La plus grande violation de données biométriques connue à ce jour a été signalée récemment lorsque les chercheurs ont réussi à accéder à une base de données de 23 gigaoctets de plus de 27,8 millions d'enregistrements, y compris les données d'empreintes digitales et de reconnaissance faciale.

Les chercheurs, travailler avec la société de cybersécurité VPNMentor, ont déclaré avoir pu accéder au système de verrouillage biométrique Biostar 2 qui gère l'accès à des installations sécurisées telles que des entrepôts ou des immeubles de bureaux. Ce mécanisme de contrôle, géré par la firme Suprema, fait partie d'un système utilisé par 5, 700 organisations dans 83 pays, y compris les gouvernements, banques et la police métropolitaine du Royaume-Uni.

Cette violation met en évidence un problème majeur avec les systèmes de sécurité biométrique qui utilisent efficacement les mesures biologiques des personnes comme mots de passe. Contrairement aux noms d'utilisateur et aux mots de passe, les données biométriques ne peuvent pas être modifiées si elles sont volées.

Étant donné que les violations de données sont devenues une partie inévitable de notre monde de plus en plus numérique, cela signifie-t-il que la sécurité biométrique n'a pas d'avenir à long terme, car il est probable qu'un jour les données de presque tout le monde flotteront dans le cyberespace ? Peut-être dans son format actuel, mais il existe également des moyens de sauver la biométrie et de la rendre plus sûre.

Les mots de passe traditionnels sont quelque chose que vous connaissez. Les caractéristiques biométriques sont quelque chose que vous êtes. Empreintes, scans d'iris, modèles de voix, les photos du visage et des oreilles et les données de reconnaissance faciale peuvent toutes être utilisées comme moyen de vérifier si quelqu'un est bien celui qu'il prétend être et est très difficile à falsifier.

Les systèmes d'authentification stockent en toute sécurité une copie des données biométriques brutes et lorsqu'un utilisateur souhaite se connecter au système, leurs caractéristiques sont comparées aux données stockées. Autrefois seulement une caractéristique de la science-fiction, les systèmes biométriques sont désormais largement utilisés dans les installations sécurisées réelles, passeports et même l'authentification par empreinte digitale dans votre smartphone.

Mais la nature unique de la biométrie est aussi son défaut. Les données biométriques peuvent fournir un moyen d'identifier les personnes avec un degré élevé de précision, mais une fois volées, vous ne pouvez rien faire pour les sécuriser à nouveau. Bien sûr, si votre empreinte digitale est volée, vous pouvez toujours utiliser un autre doigt, mais vous ne pouviez le faire que 10 fois.

Une fois que quelqu'un a vos données d'empreintes digitales, il est possible d'imprimer une réplique à l'aide d'une encre conductrice qui peut tromper les scanners biométriques. Il existe également des exemples de chercheurs trompant les scanners vocaux avec des outils de morphing sonore, scanners d'iris avec répliques d'images et scanners de visage avec photos et même têtes imprimées en 3D.

Cela signifie qu'il est vraiment important de protéger vos données biométriques brutes contre les fuites vers des parties indésirables. Mais cela deviendra une tâche de plus en plus difficile à mesure que nous révélons nos données biométriques à de plus en plus de prestataires de services.

Il ne se passe pas une semaine sans qu'une autre entreprise se fasse voler les données de ses clients. Vous avez probablement dû changer vos propres mots de passe au moins une fois à cause de cela. Si suffisamment de personnes voient leurs données biométriques exposées, à terme, certains systèmes pourraient devenir inutilisables car de nombreux utilisateurs ne pourront pas s'y connecter en toute sécurité.

Dans la récente violation de données biométriques, plus d'un million de personnes avaient leurs empreintes digitales, données de reconnaissance faciale, photos de visage, noms d'utilisateur et mots de passe révélés. Il a également été découvert que des personnes extérieures pouvaient remplacer les enregistrements biométriques de la base de données par leurs propres informations, exposant un autre moyen de surmonter les contrôles de sécurité.

Améliorer la sécurité

Alors, que peut-on faire pour renforcer la sécurité biométrique ? Un moyen simple est les mots de passe. C'est une pratique courante de stocker les mots de passe en les cryptant d'abord ou en les "hachant". Il s'agit essentiellement d'une version à sens unique du cryptage qui transforme les mots de passe en une chaîne de caractères connue sous le nom de résumé de message qu'il est presque impossible de décrypter.

Cela signifie que même si les mots de passe cryptés sont divulgués, les pirates ne peuvent pas obtenir les mots de passe. Les systèmes modernes ne stockeraient jamais les mots de passe dans leur format de texte brut d'origine.

Cette méthode peut également être appliquée aux données biométriques afin que seules les versions cryptées ou résumées de message des caractéristiques biométriques soient stockées. Dans la récente violation de la base de données biométrique, toutes les données ont été stockées au format brut sans cryptage. Cela signifie que les pirates pourraient accéder directement aux caractéristiques biométriques brutes des utilisateurs et les reproduire pour accéder aux services critiques.

Une autre façon de sécuriser les systèmes biométriques serait d'utiliser la blockchain, le système derrière les crypto-monnaies telles que Bitcoin. Avec la technologie blockchain, vous pouvez stocker les données client dans un grand livre distribué protégé par cryptographie sur plusieurs ordinateurs à travers le monde. Cela signifie que seules les parties autorisées peuvent accéder aux données (ou blocs de données), et toute tentative de modification des données sera détectée par tout autre utilisateur abonné à la blockchain. Il est également possible de créer des registres distribués privés auxquels seules certaines personnes peuvent accéder.

Même cela pourrait ne pas suffire à assurer la sécurité des systèmes biométriques pour toujours. Des chercheurs ont récemment démontré qu'il était possible de tromper les scanners d'empreintes digitales en utilisant l'intelligence artificielle pour générer des répliques d'impressions capables de battre le système. Alors un jour, des ordinateurs avancés pourraient être capables de recréer toutes les fonctionnalités afin de tromper le système de sécurité biométrique en laissant passer un imposteur. Mais pour l'instant, si les fournisseurs de services biométriques prenaient des mesures simples pour sécuriser leurs données, nous pourrions davantage éviter des brèches qui finiront par rendre ces systèmes obsolètes.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.