Aperçu
Il existe une fausse conception chez le grand public au sujet de la biométrie et de son utilisation pour sécuriser nos informations privées. La croyance commune est que la biométrie, telle que Touch ID ou Face ID, peut être utilisée pour éliminer les mots de passe traditionnels. Cependant, c’est loin d’être la vérité. Comme nous le décrivons ici, la biométrie ne sert que de fonctionnalité de commodité pour les utilisateurs, ou comme un deuxième facteur d’authentification.
Nous avons toujours besoin de mots de passe
Chaque logiciel, application Cloud ou site Web que nous utilisons quotidiennement nécessite la création d’un compte. Typiquement, cela signifie fournir un nom d’utilisateur (ou un e-mail) et un mot de passe. De nombreux services offrent également la possibilité de « s’identifier avec Google » ou « s’identifier avec Facebook », qui délèguent l’authentification à un fournisseur d’identité tiers fiable utilisant les protocoles OAuth ou OpenID. Ces fournisseurs d’identité nécessitent non seulement un nom d’utilisateur et un mot de passe, mais demandent également généralement une authentification à deuxième facteur (par exemple, un code unique reçu par message texte ou équivalent). Dans le monde des affaires, il existe un grand nombre de fournisseurs d’identité largement utilisés tels que Okta, Azure et JumpCloud qui utilisent un protocole différent (SAML 2.0) pour fournir des fonctionnalités d’authentification unique (SSO). Encore une fois, chacun de ces fournisseurs nécessite finalement l’utilisation d’un nom d’utilisateur ET d’un mot de passe lors de l’ouverture de session sur leurs systèmes.
Comment la biométrie fonctionne sur les appareils mobiles
Prenons iOS par exemple. Lorsque vous activez la fonctionnalité Touch ID, vos données d’empreinte digitale sont stockées par Apple via une micropuce sur l’appareil et ne sont en aucune façon disponibles pour les développeurs de logiciels. Les développeurs de logiciels qui souhaitent tirer parti de Touch ID peuvent simplement demander au système d’exploitation de vous demander votre empreinte digitale et attendre un « réussite » ou « échec ». S’il s’agit d’une « réussite », certaines des données que le développeur a stockées dans le trousseau peuvent être récupérées (par exemple une clé de chiffrement ou un mot de passe). Cela peut être utilisé pour passer l’écran des mots de passe de l’application et connecter l’utilisateur automatiquement. L’utilisation de ce processus a simplement fourni une commodité pour l’utilisateur en ne lui demandant pas de saisir son mot de passe. Mais, un mot de passe était toujours transmis entre le trousseau et l’application.
Maintenant, que se passe-t-il si le mot de passe pour une application spécifique était faible (par exemple 123456) ? Le fait que la biométrie ait été utilisée pour extraire le mot de passe du trousseau et le transmettre à l’application n’a rien fait pour renforcer la sécurité. Si l’application permettait ce mot de passe faible, on peut estimer qu’un attaquant de l’autre côté du monde pourrait deviner votre mot de passe et également se connecter à la même application.
Les applications qui utilisent la biométrie pour l’ouverture de session stockent simplement votre mot de passe dans le trousseau ou l’élément sécurisé sur l’appareil. Les données biométriques ne sont jamais directement transformées en un mot de passe ou une clé. Elles ne peuvent être utilisées que comme une opération de « réussite » ou d’« échec » pour récupérer des informations du matériel qui y était précédemment stocké par l’application. Pour cette raison, la biométrie ne fournit qu’une méthode de commodité, pas une sécurité ajoutée.
Il est notoire que les fabricants de matériel tels qu’Apple et Google ne fourniront jamais aux développeurs de sites Web ou d’applications les données biométriques réelles utilisées pour identifier les utilisateurs. Cela reviendrait à divulguer les informations privées de l’utilisateur et à exposer les données de biométrie à un vol ou à un piratage potentiel.
Pourquoi un mot de passe est finalement toujours nécessaire
La première raison principale pour laquelle les mots de passe sont nécessaires est que les mots de passe peuvent être modifiés. Si votre mot de passe vers un service est divulgué par accident, ou volé par un attaquant, vous pouvez simplement réinitialiser votre mot de passe sur le site cible. Cependant, vous ne pouvez pas réinitialiser votre empreinte digitale ou votre visage.
Deuxièmement, seul un mot de passe fort et unique est résistant à une attaque par force brute, car il n’existe que dans votre cerveau (ou un gestionnaire de mot de passe chiffré).
Et enfin, pour les produits les plus sécurisés, vos données de mots de passe sont chiffrées. Le chiffrement nécessite une clé de chiffrement pour déchiffrer les informations stockées. Une clé ne peut être dérivée d’un mot de passe fort qui est tapé exactement de la même manière à chaque fois. Une clé de chiffrement ne peut pas être dérivée directement d’une empreinte digitale. En effet, les systèmes d’exploitation ne fournissent pas de données brutes de biométrie aux développeurs, ce qui risquerait de divulguer votre empreinte digitale au monde entier. Et même si les données brutes de biométrie étaient disponibles pour les développeurs de logiciels, elles ne seraient pas sous une forme qui est utilisable comme une clé de chiffrement. Le déchiffrement fonctionne ou il ne fonctionne pas – la clé ne peut pas être désactivée par même un seul 0 ou 1. On sait que la biométrie n’est jamais exacte, et une « réussite » ou un « échec » est une estimation. Le déchiffrement ne peut jamais être effectué sur la base d’une estimation.
Vous êtes seulement aussi fort que votre mot de passe
Le fait est que sur iOS, les fonctionnalités Touch ID et Face ID peuvent être contournées en tapant le code d’accès de l’appareil. Pour la plupart des gens, il s’agit d’un numéro à 4 ou 6 chiffres. Apple et Android forcent les utilisateurs à entrer en permanence ce code comme un mécanisme de secours. Ainsi, si le code d’accès de votre appareil est divulgué, un attaquant peut ouvrir une session sur votre appareil et établir une nouvelle empreinte digitale ou réinitialiser votre identifiant facial. Cela pourrait surprendre de nombreux utilisateurs et vous encourager à mettre en place un mot de passe alphanumérique plus fort sur votre appareil. Il est important de rechercher un produit qui permet aux clients de refuser l’utilisation de Touch ID et de restreindre l’utilisation de la biométrie.
Le chiffrement est important
Recherchez un produit qui est Zero-Knowlegde. Cela signifie que vos informations stockées dans le produit sont uniquement chiffrées et déchiffrées au niveau de l’appareil, en utilisant une clé de chiffrement qui est dérivée de votre mot de passe maître.
Si un site Web, une application ou un service vous permet simplement de vous identifier sans mot de passe, ou si le service n’effectue pas de déchiffrement côté client, vous devez savoir que cela signifie que vos informations sont stockées sur leurs serveurs, entièrement à découvert. Si les employés de cette entreprise veulent voir vos informations, ils ont la pleine capacité de le faire. Cela signifie également que si l’entreprise a un bug dans son logiciel, vos informations pourraient, en théorie, être exposées publiquement sur Internet.
Cela peut ne pas vous importer en fonction du type d’informations stockées dans leurs services. Mais, dans le cas de fichiers secrets, de mots de passe et d’autres informations secrètes, cela pourrait être dévastateur. Les informations privées et confidentielles doivent être chiffrées au niveau de l’appareil, et cela ne peut être réalisé finalement qu’avec une clé de chiffrement qui est dérivée de quelque chose dans votre cerveau que personne d’autre ne connaît (un mot de passe ! ).
Il est extrêmement difficile de créer un produit Zero-Knowledge. C’est pourquoi la plupart des entreprises ne le font pas. La chose importante pour les utilisateurs et les entreprises est de comprendre quelles informations vous stockez et quel niveau de commodité vous avez dans l’entreprise qui protège vos informations.
En matière de biométrie, la principale chose à retenir est que la biométrie ne peut pas chiffrer directement vos informations. Ainsi, tout service qui n’a pas de protection des mots de passe et qui s’appuie entièrement sur la biométrie pour ses accès ne peut pas être considéré comme entièrement sécurisé.
La biométrie comme deuxième facteur d’authentification
En tant que deuxième facteur d’authentification sur un appareil, la biométrie peut s’avérer précieuse pour la plupart des applications, tout en préservant les plus hauts niveaux de sécurité. Par exemple, après avoir entré un mot de passe ou en utilisant votre gestionnaire de mot de passe pour ouvrir une session sur un site Web ou une application sur votre ordinateur, vous pouvez être invité à vous authentifier avec votre empreinte digitale ou votre identification faciale sur votre appareil mobile.
Ce type de flux de travail nécessiterait que le développeur d’application ou de site Web ait intégré une application mobile ou un service d’authentification tiers qui prend en charge les appareils biométriques. Pour associer correctement une authentification par biométrie comme un deuxième facteur, il doit y avoir une fonctionnalité d’inscription et un backend qui communique en toute sécurité les informations de deuxième facteur entre l’application et les serveurs back-end.
Lorsque vous utilisez la biométrie comme deuxième facteur, l’élément le plus important dans la protection de vos informations est donc basé sur le Channel de communication entre l’appareil biométrique et les serveurs back-end. Un pirate tentant de pénétrer dans un compte protégé par un appareil biométrique passera son temps à essayer de tromper les serveurs en authentifiant l’utilisateur, plutôt que d’essayer de pénétrer dans le lecteur d’empreintes digitales. C’est pourquoi l’approbation que vous placez dans votre application ou votre fournisseur de logiciels est basée non seulement sur le fait qu’ils ont une authentification par biométrie, mais aussi sur la méthode de mise en œuvre.
Résumé
La biométrie est de plus en plus courante, mais il est important pour le public de comprendre la différence entre la sécurité qu’elle fournit et la commodité obtenue. Chaque utilisateur et organisation a un niveau différent d’aversion au risque. La biométrie ne peut pas fournir de sécurité à son propre mérite, et une stratégie de gestion des mots de passe forte est essentielle pour prévenir les cyberattaques et le vol de données.
Les appareils mobiles et les ordinateurs de bureau qui intègrent l’authentification par biométrie fournissent simplement un moyen pratique de transférer un mot de passe du matériel physique à l’application sur laquelle vous ouvrez une session. Avoir un mot de passe faible, ou utiliser le même mot de passe pour plusieurs applications et sites Web, vous expose toujours au piratage et au vol de données, même si vous utilisez un appareil biométrique. Cependant, comme deuxième facteur, la biométrie peut fournir un mécanisme de sécurité pratique et précieux lorsqu’elle est mise en œuvre en toute sécurité par le fournisseur de logiciels.
Craig Lurey
Directeur technique, Keeper Security