En 2017, Apple présentait fièrement son iPhone X – premier smartphone de la marque équipée du Face ID, son système de reconnaissance faciale. Une semaine plus tard, l’entreprise vietnamienne Bkav, spécialisée dans la sécurité informatique, publiait un communiqué dans lequel elle affirmait avoir berné Face ID en utilisant un masque artisanal fabriqué par une imprimante 3D. Quelle que soit la modalité biométrique utilisée, on trouve des exemples de piratage réussi. Dans un article publié sur Vice en février 2023, le journaliste Joseph Cox raconte ainsi comment il a réussi à tromper le système de reconnaissance vocale de son agence Lloyds Bank avec une voix générée par l’IA. Quant aux lecteurs d’empreintes digitales, le Kraken Security Labs a montré en 2021 à quel point il était facile de reproduire une empreinte digitale pour en faire une copie qui trompe les capteurs biométriques de tous nos appareils connectés : smartphones, tablettes et ordinateurs.

« Tous les grands fabricants de smartphones, mais aussi des gouvernements et d’autres entreprises, viennent nous voir afin que nous testions leur matériel »

Sébastien Marcel, responsable en sécurité biométrique et protection de la vie privée de l’Idiap

La sécurité infaillible promise par la biométrie ne serait-elle qu’un mirage ? Pour répondre à cette question, direction Martigny où se trouve l’Idiap. En avril dernier, tout le gratin mondial de la biométrie (académiques et industriels) avait rendez-vous ici, au pied des montagnes valaisannes. Moins connu que l’ETH Zurich ou l’EPFL auprès du grand public, l’Idiap est pourtant une référence en matière de biométrie. « Nous possédons une expertise unique, annonce d’emblée Sébastien Marcel, responsable du groupe de recherche en sécurité biométrique et protection de la vie privée de l’Idiap. Tous les grands fabricants de smartphones, mais aussi des gouvernements et d’autres entreprises, viennent nous voir ici afin que nous testions leur matériel. » Le nom desdits fabricants restera secret, contrat de confidentialité oblige.

Ce qui est sûr, en revanche, c’est que l’Idiap est accrédité depuis 2019 par l’Alliance FIDO (Fast IDentity Online), qui regroupe de nombreuses entreprises, dont les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et les fournisseurs de systèmes de paiement Visa, Mastercard et PayPal. L’institut valaisan est ainsi l’un des 12 laboratoires dans le monde qui possèdent l’autorisation de tester et de certifier les systèmes biométriques. Et en 2020, l’Idiap a également été reconnu par Android (Google) pour la certification des systèmes biométriques de son écosystème. Les fournisseurs d’applications pour Android faisant usage de ces technologies d’authentification peuvent ainsi les faire tester et valider à Martigny.

« Malgré leur puissance financière, les géants du numérique ne sont pas capables de tout faire, poursuit Sébastien Marcel. Les multinationales font donc appel à nous. Nous tentons ensuite de pirater leur système de biométrie, puis d’apporter des solutions pour les améliorer. Mais si nous travaillons avec beaucoup d’entreprises, nous restons totalement indépendants. Nous ne sommes affiliés à aucune société. »

Alors, les systèmes actuels sont-ils fiables ? « Globalement oui, mais il n’existe pas de technologie infaillible, répond le spécialiste. Si l’on prend l’exemple d’un téléphone, on veut idéalement que le système reconnaisse toujours le propriétaire et jamais une autre personne. Or à l’usage, il est impossible d’obtenir un tel résultat : un système biométrique reconnaissant à 100% son propriétaire laissera passer de temps à autre des intrus. À l’inverse, un système rejetant 100% des intrus refusera régulièrement son propriétaire. Il s’agit donc de trouver le meilleur compromis. Dans le cas des smartphones, on va privilégier la facilité d’usage, c’est-à-dire que les appareils se déverrouillent quasi toujours avec leur propriétaire. Le taux d’erreurs actuel – c’est-à-dire le nombre de fois où il laisse passer un intrus est de l’ordre d’une fois pour 1000 essais. À l’inverse, pour les systèmes biométriques d’accès à des endroits très sécurisés, comme les centrales nucléaires, on met l’accent sur la sécurité, c’est-à-dire que les personnes accréditées doivent souvent s’y reprendre à plusieurs fois avant d’entrer. »

Et qu’en est-il de la sécurité en cas d’attaque ? « Les systèmes biométriques sont des systèmes informatiques comme les autres avec une caractéristique en plus : la captation de la donnée biométrique. Cela signifie qu’ils peuvent être attaqués par des hackers, comme n’importe quel système informatique, mais aussi subir des attaques dites ‘de présentation’ plus ou moins élaborées. Dans le cas d’un système de reconnaissance faciale, il peut s’agir par exemple d’imprimer une photo et de la présenter devant la caméra ou de revêtir un masque. »

C’est exactement sur ce type de cas que travaille l’Idiap. En 2020, l’institut a ainsi fabriqué des masques en silicone ultraréalistes, à 4000 francs pièce, destinés à tester les limites de la reconnaissance faciale. « Nous créons des attaques de plus en plus complexes afin de trouver des vulnérabilités, puis nous développons des défenses, raconte Sébastien Marcel. Face à une même attaque, deux téléphones différents, par exemple, ne réagissent pas de la même façon. »

Avec le développement de l’intelligence artificielle, l’apparition des deepfakes – des enregistrements audio ou vidéo créés par l’IA – inquiète l’industrie de la biométrie. Plusieurs systèmes de reconnaissance vocale ont ainsi été bernés par des voix générées par une IA. Et dans le domaine de la reconnaissance faciale, « il est possible de mener des attaques entre le capteur et le logiciel en injectant un flux vidéo généré par une IA. Ce flux (deepfake) vient remplacer la vidéo qu’aurait dû fournir la caméra, détaille le professeur. Nous travaillons également à améliorer la sécurité de ce côté-là. » 

Dans ce contexte, la population a-t-elle raison de se méfier de la biométrie ? « Beaucoup de gens publient des photos, des vidéos et des données personnelles sur les réseaux sociaux et, dans le même temps, ont peur de la biométrie, sourit Sébastien Marcel. C’est paradoxal et incohérent, parce que les données publiées sur Internet échappent à tout contrôle et font courir des risques bien plus grands que l’utilisation de la biométrie. »

Mais que se passerait-il si les données biométriques d’un individu étaient volées ? « Dans le cas d’un smartphone, c’est peu probable. Les données sont stockées localement dans l’appareil à l’intérieur d’une puce qui se détruit si on essaye de la forcer. Par contre, lorsque les données biométriques sont stockées dans des bases de données, elles peuvent être volées. Si cela arrive, il faut trouver des solutions pour limiter la casse, notamment qu’aucune donnée brute ne soit conservée. »