L’authentification biométrique, n’utilisant qu’une seule caractéristique physique (comme les empreintes digitales) pour identifier des individus, est considérée comme étant sûre depuis des années. De ce fait, cette technologie est très intéressante pour les banques et leurs clients, qui ensemble constituent une énorme cible pour les cybercriminels.
En réalité, plusieurs banques ont déjà testé les nouveaux distributeurs automatiques avec un accès biométrique, ou prévoient d’en faire usage pour bientôt.
Sur le point institutionnel, le gros avantage de telles méthodes comme la reconnaissance de l’iris ou par empreinte veineuse est qu’elles diminuent les faux positifs (type 1) ou les faux négatifs (type 2). Les utilisateurs aiment la biométrie parce que la technologie fonctionne rapidement et les épargne des mots de passe et autres codes secrets.
Malheureusement, la technologie de reconnaissance des empreintes digitales s’est extrêmement répandue voire trop. Par exemple, les utilisateurs d’iOS et Android se plaignent régulièrement que leur téléphone refuse de se débloquer pour des utilisateurs pourtant autorisés, ou lorsqu’ils le laissent à d’autres personnes.
Qu’en est-il des distributeurs automatiques ?
Pour l’instant, les distributeurs automatiques biométriques ne sont pas mis en place partout, cependant nos experts en sécurité Olga Kochetova et Alexey Osipov ont déjà découvert plus d’une dizaine de développeurs illégaux vendant des skimmers biométriques sur le marché noir. Ces machines sont censées détourner des analyses d’empreintes digitales.
D’autres développeurs clandestins cherchent à concevoir des dispositifs capables d’intercepter les résultats de la reconnaissance de l’iris et par empreinte veineuse. De plus, utiliser des skimmers n’est pas la seule manière de voler des données biométriques ; des méthodes semblables seraient tout aussi efficaces avec des données biométriques comme elles le sont actuellement en ce qui concerne des noms d’utilisateurs et des mots de passe.
Bien sûr, les hackers piratent également des serveurs avec des données d’utilisateurs, et ce quel que soit le format des données.
Rien que cette année, Dropbox a été victime d’une fuite de données de 60 millions de comptes, suivi de Yahoo qui a reconnu celle de 500 millions, et ce ne sont que deux exemples parmi tant d’autres.
More bad news from the #Yahoohack https://t.co/neicHoAHh0 #infosec #yahoo pic.twitter.com/zl6dOXe5gu
— Kaspersky (@kaspersky) September 27, 2016
A présent, imaginez qu’au lieu des mots de passe, les entreprises auraient perdu les données biométriques de leurs utilisateurs. Si changer un mot de passe peut s’avérer embêtant, vous ne pouvez pas en revanche remplacer votre ADN.
De plus, à l’aide des skimmers biométriques, les cybercriminels peuvent utiliser des données brutes pour élaborer un échantillon d’identifiant contrefait. Les banques devront travailler minutieusement sur des standards de sécurité avant de lancer des distributeurs automatiques biométriques.
Une sécurité biométrique bancale
L’utilisation de la biométrie a commencé par les gouvernements, les services de sécurité et l’industrie de la défense. Dans ces domaines, la biométrie a fait ses preuves, principalement parce que les institutions peuvent se permettre d’acheter de l’équipement cher et de premier choix.
Malgré l’adoption généralisée de la biométrie, nous avons assisté à des failles de sécurité. La popularité de cette technologie est en fait un facteur majeur du manque de sécurité, et ce pour deux raisons. Premièrement, les standards de spécification de sécurité pour les biens des consommateurs sont plus faibles qu’ils ne le sont dans les implémentations d’importance essentielle. Deuxièmement, un vaste domaine de dispositifs facilement accessibles offre aux cybercriminels un immense banc d’essai d’appareils grand public afin de les expérimenter et de trouver de plus en plus de vulnérabilités, et tout cela dans leur intérêt bien sûr. Le développement rapide de l’impression en 3D a également contribué à la vulnérabilité de la biométrie.
L’année dernière, les utilisateurs ont installé 6 millions d’applications mobiles fonctionnant avec l’authentification des empreintes digitales. Selon Juniper Research, d’ici 2019, l’humanité utilisera environ 770 millions d’applications de ce type. A l’avenir, l’authentification biométrique sera courante. D’autres experts sont encore plus optimistes : Acuity Market Intelligence pense que d’ici 2020, 2,5 millions de personnes utiliseront 4,8 millions d’appareils biométriques.
Espoir (et recommandations) pour l’avenir
Heureusement, les données biométriques ne sont pas stockées en tant que telles : un serveur ne reçoit que des résultats scannés hachés, faisant du vol une option moins attrayante. Néanmoins, les cybercriminels peuvent toujours utiliser des méthodes telles que l’attaque de l’homme du milieu, en se faufilant eux-mêmes dans la chaîne de transfert de données entre un distributeur automatique et un centre de traitement afin de voler l’argent des utilisateurs.
RT @emm_david: 4 ways to hack an ATM: https://t.co/tsZDBfnu04 via @kaspersky
— Kaspersky (@kaspersky) October 4, 2016
Enfin, les banques et les utilisateurs devront continuer à employer des mesures de sécurité strictes contre des violations d’identifiants, de même qu’intégrer une protection contre la fraude biométrique. Du côté des entreprises, cela implique l’amélioration de la conception des distributeurs automatiques afin d’empêcher l’installation de skimmers, tout comme établir et maintenir le contrôle sur la sécurité du hardware et du logiciel des distributeurs automatiques.
En ce qui concerne la technologie d’identification biométrique en général, nous vous recommandons pour le moment de l’utiliser comme une méthode de protection supplémentaire qui complète d’autres mesures de sécurité, mais sans pour autant les remplacer complètement.