Des chercheurs de la société FireEye viennent de mettre à jour une faille importante dans la sécurité des Samsung Galaxy S5. Un hacker se connectant au téléphone (même avec le niveau d’accès le plus faible) sera capable d’en extraire les données biométriques, soit une copie de l’empreinte digitale de l’utilisateur.
Cette révélation démontre une nouvelle fois que les systèmes d’identification biométriques grand public peuvent être piratés. En janvier, les hackers Chaos Computer Club avaient réussi à reconstituer l’empreinte digitale du ministre de la défense allemand. Sur le papier, la biométrie est un bon moyen de prévenir l’usurpation d’identité et les fraudes associées. On peut vous voler vos mots de passe mais pas vos empreintes digitales ou votre œil. Soit. Mais on constate bien que l’authentification biométrique est aussi piratable.
Ce qui pose problème, c’est qu’une fois piratées, les données biométriques ne peuvent être modifiées. Vous ne pouvez pas changer votre empreinte digitale ou rétinienne comme un mot de passe, et vous n’avez pas envie que n’importe qui en prenne possession. Une fois que vos empreintes digitales seront dans la nature (sans forcément que vous soyez prévenu), vous serez en risque si votre empreinte digitale est la porte d’entrée vers vos données personnelles ou professionnelles.
On a beau nous annoncer la mort du mot de passe chaque semaine dans la presse technologique, il a encore de beaux jours devant lui !
Ce n’est en réalité pas tout à fait un hasard si le mot de passe s’est imposé depuis des décennies comme un « standard de fait ». Un peu comme le clavier AZERTY que beaucoup ont cherché à remplacer, il a survécu pour l’instant aux nombreuses innovations qui ont cherché à le remplacer. C’est en effet une technologie peu coûteuse, non brevetée, qui peut être utilisée de manière anonyme et qui permet de gérer la grande majorité des connexions sécurisées sur le web. Surtout lorsqu’une faille de sécurité est découverte, vous pouvez changer vos mots de passe pour vous assurer que vos données sont en sécurité. Ca n’est pas le cas avec la biométrie !
Employés correctement, les mots de passe sont sécurisés. Ils doivent être différents pour chaque site et composés de caractères alphanumériques choisis aléatoirement. Il est par ailleurs nécessaires de les changer régulièrement. Si vous respectez ces règles et stockez vos mots de passe sous forme cryptée, vous êtes en sécurité. Le vrai sujet ce sont moins les mots de passe que la manière dont nous les gérons. Le cerveau humain n’en est pas capable et c’est pourquoi il doit être suppléé par un outil comme Dashlane.
Les récents développements dans l’authentification en ligne sont très intéressants, notamment pour améliorer les méthodes d’authentification fortes combinant différents facteurs et utilisées pour des données très sensibles. Le mot de passe est cependant le standard de fait de l’authentification en ligne. Pour être en sécurité sur le web dès aujourd’hui, et non pas demain, la seule solution est de renforcer la sécurité de ses mots de passe. (Guillaume Desnoes, responsable des marchés européens de Dashlane / Forbes)
Les hackers du Chaos Computer Club ont réussir, fin décembre, à reproduire l’empreinte digitale du ministre allemand de la défense à partir de photos publiques en haute définition. Sachant qu’ils avaient précédemment montré qu’ils savent utiliser ces empreintes reconstituées sur les capteurs des téléphones portables grand public… Prenons un peu de recul et analysons ce que cela veut dire pour l’avenir de l’authentification en ligne. Par Emmanuel Schalit, CEO de Dashlane.
Il y a traditionnellement trois types de facteurs qui permettent d’authentifier un individu :
· Ce qu’il sait (mot de passe, code pin, question secrète…)
· Ce qu’il possède (jetons, cartes…)
· Ce qu’il est (signature de l’iris, empreinte digitale…)
Les systèmes informatiques très sensibles des gouvernements ou des grandes entreprises utilisent souvent des processus d’authentification forte, multi facteurs, qui requièrent la mise en œuvre de deux ou trois facteurs parmi les trois types citées ci-dessus. Les sites Internet grand public quant à eux utilisent des systèmes d’authentification simples, basés sur un identifiant et un mot de passe connu uniquement de l’utilisateur. Pour des raisons pratiques, les consommateurs ne sont pas prêts à utiliser des systèmes multi facteurs sur les dizaines de sites web qu’ils utilisent régulièrement.
Quels sont les avantages et les désavantages de la biométrie pour l’authentification en ligne des consommateurs?
Le point fort de la biométrie c’est qu’elle résout à la fois le problème de l’identification (déterminer l’identité d’un individu) et de l’authentification (confirmer son droit à accéder à un contenu ou un service). Sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… C’est ce qu’on pensait jusqu’à maintenant. La reconstitution d’empreinte réalisée par les hackers la semaine dernière bouleverse cette croyance.
Désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification. Et apparaît alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…
La biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire. Utilisés correctement (un mot de passe fort et unique pour chaque site web), les mots de passe ont de réels avantages :
· Un mot de passe peut être volé mais si vous utilisez un mot de passe unique pour chaque site, l’intégrité de vos autres accès n’est pas compromise en cas de vol. C’est différent avec les données biométriques qui sont par définition les mêmes partout
· Un mot de passe peut être partagé, ce qui est nécessaire à la fois en famille et au travail. Les comptes Netflix à la maison ou les comptes Twitter d’entreprise sont par exemple généralement accessibles via un seul compte dont les identifiants sont partagés.
· Le mot de passe préserve l’anonymat qui est très important pour les internautes. Que serait Twitter sans la possibilité de créer des comptes anonymes ?
Compte tenu de notre utilisation croissante d’Internet, nos cerveaux ne peuvent plus accomplir seuls toutes les tâches nécessaires pour bien gérer ses mots de passe : génération aléatoire, stockage sous forme cryptée, mémorisation, changement des mots de passe. Nous avons trop de comptes et trop d’appareils pour cela. C’est pourquoi de plus en plus d’utilisateurs d’Internet se reposent sur un gestionnaire de mot de passe pour s’assurer de respecter les règles de bases du bon usage des mots de passe.
Certains voient les mots de passe comme un système temporaire qui sera remplacé très rapidement par un système d’authentification ultra sophistiqué. Cela sera peut-être vrai un jour mais en attendant, le mot de passe reste le standard, et un standard ne se remplace pas si facilement. Pour preuve, nous utilisons toujours le clavier au format azerty, non pas parce que l’ordre de ces lettres est nécessaire aujourd’hui (c’était le cas uniquement sur les machines à écrire avec ruban), mais parce que c’est devenu un standard, et qu’aucune innovation n’a réussi à le supplanter, en termes de facilité d’usage comme en termes de déploiement. Nous ferions mieux de veiller à bien utiliser nos mots de passe plutôt que de croire à une hypothétique solution miracle !
L’empreinte digitale comme alternative possible au code confidentiel / Le premier prestataire européen de paiement multicanal se donne pour objectif d’améliorer continuellement l’expérience de ses utilisateurs.
Avec pour objectif d’améliorer en permanence l’expérience des utilisateurs grâce à des innovations ingénieuses, Yapital, premier prestataire européen de paiement multicanal, teste actuellement le paiement par reconnaissance d’empreinte digitale. Cette technologie pourrait être amenée à remplacer la saisie d’un code confidentiel lors du paiement par smartphone.
Pour Oliver Kress, premier vice-président de Yapital chargé de l’innovation, le groupe « revendique sa capacité à pouvoir rendre très rapidement opérationnel tout nouveau procédé technique susceptible d’améliorer l’expérience des utilisateurs. Dès que les principaux fabricants de smartphones ont intégré à leurs produits des dispositifs de reconnaissance d’empreinte digitale, nous avons aussitôt lancé les expérimentations. » Le but étant de déterminer si ces nouvelles technologies satisfont aux exigences de Yapital en termes d’ergonomie et de sécurité. » Le dispositif doit être simple, sûr et intuitif pour le consommateur. Si c’est le cas, alors nous le proposerons« , dit Oliver Kress.
Le paiement par reconnaissance d’empreinte digitale constituerait la troisième innovation d’importance du prestataire de paiement multicanal au cours de cette seule année : en 2014, Yapital a en effet déjà présenté l’intégration du Bluetooth Low Energy (BLE) et l’achat par flash du code QR directement depuis un support publicitaire, une affiche ou à travers une vitrine.
Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.
Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.
Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».
Machine de la ville d’Annoeullin (59).
La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service».
420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.
114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle. France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.
Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».
Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.
Démonter un bureau de vote en 59 secondes… pour le piéger
C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique? » Alain Anziani et Antoine Lefèvre ne le pensent pas.
Apple a présenté son nouveau smartphone équipé d’un lecteur d’empreintes digitales. « C’est un bon début pour sécuriser son mobile mais ce n’est pas suffisant », souligne à DataSecurityBreach.fr Marc Rogers, Responsable de recherches chez Lookout, leader de la sécurité pour téléphones mobiles et tablettes. Les technologies de reconnaissance d’empreintes digitales sont pratiques Elles sont en effet plus pratiques que les codes PIN, si bien que de nombreux utilisateurs n’ont recours qu’à cette méthode. Mais, utilisées seules, elles n’offrent pas beaucoup plus de sécurité que les codes à 4 chiffres.
La reconnaissance d’empreintes digitales doit être associée à d’autres méthodes d’authentification
Dans les environnements ultra sécurisés, tels que les installations militaires, les technologies de reconnaissance d’empreintes digitales sont généralement associées à d’autres solutions biométriques, de reconnaissance rétinienne ou de la géométrie de la main, par exemple. Car les empreintes digitales peuvent être relevées et reproduites. D’où l’importance d’installer un second système d’authentification, biométrique ou par code PIN. Il est toujours risqué de ne miser que sur une seule méthode de sécurité. Les technologies de reconnaissance d’empreintes digitales ont des limites, qu’il est crucial de connaître afin de les utiliser en toute connaissance de cause.
Les technologies de reconnaissance d’empreintes digitales sont vulnérables
Une empreinte digitale peut tout à fait être reproduite. Et les techniques de reproduction risquent d’ailleurs d’évoluer au gré de l’adoption des systèmes de reconnaissance d’empreintes digitales. Sans compter que les voleurs peuvent toujours forcer leurs victimes à déverrouiller un système.
Les technologies de reconnaissance d’empreintes digitales participent à lutter contre les vols de téléphones
La sécurité de terminaux mobiles est un défi particulièrement complexe. La bonne nouvelle est qu’Apple et d’autres fabricants de terminaux mobiles ont décidé de s’y atteler ensemble. Leur objectif : déterminer quels mécanismes de sécurité associer pour compliquer la tâche des voleurs. Nul doute que la reconnaissance d’empreintes digitales fera partie de l’équation. Il reste à découvrir comment Apple mettra cette technologie au service des consommateurs.
Il n’y a pas de recette miracle pour protéger les terminaux mobiles
Tout ce qui est fait par l’homme peut être défait par l’homme. Il est donc indispensable de combiner plusieurs technologies qui compliqueront la tâche des attaquants et les dissuaderont de passer à l’acte.
La PME française Alise poursuit avec succès l’équipement biométrique RCM (reconnaissance du contour de la main) des restaurants scolaires des établissements du second degré. Datasecuritybreach.fr a appris que cet outil de gestion des accès utilise la technologie en 3D de la morphologie. Elle consiste à réaliser une photo numérique de la main pour en enregistrer la forme. En cette rentrée scolaire, 479 collèges et lycées en sont équipés, soit une augmentation de 17% par rapport à la même période l’année dernière !
Le contexte – La liste est longue des raisons qui poussent de plus en plus d’établissements à opter pour ce système en complément de la technologie actuelle, les cartes magnétiques. « Une main ne s’oublie pas, ne s’échange pas, ne se perd pas. Les avantages sont nombreux, disent les principaux et proviseurs eux-mêmes : des économies (le remplacement d’une carte magnétique est payant), moins d’administratif et plus de temps consacré à une organisation efficace du passage des élèves à la cantine, la tranquillité d’esprit pour les responsables de l’établissement et les parents – qui sont sûrs que c’est bien leur enfant qui s’est présenté au self – une facturation au juste prix, etc.»
Parmi les installations effectuées durant l’année écoulée, certaines sont situées dans cinq départements où la biométrie RCM Alise n’était pas encore présente : le Calvados, la Drôme, la Savoie, l’Yonne et Saint-Martin (Antilles). Notez d’ailleurs que même le Lycée français de Moscou a opté pour cette technologie ! En tête des régions les mieux équipées : la Provence-Alpes-Côte d’Azur, qui compte 122 établissements installés, et l’Île-de-France, avec 87 collèges et lycées dotés du matériel. Les régions Rhône-Alpes, Pays de la Loire et Alsace comptent, respectivement, 45, 35 et 30 établissements équipés en biométrie RCM Alise.
Comment ça marche ?
Le lecteur de biométrie RCM Alise permet l’identification des convives dans les cantines des collèges et lycées. Il suffit à l’élève de taper un code de 1 à 4 chiffres puis de poser sa main sur le lecteur. À la différence du relevé des empreintes digitales, ce système ne laisse pas de trace et rend impossible la constitution de fichiers ou l’utilisation de données personnelles à des fins abusives. Ce que dit la loi – Ces installations sont réalisées dans le strict respect des recommandations de la Cnil. En effet, la Commission nationale de l’informatique et des libertés souligne que le seul dispositif autorisé dans les établissements scolaires (AU-009) repose sur une biométrie “sans trace”, c’est-à-dire par reconnaissance du contour de la main, par opposition au relevé d’empreintes digitales, non autorisé dans les écoles. Comment Alise applique la réglementation – Toute nouvelle installation fait l’objet d’un courrier d’information adressé par le gestionnaire de l’établissement aux parents d’élèves. De plus, chaque lecteur biométrique RCM Alise est systématiquement associé à un lecteur de cartes magnétiques, une alternative qui permet de gérer le passage des convives exceptionnels ou ne souhaitant pas utiliser la borne biométrique.
Alise est spécialisée dans la gestion et le contrôle d’accès par carte et par biométrie RCM au restaurant scolaire (établissements du second degré). Basée à Venelles, près d’Aix-en-Provence, elle dispose d’une agence principale à Asnières, en région parisienne. Son succès repose, depuis sa création en 1992, sur le développement d’Arc-en-Self, logiciel permettant de gérer les aspects financiers et administratifs de l’accès à la demi-pension des restaurants scolaires. Alise propose ensuite, au rythme des développements technologiques, différents moyens de contrôle : tourniquet, barrière lumineuse, distributeur de plateaux et, depuis neuf ans, toujours avec une longueur d’avance, biométrie RCM. L’entreprise équipe près de 2 700 établissements scolaires, dont 479 en biométrie RCM, et réalisera, en 2013, un CA de près de 4 M€ HT
La biométrie vocale fournit une couche supplémentaire de sécurité et, dans le cadre d’un processus d’authentification multifactorielle, élimine pratiquement les risques associés à l’utilisation du même identifiant et mot de passe pour les comptes multiples. En utilisant simplement l’empreinte vocale unique à chaque être humain, la sécurisation de l’accès aux informations personnels s’en trouve amélioré et pallie l’oubli des mots de passe. DataSecurityBreach.fr rappelle qu’il s’agit également de la seule caractéristique biométrique à pouvoir être vérifiée à distance, ce qui rend l’authentification vocale particulièrement pratique.
Plusieurs groupes comme Barclays, Turkcell, Vanguard et Eastern bank ont choisi d’offrir à leurs clients une méthode d’authentification plus naturelle reposant sur la biométrie vocale. Barclays est le premier groupe de services financiers à déployer un système de biométrie vocale passif comme principal moyen d’authentification des clients contactant leur centre d’appel. Lorsqu’un client appelle Barclays pour consulter ses comptes par téléphone, il converse tout naturellement pendant 20 à 30 secondes avec un agent du service client. Pendant ce laps de temps, la voix du client est comparée avec son empreinte vocale déjà enregistrée. Lorsque l’identité du client est effectivement authentifiée, le représentant de Barclays en est averti discrètement. Si le système n’authentifie pas le client ou si la demande de transaction excède les seuils de sécurité, les agents de Barclays procèdent alors à la traditionnelle authentification basée sur la connaissance.
A ce jour, la société Nuance a traité plus de 30 millions d’empreintes vocales avec sa technologie de biométrie vocale et, en seulement deux ans, ce nombre a triplé. Traditionnellement utilisée dans le secteur bancaire, celui des télécommunications et pour le compte d’organisations gouvernementales, l’usage de la biométrie vocale s’accélère dans les domaines de la mobilité et de l’électronique grand public.
Nuance a dévoilé, il y a quelques jours, une nouvelle génération de biométrie vocale adaptée à une authentification du locuteur pour les terminaux mobiles, les téléviseurs ou encore les rapports médicaux. L’authentification vocale est à coup sûr en passe de se démocratiser. Le « jeton vocal » pourrait bientôt remplacer les habituels mots de passe et codes PIN.
Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.
La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.
Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.
Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique».
Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien».
Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.
Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.
Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables. iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.
A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.
Un ancien fonctionnaire de la CIA, officiant pour la NSA, révèle l’existence de PRISM, un espion numérique. Voici comment combattre cet espionnage. Vous avez très certainement dû lire les « révélations » d’un ancien agent de la CIA, Edward Snowden, expliquant que les grandes oreilles de l’Oncle Sam avaient mises en place, avec l’aide de Microsoft, Yahoo!, Google, Facebook, PalTalk, Youtube, Skype, AOL et Apple, un moyen d’interception de données global. Collecte de fichiers, photos, vidéos, audios, … Des données que peuvent ensuite se partager la NSA, le FBI et le MI6/MI5 Anglais. Vous comprenez mieux pourquoi zataz.com expliquait, il y a peu, le rachat de Skype (Entreprise alors Australienne) par Microsoft. Une collecte de taille, 97 milliards d’informations. Bref, voici avec Prism, le petit frère espion du système Echelon qui avait fait couler pas mal d’encore à la fin des années 90.
Chiffrez vos informations
Pour cela, de nombreux outils vous permettent de protéger vos données et autres contenus. Pour les eMails, passez par EnigMail (http://www.enigmail.org) ; pour l’ensemble de vos données GNU Privacy Guard (http://www.gnupg.org) ; Mailvelope vous permet de chiffrer vos correspondances par webmail (http://www.mailvelope.com) ou encore, via votre navigateur, WebPG (http://webpg.org/) ; couplez à cela des outils d’anonymisation et d’auto destruction de vos fichiers comme avec AnonPaste (http://www.anonpaste.me/anonpaste2/index.php) ou encore PastBay (http://pastebay.com) et FileTea (https://filetea.me) et vous voilà avec de quoi sécuriser votre vie sur la toile. En parlant de webmail (Gmail, Yahoo, …), si vous utilisez un outil de la sorte, pensez à chiffrer vos correspondances. BitMessage (https://bitmessage.org/) et RiseUp feront parfaitement l’affaire. DataSecurityBreach.fr conseille cependant d’utiliser des clients de messagerie. Plus « secure » ! Pour pallier à Outlook ou encore Apple Mail, penchez-vous sur Mozilla Thunderbird (https://www.mozilla.org/en-US/thunderbird/) ou encore iCedove. (http://directory.fsf.org/wiki/Icedove).
Vos « surfs »
les navigateurs alternatifs ne sont pas légions. Oubliez donc, à en croire l’ex 007, Safari, Chrome et Internet Explorer. Passez vers Firefox, le navigateur Open Source de Mozilla et le chiffrement proposé par l’outil TOR. Ce dernier propose d’ailleurs un navigateur chiffré et à la navigation anonyme. Petit bémol pour Firefox, comme l’indique le document lié à la politique de confidentialité de Firefox, plusieurs données sont collectées. En ce qui concerne les recherches sur Internet, oubliez Google Search, Yahoo! Search et Bing de Microsoft. Passez vers DuckDuckGo (https://duckduckgo.com/), StartPage (https://startpage.com/) ou encore Yacy (http://www.yacy.net/). Nous ne proposerons pas de solutions pour le Cloud. Si vous utilisez un tel service, pensez à chiffrer vos sauvegardes. Pour les amateurs de messagerie instantanée, oubliez Whats App Messenger, Yahoo! et autre Google Talk. RetroShare (http://retroshare.sourceforge.net) est parfait.
Vous pouvez aussi vous pencher sur l’application Firefox Cryptocat. Utilisateurs de smartphone, Android permet d’installer des outils qui sécuriseront vos appels comme le montre l’émission du mois de mai de ZATAZWeb.tv. TextSecure (https://whispersystems.org/#encrypted_texts) permet de sécuriser SMS et MMS. Les clés USB, aussi, peuvent se sécuriser, comme cette possibilité biométrique chiffrée présentée sur Data Security Breach. Pour les utilisateurs des outils de la grosse pomme, un Cat sécurisé/crypté est proposé avec ChatSecure (https://chatsecure.org) et le surf sans trace avec Onion Browser (https://mike.tig.as/onionbrowser).
Bref, prévenir les actes d’attentats, ok. 62% des américains estimeraient selon une étude récente (Le Monde) que les écoutes téléphoniques sont importantes pour lutter contre les terroristes ; 45 % veulent que le gouvernement aille plus loin dans ses « enquêtes ». Que ces américains se réjouissent, c’est en cours !
Petites entreprises, grandes menaces : restez informés, restez protégés
