L'identification biométrique et l'utilisation d'attributs physiques uniques tels que les empreintes digitales pour authentifier les personnes, est depuis longtemps considérée comme sûre. Par exemple, la technologie est attrayante pour les banques et les clients des banques, qui représentent ensemble une cible énorme pour les cybercriminels. En fait, les banques testent déjà de nouveaux distributeurs automatiques avec accès biométrique, ou prévoient de le faire bientôt.
Sur le plan institutionnel, le grand avantage de méthodes telles que la reconnaissance de l'iris ou l'identification des veines est que le taux d'erreur de faux rejet et de fausse acceptation est réduit. Les utilisateurs aiment la biométrie parce que cette technologie est rapide et les libère des mots de passe et autres codes secrets. Malheureusement, la technologie de numérisation des empreintes digitales est très répandue et n'est pas aussi fiable qu'elle devrait l'être. Par exemple, les utilisateurs d'iOS et d'Android se plaignent souvent de ne pas pouvoir déverrouiller leur appareil, ou de ne pas pouvoir être déverrouillés par d'autres personnes.
Qu'en est-il des distributeurs automatiques de billets ?
Les guichets automatiques biométriques n'ont pas encore été mis en place, mais les experts en sécurité ont déjà découvert plus d'une douzaine de développeurs clandestins proposant des écrémeurs biométriques sur le marché noir. Ces appareils sont conçus pour voler les empreintes digitales scannées.
D'autres développeurs clandestins veulent créer des dispositifs capables d'intercepter les résultats de la reconnaissance de l'iris ou de l'identification des veines. De plus, les écrémeurs ne sont pas le seul moyen de voler des données biométriques. Les attaques de type man-in-the-middle et autres méthodes similaires seront aussi efficaces avec les identifiants biométriques qu'elles le sont actuellement avec les noms d'utilisateur et les mots de passe.
Bien entendu, les criminels piratent également les serveurs avec les données des utilisateurs, quelle que soit la forme de ces données.
En outre, les criminels peuvent utiliser des données brutes à l'aide d'écrémeurs biométriques pour créer un faux modèle de connexion. Les banques devront travailler très soigneusement sur les normes de sécurité avant d'utiliser des distributeurs automatiques de billets biométriques.
Le déclin de la sécurité biométrique
L'utilisation de la biométrie a commencé avec les gouvernements, les forces de sécurité et l'industrie de la défense. Dans ces domaines, la biométrie s'est avérée fiable, principalement parce que les institutions pouvaient se permettre d'acheter du matériel coûteux et de haute qualité.
Toutefois, avec l'adoption généralisée de la biométrie, nous avons déjà constaté l'impressionnante marge de sécurité. La popularité de la technologie est un facteur important de ce problème pour deux raisons. Tout d'abord, les normes relatives aux spécifications de sécurité pour les produits de consommation sont moins élevées que pour les mises en œuvre critiques. Deuxièmement, un large éventail de dispositifs facilement disponibles fournit aux criminels un énorme banc d'essai de dispositifs grand public pour expérimenter et trouver de plus en plus de vulnérabilités, dans leur propre intérêt. Le développement rapide de l'impression en 3D a également contribué aux faiblesses de la biométrie.
L'année dernière, plus de 6 millions d'applications mobiles ont été installées qui prennent en charge l'authentification par empreintes digitales.
Espoirs et recommandations pour l'avenir
Heureusement, les données biométriques ne sont pas stockées comme ça : un serveur ne reçoit que les résultats de balayage hachés, ce qui rend le vol manifeste moins intéressant. Néanmoins, les criminels peuvent toujours utiliser des méthodes telles que l'attaque de l'homme au milieu mentionnée plus haut, en infiltrant le canal de transfert de données entre le distributeur automatique et un centre de traitement pour voler l'argent des utilisateurs.
En fin de compte, les banques et les utilisateurs devront continuer à appliquer des mesures de sécurité strictes contre les failles des connexions traditionnelles, ainsi qu'ajouter une protection contre la fraude biométrique. De la part des entreprises, cela comprend l'amélioration de la conception des distributeurs automatiques de billets pour empêcher l'installation d'écrémeurs, ainsi que la création et le maintien d'un contrôle sur la sécurité du matériel et des logiciels des distributeurs automatiques de billets.