Capteurs biométriques : la Cnil met en garde avec quelques recommandations

 
La Commission nationale de l’informatique et des libertés (Cnil) a lancé un communiqué avec quelques rappels concernant les capteurs biométriques.
Google Nexus 6P

En 2017, vous avez sûrement un lecteur d’empreintes digitales (ou un scanner d’iris) sur votre smartphone. Ce capteur s’est démocratisé pour l’authentification, mais aussi pour le paiement mobile. Pourtant, la Cnil nous prévient : ce type d’authentification n’est pas toujours sûr

La sécurité de ce type d’authentification a souvent été mise à mal ces dernières années, en particulier les premières versions des capteurs qui utilisaient une empreinte imprimée à plat, alors que les nouveaux capteurs fonctionnent en 3D. Les premiers capteurs d’empreintes digitales de Samsung, Huawei, Honor pouvaient être trompés avec une simple imprimante à jet d’encre. D’ailleurs, la même méthode pouvait être utilisée pour reproduire un iris.

La Cnil recommande donc d’utiliser ces capteurs en complément d’un autre système de sécurité : comme un code PIN, par exemple. Enfin, la Cnil recommande également de privilégier le stockage local. Dans le cloud, le gabarit peut être « manipulable par des applications voir récupérable par un tiers. La personne concernée [n’en] a donc pas la maitrise ». Pour information, le système Android stocke les empreintes digitales directement sur l’appareil avec un système de chiffrement.

L’arrivée d’Android 6.0 Marshmallow a d’ailleurs permis de rapidement diffusé ce type d’authentification sur Android. En effet, cette version du système d’exploitation mobile de Google supporte de manière native les capteurs d’empreintes. Avant, il fallait que les constructeurs développent la partie logicielle relative au support de cette fonctionnalité. 

Vous pourrez retrouver les recommandations et les conditions de la Cnil à cette adresse. Il est bon ton de se poser les bonnes questions. En effet, lorsqu’un mot de passe est divulgué, il est possible de le changer en quelques minutes, mais les empreintes digitales sont à vie. Que se passe-t-il si elles sont volées ?