L'utilisation de la biométrie pour l'authentification a toujours été une source de controverse. À première vue, cela semble être un moyen infaillible d'authentifier les utilisateurs (tout le monde a des empreintes digitales uniques, n’est-ce pas ?). Mais avec un regard plus minutieux, nous nous rendons compte que les systèmes de gestion d'accès biométriques stockent cette empreinte digitale (ou iris, ou carte faciale) en tant que données. Et, nous savons tous ce qui arrive aux données si elles ne sont pas correctement protégées. Ce qui nous amène au gros problème de la biométrie: alors que les mots de passe peuvent être modifiés en cas de violation de données, les empreintes digitales et autres données biométriques sont permanentes. Une seule violation d'une base de données biométriques est tout ce qu'il faut pour que quelqu'un perde son identité pour la vie.
Mais cette préoccupation n'a pas arrêté la marche inexorable de la technologie, et les systèmes de gestion des accès biométriques ont continué d'évoluer au fil des ans jusqu'à ce que, comme on pouvait s'y attendre, nous ayons finalement eu un grand événement de sécurité des données biométriques au cours de l’année passée: l'incident Suprema, Le premier grand incident de données biométriques.
Selon un article publié par The Guardian le 14 août 2019, les chercheurs en sécurité ont découvert une base de données non protégée et principalement non chiffrée appartenant à Suprema, une société de sécurité responsable du système de verrouillage biométrique Web Biostar 2. Cette base de données contenait plus de 27,8 millions d'enregistrements et 23 gigaoctets de données qui comprenaient des données d'empreintes digitales, des données de reconnaissance faciale, des photos de visages d'utilisateurs et plus encore.
Les clients de Suprema utilisent le système pour gérer l'accès aux bâtiments dans plus de 1,5 million d'emplacements dans le monde. Malheureusement, Suprema stockait des données biométriques réelles dans la base de données Biostar 2, plutôt que des hachages de ces données. Cela signifiait que si les acteurs de la menace pouvaient violer la base de données, ils seraient en mesure de modifier les empreintes digitales (afin qu'ils puissent, par exemple, échanger les empreintes digitales des employés autorisés contre les leurs et pénétrer dans les bâtiments), et ajouter de nouveaux utilisateurs (créer des employés bidon avec leurs propres empreintes digitales ou visages pour accéder à ladite entreprise). Outre les lacunes évidentes de sécurité de cette situation, elle soulève des questions juridiques intéressantes, étant donné les problèmes potentiels de confidentialité à vie qu'une violation de données biométriques pourrait causer aux gens.
Les entreprises peuvent réduire leur exposition au risque en utilisant ou en stockant des données biométriques en adoptant les meilleures pratiques suivantes* :
- Élaborer des politiques écrites couvrant la façon dont les données biométriques seront collectées, utilisées, distribuées et détruites. (Oh, puis suivez ces politiques ! )
- Informez toutes les populations concernées (employés, clients, etc.) de la manière dont votre organisation gère les informations biométriques, mappées aux politiques établies.
- Chiffrez les données biométriques au repos et en mouvement.
- Limitez l'accès aux données biométriques. Si un tiers doit y accéder, créez un contrat détaillant les paramètres de la manière dont ce tiers est autorisé à accéder aux données et à les utiliser.
- Envisagez de stocker moins de 100% des jeux de données biométriques. Par exemple, seules suffisamment de données d'empreintes digitales pour identifier une personne - pas l'intégralité de l'empreinte digitale.
- Envisagez d'implémenter l'authentification à deux facteurs conjointement avec les données biométriques.
- Respecter les obligations légales et statutaires concernant les données biométriques dans tous les contrats avec les clients, les fournisseurs, etc., ainsi que les manuels des employés.
*Source: ABA, 2019.
Avec l’insuffisance réglementaire autour de la biométrie dans plusieurs Etats, il serait intéressant qu’elles adoptent des pratiques ci-dessus comme base des réglementations sur la confidentialité des données biométriques. Pour les entreprises utilisant ces systèmes, l'adoption de ces pratiques dès maintenant peut réduire les risques de sécurité ainsi que l'exposition juridique aujourd'hui et les risques réglementaires à l'avenir.
Malick ALASSANE,
IT Security Analyst
