Connaissez-vous la différence entre « identification » et « authentification » ?

La biométrie est à la mode, elle fait son apparition dans les aéroports pour l’ouverture des portes et le passage en zone sécurisées, sur les ordinateurs ou les téléphones haut-de-gamme pour reconnaître le propriétaire et donner accès au système, et la commission Européenne ouvre un portail de la biométrie.

Naturellement, progresse donc le sujet du recours systématique à la biométrie dans notre vie de tous les jours : contrôles de police, paiement… On parle même du remplacement des cartes de crédit par les empreintes digitales.

Ce recours à la biométrie, tel qu’il est présenté par les médias, présente plusieurs avantages pour le grand public (pas de code secret à retenir, pas de carte à porter sur soi, …). Pour moi comme pour les spécialistes de la sécurité, la réalité est tout autre.

Prenons un exemple parlant. Aujourd’hui, pour payer par carte bleue un CD à la FNAC, deux notions entrent en jeu.

La première est l’identification du débiteur (= qui suis-je ?). La carte bleue, personnelle et nominative, matérialise cette identification.

La seconde notion est l’authentification (preuve d’identité) du débiteur qui présente la carte (= prouver que je suis bien celui que je prétends être). Cette preuve est apportée par le code secret à 4 chiffres, connu du seul possesseur de la carte. Ce n’est que lorsque cette preuve est vérifiée qu’on peut lier avec une quasi-certitude le « propriétaire » de la carte avec le  »compte à débiter ».

Les deux notions identification et authentification sont indissociables et contribuent au paiement sécurisé.

L’arrivée de la biométrie, à grand renforts de révolution annoncée par les médias, va poser un problème, celui de l’amalgame qui est fait entre l’identité et la preuve d’identité.

On veut nous vendre, demain, des systèmes biométriques qui ne nécessiteront plus le recours aux mots de passe ni aux codes secrets, qui autoriseront une transaction bancaire, ouvriront un sas sécurisé (…) après la seule reconnaissance d’une empreinte digitale, d’un contour facial, d’échantillon d’ADN ou d’une reconnaissance d’iris.

On nous dit que ces moyens seront inviolables.

Je réponds : c’est faux!

Est-ce parce qu’un lecteur électronique détecte mes empreintes digitales que je suis nécessairement présent physiquement derrière mon doigt ? Il y a quelques mois, on apprenait que le possesseur d’une Mercedes, qui démarrait avec la seule apposition du doigt de son propriétaire sur un lecteur, se faisait voler son véhicule et couper le doigt :-/

La faille ? L’idenfication du propriétaire (par les empreintes digitales) sans apport d’une quelconque preuve d’identité.

La biométrie est envisagée aujourd’hui comme un moyen mixte d’identification et d’authentification alors qu’elle devrait être seulement utilisée pour l’identification des individus.

Se posent, en outre, d’importants problèmes autour de la révocation.

Concrètement que se passe-t-il aujourd’hui lorsqu’on me vole ma carte bleue ? J’appelle la banque qui révoque ma carte (elle ne sera plus reconnue au sein du système bancaire).

Que se passera-t-il demain si l’on me prélève à mon insu un échantillon de salive ?? J’appellerai ma banque qui révoquera mon ADN ? Ceci dit, si l’on me « révoque » l’iris de l’oeil droit, il m’en restera celui de l’oeil gauche… mais que se passera-t-il si l’on révoque mon second iris ? On jouera avec mes 10 doigts jusqu’à les révoquer un à un ?

Preuve est faite, là encore, que la biométrie ne doit pas être considérée comme un moyen d’authentification, authentification qui doit être révocable à souhait en cas de compromission de mes authentifiants.

Alors, quand je lis par exemple sur http://www.biometrie-online.net que la biométrie permet de vérifier que l’usager est bien la personne qu’il prétend être., où quand je vois un peu partout que la majorité des médias et des politiques persistent dans l’idée reçue que identification et authentification sont synonymes, j’ai peur…

Pour approfondir:

6 comments

  1. Mais au juste Alex c’est quoi l’indentification pour toi?
    Sinon je trouve cet article tres interressant mais vous croyez qu’il y aurai un compris à faire entre l’identification, l’authentification et la biometrie, un petit mix des 3, je crois qu’on peut tous y réflechir!!!!

  2. La biométrie est une technologie plutôt efficace en matière de reconnaissance (identification) des individus (encore que j’ai vu le cas d’un client dont les doigts n’étaient pas reconnus par un produit qu’on lui avait présenté… ).

    Il faut, après l’identification, pouvoir prouver que l’on est bien celui qu’on prétend être (authentification). On a vu qu’utiliser par exemple son doigt pour à la fois s’identifier et s’authentifier n’était pas la bonne solution : outre le coupage du doigt (si authentification biométrique palmaire), on connaît des techniques (complexes certes) permettant de simuler l’apposition d’un doigt sur le lecteur.

    De la même manière, une reconnaissance faciale sera-t-elle efficace à 100% (utilisation d’une photo, d’un masque, d’un maquillage, ou que sais-je encore, en lieu et place du visage de l’individu que l’on souhaite usurper).

    C’est pour toutes ces raisons que la biométrie ne peut se substituer au processus d’authentification, et que les authentifiants doivent rester révocables à souhait, en cas de compromission…

    Donc… la biométrie pour l’identification (y)
    et le code pin ou autre pour l’authentification.

  3. Cet article doit être mis à l’index. En effet il pointe du doigt le défaut majeur de la biométrie:la révocabilité.
    Just for fun 🙂

Répondre à alexAnnuler la réponse.