Une nouvelle que vous n’avez pas dû louper si vous suivez l’actualité monétique, est celle de l’arrivée en France de l’authentification biométrique sur mobile proposée par HSBC France. Ainsi, un utilisateur équipé d’un smartphone pourra désormais s’authentifier en apposant son doigt en lieu et place de taper son mot de passe. Confort vs Risque, nos commentaires sur cette bataille.
Contexte
Ce service n’est pas nouveau. Il fait suite à la mouvance lancée il y a déjà 2 ans, en 2014, par PayPal, suite à l’intégration d’un lecteur d’empreinte sur certains smartphones. En 2015, c’était au Royaume-Uni que HSBC proposait ce nouveau moyen d’authentification.
L’authentification biométrique est clairement un sujet à la mode. De plus en plus d’utilisateurs sont équipés de smartphones, désormais souvent équipés d’un lecteur d’empreinte digitale. Même si seulement 60 000 porteurs pourraient être amenés à utiliser ce service d’après les prévisions de HSBC France, il a été décidé d’authentifier le porteur par biométrie.
De nouveaux risques
Si cette nouvelle authentification est plus simple que le couple classique nom d’utilisateur / mot de passe, elle n’est pas la panacée. En effet, la biométrie pose quelques problèmes sécuritaires. Contrairement à la question « que sais-je ? » et dont la réponse est privée, la question « qui suis-je ? » admet une réponse publique ; c’est-à-dire potentiellement connue de tous. Aussi, chaque fois que vous tenez un objet, une empreinte est laissée. Cela revient à laisser un post-it avec un mot de passe sur tous les biens touchés. Autrement dit, il est relativement simple de récupérer une empreinte. Ce constat n’est pas sans poser problème étant donné que beaucoup lecteurs d’empreintes digitales ne font pas la distinction entre un faux doigt (sur un post-it) et le vrai doigt du propriétaire.
Note : il devrait s’agir d’une authentification forte puisqu’elle associe deux formes distinctes d’authentifications (nécessite d’avoir le téléphone et biométrie). Toutefois, les deux facteurs sont dépendants puisqu’un vol du téléphone permet la récupération d’une empreinte. Il ne s’agit donc pas d’une vraie authentification forte.
Conséquence
Un pirate pourrait donc usurper votre identité et s’authentifier à votre place. Et contrairement au mot de passe, il n’est pas possible de changer de doigt ! Heureusement, on en possède plusieurs. Mais, cela ne fait que 10 cartouches ! Et parfois, on ne demande que les empreintes des index. À voir ce qu’il en est avec l’authentification HSBC.
Cette réflexion négative explique sans doute pourquoi HSBC a choisi d’exclure l’authentification biométrique pour les virements sur des comptes non enregistrés (RIB inconnu). Cette dernière opération est, en effet, très sensible en matière de risques de fraude.
Conclusion
Alors est-ce la fin du mot de passe ? Probablement pas ! L’authentification par empreinte digitale peut être une bonne alternative à l’authentification par mot de passe, mais uniquement pour des opérations non sensibles. Elle peut également être intéressante pour venir en complément du mot de passe afin de faire de l’authentification forte. Espérons tout de même qu’il ne faudra pas attendre un drame avant de prendre conscience des risques encourus par l’authentification par empreinte digitale ! En tous les cas, la CNIL l’a bien compris et veille au grain.
Monétique 
Bonjour,
Merci pour vos brillants articles.
Je ne connais pas la solution implémentée par HSBC, mais je pense que l’article oublie de mentionner un 2nd facteur d’authentification, le mobile, non ?
Je pense que l’empreinte digitale n’est utilisable que sur une mobile déterminé, sur lequel une appli HSBC a été installé et « appairée » au compte de l’utilisateur : cela signifie que des éléments crypto sont partagés entre le mobile et le serveur HSBC et qu’une « photo » du mobile (device fingerprint) a été prise lors de l’appairage pour surveiller toute modification sur le mobile.
Si cela fonctionne ainsi, cela signifie que le fraudeur doit non seulement copier l’empreinte digitale, mais aussi voler le mobile (ou réussir à le cloner et à contourner les mesures de sécurité telles que le device fingerprint).
Or, en cas de vol (ou de suspiscion de piratage/clonage du mobile), l’utilisateur (ou la banque) peut révoquer les droits du device, et en appairer un nouveau : le mobile volé/cloné deviendra inutilisable, même avec les empreintes digitales copiées.
Qu’en pensez-vous ?
Bonjour Arnaud,
Vous avez raison de souligner qu’il faut le téléphone (ce qu’on possède) ET l’empreinte (ce qu’on est), et qu’en conséquent nous devrions être dans le cas d’une authentification forte (il doit effectivement y avoir un apparairage). Toutefois, il n’y a pas d’indépendance entre les 2 caractéristiques. En effet, un simple vol du téléphone permet de récupérer l’empreinte.
Au plaisir,
Kévin
bonjour, merci pour l’article.
j’aimerais apporter 2 remarques, la première est relative a l’absence d’indépendance entre l’empreinte et le téléphone car si dans l,’absolue ça reste vrai concrètement la nouvelle génération des téléphone utilisant la biométrie sans et surtout seront inaccessible sans avoir l’empreinte du coup faudra avoir l’empreinte pour accéder au téléphone et rompre l’indépendance.
après ma deuxième remarque consiste a introduire un autre niveau de sécurité dont les lecteur d’empreinte devrait être équipés Ces capteurs sont souvent (devrait être ) doublés d’une mesure visant à établir la validité de l’empreinte, mesure de la constante diélectrique relative de l’empreinte, sa conductivité, les battements de cœur, la pression sanguine, voire une mesure de l’empreinte sous l’épiderme…
merci
Bonjour,
Par indépendance, il faut comprendre « indépendance physique » (deux supports différents).
En effet, le smartphone n’est pas à l’abri d’une vulnérabilité permettant son déverrouillage basé sur la sécurité biométrique.
Pour le deuxième point, vous avez raison. Il existe plusieurs technologies de capteurs, utilisées selon le niveau de sécurité souhaité.
Les capteurs vérifiant en plus la pression sanguine, etc. coûtent bien évidemment plus chères que les modèles classiques. Il y a donc peu de chance de les voir prochainement arriver sur les smartphones grand public.
Kévin