En effet, s’il est impératif de prendre garde à la manière dont sont chiffrées et stockées les données biométriques (cf. Jérôme Soyer), il est également important de rappeler que ces données ne seront requises qu’à la création du compte par la suite un mot de passe à six chiffres sera fourni aux utilisateurs. Étant donné le caractère monofacteur de l’authentification, une campagne de phishing pourrait permettre de récolter lesdits mots de passe et usurper des comptes préexistants (cf. Pascal Le Digol).

Jérôme Soyer, Directeur Avant-Ventes, Europe de l’Ouest de Varonis (société spécialisée de la gouvernance et la sécurité des données) identifie quelques points de vigilances quant au traitement et à la protection des données biométriques.

Les données biométriques constituent une autre forme d’identification et, à ce titre, elles feront l’objet d’attaques : vol, suppression ou modification. Ce qui m’inquiète le plus est la manière avec laquelle les organisations protègent les données biométriques contre les abus. Du point de vue de la conformité au RGPD, cela pose un autre défi : comment les organisations vont-elles créer ou supprimer ces données biométriques ?

Les systèmes de reconnaissance biométrique n’en sont qu’à leurs balbutiements, mais leur succès va grandissant à mesure que les développeurs les intègrent à leurs nouveaux produits. Industrie et consommateurs devraient prendre du recul et se demander si la commodité offerte vaut le risque encouru. Une fuite de données biométriques serait une grave atteinte à la protection des données. Le problème est qu’il est impossible de modifier les données biométriques - elles sont à vous pour la vie. Les risques associés sont de fait incalculables.

La meilleure façon de protéger des données biométriques est de les stocker sur des systèmes distincts et segmentés. De plus, ces données doivent être soumises à une fonction de hachage cryptographique (difficile à inverser) avant d’être stockées. Les principes traditionnels de sécurité informatique s’appliquent à la reconnaissance faciale. Des outils d’authentification automatiques doivent également être déployés pour contrôler qu’aucune application de services système compromise n’est dissimulée – aucun raccourci ne devrait être pris.

Pascal Le Digol, Directeur France de WatchGuard (société spécialisée notamment sur les solutions d’authentification multifacteur) met en avant un faux pas sécuritaire de la part de l’État, pour une application censée donner accès aux informations les plus sensibles de nos concitoyens !

La particularité de cette nouvelle application, qui est à l’origine d’un débat, est l’utilisation de la reconnaissance faciale pour authentifier les utilisateurs (la reconnaissance faciale est croisée avec les données biométriques du passeport de la personne).

Pour Pascal le Digol, même si l’utilisation de la reconnaissance faciale donne une illusion d’innovation et d’un État français au rendez-vous de l’ère numérique, d’un point de vue sécuritaire, malheureusement le travail est bâclé puisqu’une fois le compte utilisateur créé, l’application ne requiert finalement qu’un simple mot de passe - faible qui plus est - pour s’identifier !

L’expert explique surtout que « les attaquants qui se pencheront sur Alicem ne s’attaqueront certainement pas à la reconnaissance faciale utilisée en premier lieu puisqu’ils pourront simplement récupérer le code à 6 chiffres envoyé ensuite, à l’aide d’une simple campagne de phishing ! Il y a fort à parier que nous verrons une attaque de phishing de ce type – un mail d’apparence très crédible, sans faute d’orthographe, avec des URL n’invitant pas au soupçon, usurpant un logo de l’Etat, etc. - apparaître assez rapidement après la mise en application d’Alicem… Ce dont nous pouvons être sûr avec les cybercriminels, c’est qu’ils empruntent toujours les chemins les plus aisés pour parvenir à leurs fins ».

Le principal problème que soulève Pascal Le Digol est en effet que « malgré l’intégration de la reconnaissance faciale, qui est en soi une avancée technologique, la deuxième étape revient à une méthode d’authentification qui est aujourd’hui totalement dépassée ! Après avoir créé son compte, l’utilisateur va ensuite se connecter avec un mot de passe à 6 chiffres, alors qu’aujourd’hui, la grande majorité des applications et sites ont mis en place une politique minimum de mots de passe forts, intégrant des caractères spéciaux, majuscules, chiffres, etc. Au final, nous sommes ici sur une authentification monofacteur à l’heure où la norme devient petit à petit l’authentification multifacteur, ou MFA, dans toutes les entreprises ».

L’expert ajoute : « Le pire, c’est qu’à l’heure où il est nécessaire de sensibiliser massivement à la cybersécurité, cette initiative peut être pernicieuse, car d’aucun pourrait penser qu’il suffit de ça pour être protégé, ce qui n’est pas le cas. Il est impératif de continuer à sensibiliser les utilisateurs à la cybersécurité et de prendre garde à ne pas envoyer des signaux contradictoires ».