Nombre de chercheurs veulent aujourd’hui en finir avec les mots de passe, aujourd’hui le standard en terme d’authentification et d’identification, qui quand il est mal utilisé, est facile à détourner.
Dans ce cadre, la biométrie passe pour être la solution miracle. Sauf que l’identification par empreintes digitales a récemment été disqualifiée par plusieurs experts en sécurité. Au Chaos Computer Club (CCC) de Berlin, le hacker “Starbug” a réussi à hacker l’iPhone 5S et son système Touch ID. Il est aussi parvenu à récupérer l’empreinte digitale du ministre allemand de la défense… sur un verre d’eau oublié dans une salle de conférence.
Le hacker du CCC n’a pas reproduit cette empreinte, mais il aurait pu le faire très facilement : ainsi, explique “Starbug” dans le documentaire “Le business de la peur” (Cash Investigation, France 2), “ voler l’empreinte digitale de quelqu’un et la reproduire, la répliquer pour se faire passer pour lui, est à la portée de n’importe qui”. Il suffit ainsi de la récupérer sur un objet, et de l’imprimer sur de la colle à bois ou du silicone, pour créer “une fausse peau”.
La reconnaissance par les veines
Face à ce constat, des chercheurs suisses de l’institut de recherche Idiap, ont (peut-être) trouvé la solution. En 2014, ils se sont rapprochés d’un ingénieur britannique, Joe Rice, qui a inventé en 1984, l’analyse biométrique des veines. Ensemble, ils ont repris ce système, très utilisé en Asie, mais fort peu en Europe, et ont conçu, avec le concours de l’EPFL (École polytechnique fédérale de Lausanne), une montre intelligente capable d’identifier son porteur : la Biowatch.
En gros, un capteur positionné sous le poignet, “lit” les images du réseau veineux de l’utilisateur – un schéma unique, donc une signature électronique à priori inviolable – , afin de l’authentifier et de dévérouiller l’accès aux données de la montre. Pour “lire” le réseau veineux du poignet, un rayon infrarouge illumine les vaisseaux sanguins sous la peau.
“Le capteur intégré dans le bracelet prend une image de vos veines. Puis un algorithme la compare avec celle initialement enregistrée”, explique Matthias Vanoni, chercheur suisse devenu CEO de Biowatch. Une fois l’identité de l’utilisateur confirmée, un signal chiffré (par un système de clés publiques / privées) est envoyé au système d’exploitation de la montre (et d’autres objets connectés environnants), par Bluetooth ou NFC.
Un usage policier, militaire et bientôt grand public ?
Joe Rice et les chercheurs de l’Idiap prévoient d’abord une utilisation de ce système par les policiers et les militaires, “notamment dans le champ des codes d’autorisation de véhicules, d’armes, de systèmes d’information ou encore de systèmes de combat”, selon Intelligence Online.
Mais à terme, il pourrait s’agir surtout d’un moyen d’identification pour le grand public, avant tout pour sécuriser tout paiement en ligne. Cette technologie pourrait s’intégrer dans n’importe quel “wearable” – montres intelligentes, bracelets connectés, mais aussi montres mécaniques intelligentes – porté au poignet.
Selon Matthias Vanoni, le taux de reconnaissance par le réseaux des veines atteint 99,5%. “C’est un taux que nous souhaitons augmenter en ajoutant des informations autres que le seul chemin des veines”, promet-il. Difficile de garantir que la reconnaissance par les veines constitue vraiment un système inviolable, mais selon les inventeurs de la Biowatch, le schéma veineux d’un individu est “quasiment impossible à reproduire”. Notez le “quasiment”.
Les veines de la paume de la main déjà exploitées par Fujitsu
Entre 2005 et 2013, Fujitsu a conçu un système d’identification biométrique utilisant les veines de la paume de la main pour générer une clé de chiffrement 2 048 bits. Comme la Biowatch, il s’agit de scanner le réseau veineux – palmaire, cette fois -, à partir d’un capteur optique qui “photographie” les veines à l’aide de rayons infrarouges.
Le “lecteur”, au dessus duquel l’utilisateur place la paume de sa main, compare le réseau veineux repéré avec des réseaux enregistrés en amont, afin d’identifier la personne. Comme l’expliquait en 2005, Thomas Bengs, directeur produit « Palm Vein » chez Fujitsu Europe Limited, au site ZDNet.fr, “le réseau veineux palmaire est propre à chaque individu, même dans le cas de vrais jumeaux (dits homozygotes). Il ne peut être reconnu que du vivant de l’individu, lorsque les globules rouges circulent dans les veines”.
Ce système, baptisé “Palm Secure”, et qui permet d’éviter un contact avec la peau, est utilisé sur de nombreux distributeurs de billets au Japon. Mais il n’a pas encore eu le succès escompté en Europe – sauf chez certaines banques, comme le groupe bancaire UniCredit -, où l’identification par empreintes digitales tient le haut du pavé.
Pour les concepteurs de la Biowatch, en revanche, l’utilisation d’un capteur placé sous le poignet pourrait être un moyen de toucher, facilement et largement, les entreprises et le grand public, friand de “smartwatchs” et de bracelets connectés. Reste à voir s’il s’agit bel et bien d’un système inviolable.
Par Fabien Soyez
Dans l'actualité
- Vidéo – Comment le big data peut-il révolutionner la médecine ?
- Combien de temps faut-il au cerveau pour passer « en mode conscient » ?
- Internet des objets : une sécurité négligée
- Le chiffrement des données : principes et limites
- Reconnaissance faciale : beaucoup trop d’erreurs
- La biométrie peut-elle remplacer les mots de passe ?
- Identification vocale : ses promesses et ses dangers
Dans les ressources documentaires