Points de vue alternatifs

Analyse et veille des médias internationaux : géopolitique, économie, numérique...


Biométrie : Le consortium industriel Fast ID Online enregistre des renforts de poids

Publié par Kiergaard sur 5 Octobre 2013, 13:14pm

Catégories : #Sciences-Environnement, #USA

  • Cadrage :

- Le consortium industriel FIDO Alliance (haha...) est présenté comme "une organisation qui milite pour résoudre les problèmes relatifs aux authentifications digitales, et ce, en travaillant sur des solutions de substitution pour les codes d’accès.

Parmi les alternatives envisagées par l’alliance, on retrouve l’identification par clé USB, les puces Trusted Platform (TPM), la détection d’empreintes digitales ou encore la reconnaissance vocale." (eMondeos)
- En guise de présentation autant s'intéresser à ce qui est publié sur son site : FIDO Alliance : "Simpler, Stronger Authentification" : "FIDO Alliance (Fast ID Online) est une organisation à but non lucratif formée en juillet 2012 pour remédier au manque d'interopérabilité entre les dispositifs d'authentification, ainsi que les problèmes rencontrés par les utilisateurs face lors de la création ou de la remémoration de multiples noms d'utilisateur et mots de passe. L'Alliance FIDO envisage de changer la nature de l'authentification par l'élaboration de spécifications et de standards qui définissent un ensemble évolutif, ouvert et interopérable de mécanismes qui supplantent le recours à des mots de passe pour l'authentification sécurisée des utilisateurs de services en ligne. Cette nouvelle norme pour les dispositifs de sécurité et les plugins du navigateur permettra à n'importe quel site Web ou application en nuage de s'interfacer avec une large variété de dispositifs "Fido-compatibles" actuels et futurs que l'utilisateur aura pour la sécurité en ligne."
- Concernant l'histoire, je renvoie au site officiel (à lire avec le recul d'usage dans ce cas)

  • Membres et direction :

- Il y a une 30aine de membres au total que ce soit au niveau du membres directeurs, des promoteurs ou des associés, la liste est disponible ici (on notera la présence de Google, Lenovo, BlackBerry (plus pour longtemps haha), Paypal dans les membres directeurs, mais d'un tas de sociétés spécialisées la biométrie chez les promoteurs (Fingerprint Cards AD, Eye Lock, FingerQ...)

- Concernant l'organigramme : La présidence et la vice présidence sont tenues par des cadres (ou anciens) de Paypal, tandis que les autres fonctions (secrétaires, trésoriers et directeurs sont tenus par des cadres d'autres sociétés, Google, Lenovo etc...)

  • Enjeux :

Les enjeux repris dans la presse résident principalement dans l'avenir des mots de passe (histoire de faire accrocheur) et dans le développement de la biométrie. Je renvoie à l'article que j'avais publié sur les enjeux de l'identification biométrique. En ajoutant que la structuration d'industriels en un consortium puissant est de nature à faire varier les rapports de force avec les autorités en charge des standards habituels (qu'elles soient réglementaires ou non). Encore une fois on constate que ce sont les industriels qui sont à l'initiative...

  • Développements récents :

La raison d'être de l'article réside dans le fait qu'après BlackBerry (au début du mois de septembre), c'est désormais Mastercard qui vient de rejoindre ce consortium. Et c'est clairement un poids lourd qui arrive désormais au vu de l'influence de MasterCard dans la fixation des standards dans les paiements en ligne. L'article d'USA Today souligne bien que cela augmente la portée des changements qui vont intervenir quand on connait le nombre et les types de transactions dont à en charge MasterCard. L'article souligne également que cela traduit l'intérêt manifeste de ces industriels pour une extension de la biométrie pour les paiements en ligne... C'est le choix de fond qui a été fait par eux... (parmi d'autres que l'on évoquera). D'autres acteurs (dont Google) vont équiper sous peu leurs dispositifs de mécanismes d'identification biométrique, et quand on sait que les acteurs non-membres du consortium (Apple notamment) font de même, on a peu de doutes sur l'avenir... Pour MasterCard l'enjeu est d'obtenir différentes manières d'identifier les personnes en ligne dans le cadre d'un projet visant à standardiser des protocoles dans ce but.

  • Analyse :

- La tendance de fond est lancée, bien que la concrétisation de ses projets se passe dans l'ombre. Il y a un mouvement fort d'industriels pour reprendre la main sur le futur de l'identification en ligne et poser ses standards en la matière. Se pose la question de la réception de ces nouveaux standards par les autorités réglementaires compétentes et la mise en conformité avec le cadre juridique existant. Ce dernier devra nécessairement évoluer en conséquence.
- D'autres solutions peuvent également être abordées et les experts en sécurité informatique sont parfois sceptiques : "Toutefois, il existe une alternative à ces méthodes d’identification [biométriques]. Ainsi, il sera bientôt possible d’utiliser un code d’accès combiné à la présentation d’un objet physique pour s’assurer de l’identité du sujet. Une solution qui aurait l’avantage d’être à la fois la plus simple et la plus sûre." (eMondeos)
Deux experts en sécurité informatique interrogés sur ce qui pourrait éventuellement remplacer le mot de passe (dans le cadre d'un article de fond) : ""Les données biométriques ?", ose le naïf journaliste. Dans un sourire, Emmanuel Schalit répond par des interrogations : "Mais alors qui détiendrait les brevets et les droits ? Et si deux systèmes sont développés, y aura-t-il une compatibilité suffisante ?" Les freins au développement seraient donc trop forts et trop nombreux. "Il faudrait changer d’ordinateurs, de navigateurs internet, de systèmes d’exploitation."

Pour Dashlane, l'idée est de prendre le problème à l’envers. Au lieu de demander une multitude de mots de passe différents et à rallonge, "il en faut un seul, simple et inviolable". Et c’est précisément ce que la société propose. Elle a créé un coffre-fort où tout les mots de passe et les autres moyens d’authentification sont stockés. Pour accéder à cette forteresse digitale, l’utilisateur n’aura besoin que d’un mot de passe. "Il est unique et n’est stocké que dans la mémoire de l’utilisateur."

Le système paraît imparable. "A condition que les données que nous stockons soient sécurisées", concède Emmanuel Schalit. "Mais on a aussi mis en place un autre niveau de sécurité. Nous ne savons pas qui utilise notre service, la seule chose que nous connaissons est une adresse e-mail. Toutes les données que nous stockons, nous ne pouvons pas les lire." Reste à l’utilisateur à faire confiance, et à ne pas perdre la mémoire."
- Certains font également le lien avec la vie privée et la sûreté des bases de données biométriques (ou non) correspondantes... Quand on apprend récemment que la NSA peut (en mettant du temps) briser occasionnellement l'anonymat sur le site TOR et quand on sait que les données physiques sont immuables et uniques contrairement aux mots de passe on peut clairement s'interroger sur les conséquences qu'auraient une base de données biométriques dans certaines mains.

- Chez les plus critiques on fait le lien avec le programme BOSS du département de la Sécurité Intérieure américain qui tirerait habilement profit de ces bases de données. Voici comment est présenté le programme sur un blog : "Ce système, en développement depuis deux ans, utilise deux caméras infrarouges capables de prendre plusieurs clichés d’un visage sous différents angles. Ces images stéréoscopiques sont transférées à un système d’analyse chargé d’identifier les visages de «suspects» présents par exemple dans un mouvement de foule. La correspondance entre les différentes captures de visages est établie sur la base de signatures 3D extraites des images stéréoscopiques provenant des caméras. Le système est capable de capturer des images du visage d’un individu à une distance entre 50 et 100 m."
Alors que les taux de réussite actuellement varient entre 80 et 90% des tests ont été menés dernièrement lors d'un match de hockey junior. L'objectif étant de l'étendre aux aéroports et aux points d'entrée du pays. (Cf également ici).

Archives

Nous sommes sociaux !

Articles récents