La BNP a sorti une nouvelle carte de crédit avec empreinte digitale, et se targue d'être le premier sur sol français à sortir un tel produit. Les publicités par BNP sur le sujet commencent à se diffuser partout. Mais avec la montée dans le commerce de produits sécurité par les empreintes digitales, voir le TouchID d'Apple, ne va-t-on pas voir venir l'extension des données volée sur ce sujet justement … ? Les empreintes digitales pour un moyen de paiement est un peu différent qu'une sécurisation d'un mobile. S'il il y a un souci pour le mobile, cela ne pose pas de problème puisqu'on peut facilement revenir au système d'avant. Ceci est donc plus un test. L'attractivité d'un moyen de paiement et notamment pour les voleurs, engendre donc un effet sur l'empreinte digitale sans doute différent. Mais la démarche commerciale et le fort engouement autour de ces systèmes de protection va de pair avec le fait que c'est un système qui flatte la paresse de l'individu. En effet nul besoin de mémoriser ou créer un mot de passe complexe. Et sans nul doute que les entreprises commerciales, avec les banques, surfent sur cet avantage pour essayer de diminuer l'attention du public sur les problèmes potentiels.
Les problèmes
On parle souvent du problème réel de la vie privée et des dérives potentielles au niveau du contrôle et de la surveillance. Mais le gros problème de l'empreinte digitale, c'est que ce n'est pas un système de sécurité exact, mais « approximatif » dépendant d'une reconnaissance qui par définition est donc sujette à une marge d'erreur. Ceci ajoute un critère problématique dans un système d'authentification. De plus les systèmes biométriques dans leur ensemble on un problème de taille, mis en avant par les personnes dans la sécurité depuis longtemps, et largement sous estimé par les entreprises commerciales : la non révocation possible de celles-ci. (Voir à ce sujet les critique sur Wikipédia) Lorsqu'on vous vole une empreinte digitale, impossible de vous couper le doigt ou de vous en faire greffer un nouveau pour palier au problème de votre donnée voyageant dans les marchés noirs …
Les preuves d'usurpation
Le Chaos Computer Club allemand a montré à plusieurs reprises, notamment il y a 7 ans, que les systèmes à empreinte digitale, notamment le TouchID d'Apple, pouvait être berné. Les empreintes digitales pouvaient vraiment être volées. Soit via des systèmes de reprise des traces et des reconstructions en relief, soit même via la grande qualité des photos trouvées sur les réseaux sociaux. Donc l'empreinte digital, devient une donnée avec une valeur marchande comme une autre (mot de passe, numéro de mobile).
autres articles sur le sujet
L'Express
L'Usine Digitale
VentureBeat
La recherche sur la fiabilité des empreintes digitales est loin d'être unanime sur la sécurité des empreintes.
voir d'autres recherches récentes
Kaspersky
The Guardian
Thread Post
Bank Info Security
L'évolution des « vraies fausses » empreintes
Des nouveaux systèmes via le mix de l'Intelligence Artificielle permettent de créer des « DeepMasterPrints », soit des fausses empreintes extrapolées de vraies, plus efficaces que des images simples. Des grosses collections d'images de mains deviennent alors très utiles.
articles et recherche à ce sujet
Wired
article recherche "DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution"
La future mutation des vols … ?
Ces derniers temps, après les vols de mots de passe craqués (vols de hash, craqués ensuite en masse dans des « fermes de calculs »), puis des collections toujours plus grandes circulant des résultats en clair, sont arrivé l'utilisation des systèmes à 2 facteurs (2FA puis récemment MFA), d'abord utilisé avec un envoi d'un second mot de passe par SMS. Les vols ont alors migré vers le vol des numéros de mobiles (pour permettre les attaques de SIM swapping, ou autres système basés sur l'interception). Ces toutes dernières années ont commencé à survenir des grosses collections de numéros de mobiles.
Ici, si la démocratisation des systèmes biométriques deviennent chose courante de part la publicité et les pressions commerciales, il y a de grande chance pour que l'écosystème de la fraude et son agilité migre alors une nouvelle fois vers des collections d'empreintes digitales volées ? Voler des empreintes digitales en masse semble beaucoup plus compliqué que pour voler des mots de passe ou des numéros de téléphone. Mais les méthodes pour voler les empreintes digitales notamment sur les mobiles (fausses interface dans le style « phishing ») pourrait se démocratiser en même temps que la démocratisation des empreintes digitales sur les cartes de crédit … Comme souvent, le commerce poussant un système de sécurité, pousse en même temps les évolutions pour voler ces nouvelles types de données.
Dans le domaine de la reconnaissance faciale, on a vu apparaître des entreprises, à la frontière, comme Clearview AI, piller des milliards de photos des réseaux sociaux pour s'en servir comme base de données gigantesque d'identification des personnes. On pourrait voir apparaître de la même manière des groupes malveillants, volant en masse des photos des mains des personnes sur les réseaux sociaux, les utiliser éventuellement avec des systèmes AI d'extrapolation d'empreinstes (DeepMasterPrints) pour tenter d'en faire des bases de données géantes d'empreintes digitales et noms des personnes correspondantes. Un groupe pourrait utiliser ou vendre de telles empreintes digitales de telles personnes lorsque leurs exploitations peuvent être fructueuses. L'engouement commercial sur les empreintes digitales créant alors le terreau de nouvelles grosses dérives de vie privée, encore plus problématiques que les précédentes.
Évolution future : les faux criminels ?
Avec une diffusion de collections de données d'empreintes digitales volées, pour exploiter la démocratisation des cartes de crédit avec empreinte digitales, pourrait alors apparaître un autre problème au niveau des polices scientifiques …? Avec une grande collections d'empreintes digitales volées, il pourrait être plus facile sur des scènes de crime, d'incriminer des faux suspects volontairement par les criminels eux-mêmes. Ce sujet semble encore peu populaire, mais il s'agit d'un vrai danger juridique au niveau des investigation juridique. Donc les entreprises commerciales indirectement seraient alors aussi potentielles les moteurs de problèmes beaucoup plus vastes et beaucoup plus graves …?
un article médico-légal à ce sujet
HG Experts
Conclusion
Les campagnes marketing des nouveaux produits de sécurité avec empreintes digitales notamment dans le système des paiements de carte de crédit, semblent se poser très peu de questions sur les risques éventuels indirects de la mutation des fraudes engendrée. Ni même des nouveaux problèmes sociétaux qui pourraient émerger. Mais ces problèmes concerneront sans nul doute les citoyens très profondément dans leur vie intime.