions qui auraient été dérobées à l’organisme gérant la carrière professionnelle des fonctionnaires fédéraux américains.

 

Empreinte digitale clonée

Cette actualité démontre que la biométrie, ce système de reconnaissance basé sur des caractéristiques physiques ou comportementales d’un individu pour vérifier son identité ne serait pas aussi fiable qu’on pourrait le penser et reste un moyen d’authentification encore fragile. Début 2015, un hacker était déjà parvenu à cloner l’empreinte digitale de la ministre fédérale de la Défense Allemande en la reconstituant grâce à des photos publiques en haute définition. Ce pirate s’était également fait connaître dans le passé pour avoir reconstitué une empreinte digitale en extrayant une empreinte résiduelle d’un smartphone.

« Dans le futur, la biométrie ne peut pas constituer une alternative 100% fiable aux mots de passe. De par leur caractère virtuel, les mots de passe sont eux aussi vulnérables aux hacks à ceci près qu’ils peuvent être changés et que notre mémoire est par essence insaisissable, à l’inverse des empreintes digitales.  Cette méthode de reconnaissance physique s’avère par conséquence trop dangereuse en cas de vols » reconnait Luc Caprini, Directeur commercial Europe du sud de Ping Identity.

Il existe déjà des technologies capables d’assurer un niveau de sécurité optimum pour les particuliers comme les entreprises et permettent de garantir l’équilibre entre la facilité d’utilisation dont ont besoin les utilisateurs, et le contrôle et la sécurité qu’exigent les administrateurs informatiques.

Dès lors, si l’on veut protéger efficacement des données critiques, l’éditeur Ping recommande le recours à  l’authentification multi-facteur (PingID, YubiKey) ou des solutions basées sur la gestion fédérée des identités (IAM) , ou encore l’alternative des accès au Cloud (PingFederate et PingAccess).

Jean Kaminsky