La menace biométrique
Dans le monde entier, les gouvernements succombent à l’attrait des systèmes d’identification biométriques. Dans une certaine mesure, cela peut être inévitable, étant donné le poids des exigences et des attentes imposées aux États modernes. Mais personne ne doit sous-estimer les risques que ces technologies représentent.
Les systèmes d’identification biométriques utilisent les caractéristiques physiques intrinsèques uniques des individus – empreintes digitales ou de la main, motifs faciaux, voix, iris, cartes veineuses, ou même ondes cérébrales – pour vérifier leur identité. Les gouvernements ont appliqué cette technologie pour vérifier les passeports et les visas, identifier et suivre les menaces à la sécurité et pour s’assurer que les bénéfices publics sont correctement distribués.
Les entreprises privées ont elles aussi adopté des systèmes d’identification biométrique. Les smartphones utilisent les empreintes digitales et la reconnaissance faciale pour déterminer quand il faut « déverrouiller ». Plutôt que de saisir différents mots de passe pour différents services – y compris les services financiers – les utilisateurs placent simplement leur doigt sur un bouton de leur téléphone ou regardent dans l’objectif de leur appareil photo.
Il semble que c’est pratique. Et, à première vue, il peut sembler plus sûr : quelqu’un pourrait être en mesure de découvrir votre mot de passe, mais comment pourrait-il reproduire vos caractéristiques biologiques essentielles ?
Mais, comme pour tant d’autres technologies pratiques, on a tendance à sous-estimer les risques associés aux systèmes d’identification biométriques. L’Inde les a appris à ses dépens, puisqu’elle a étendu son système pour attribuer aux résidents un « numéro d’identification unique », ou Aadhaar, lié à leurs données biométriques.
À l’origine, le programme Aadhaar avait pour objectif principal de gérer les prestations du gouvernement et d’éliminer les « bénéficiaires fantômes » des subventions publiques. Mais il a maintenant été étendu à de nombreux domaines : tout, de l’ouverture d’un compte bancaire à l’inscription des enfants à l’école en passant par l’admission à l’hôpital, nécessite désormais un Aadhaar. Plus de 90 % de la population indienne s’est inscrite au programme.
Mais de graves vulnérabilités sont apparues. L’identification biométrique peut sembler être la solution technologique ultime, mais l’erreur humaine crée des risques importants, surtout lorsque les procédures de collecte de données ne sont pas correctement établies ou mises en œuvre. En Inde, le gouvernement voulait inscrire rapidement un grand nombre de personnes dans le programme Aadhaar, aussi la collecte des données a-t-elle été sous-traitée à de petits fournisseurs de services équipés d’appareils mobiles.
Si une empreinte digitale ou un scan de l’iris est même légèrement incliné ou mal positionné, il se peut qu’il ne corresponde pas aux futurs scans de vérification. De plus, les corps peuvent changer au fil du temps – par exemple, le travail manuel quotidien peut modifier les empreintes digitales – ce qui crée des divergences avec les données enregistrées. Et cela ne couvre même pas les erreurs les plus élémentaires, comme les fautes d’orthographe des noms ou des adresses.
La correction de ces erreurs peut être un processus compliqué et long. C’est un problème grave lorsque la capacité d’une personne à percevoir des prestations ou à effectuer des transactions financières en dépend. L’Inde a connu de nombreux cas de perte de droits – qu’il s’agisse de rations alimentaires ou de salaires pour des programmes de travaux publics – en raison d’erreurs biométriques.
Si des erreurs honnêtes peuvent faire autant de mal, imaginez le préjudice que peut causer une fraude pure et simple. La police du Gujarat, en Inde, a trouvé plus de 1.100 empreintes digitales de bénéficiaires, faites sur un matériau semblable à la silicone, qui ont été utilisées pour des retraits illicites de rations alimentaires du système de distribution publique. Parce qu’on laisse des empreintes digitales sur tout ce qu’on touche, on est tous vulnérables à une telle reproduction.
Et la réplication manuelle n’est que la partie visible de l’iceberg. Les chercheurs ont créé des « MasterPrints » (Empreintes digitales maîtresses) synthétiques qui leur ont permis d’obtenir un nombre effroyablement élevé de « correspondances d’imposteurs ».
D’autres risques surviennent lors de la transmission et du stockage des données biométriques. Une fois collectées, les données biométriques sont généralement transférées vers une base de données centrale pour y être stockées. Elles doivent être cryptées pendant leur transit, mais les cryptages peuvent être – et ont été – piratés. Elles ne sont pas non plus nécessairement en sécurité une fois qu’elles arrivent sur des serveurs locaux, étrangers ou en nuage.
La menace biométrique
En Inde, l’un des systèmes web utilisés pour enregistrer la présence au travail des fonctionnaires a été laissé sans mot de passe, permettant à quiconque d’accéder aux noms, titres de poste et numéros de téléphone partiels de 166.000 travailleurs. Trois sites web officiels basés au Gujarat ont révélé que les numéros Aadhaar des bénéficiaires étaient divulgués. Et le ministère du développement rural a accidentellement exposé près de 16 millions de numéros Aadhaar.
De plus, un chercheur anonyme de la sécurité française a accusé deux sites web gouvernementaux de divulguer des milliers de cartes d’identité, dont des cartes Aadhaar. Cette fuite aurait été colmatée. Mais, étant donné le nombre d’organismes publics et privés qui ont accès à la base de données Aadhaar, de tels épisodes soulignent à quel point un système supposé sécurisé peut être risqué.
Bien entendu, de telles vulnérabilités existent pour toutes les données personnelles. Mais l’exposition des informations biométriques d’une personne est bien plus dangereuse que l’exposition, par exemple, d’un mot de passe ou d’un numéro de carte de crédit, car elle ne peut être annulée. Après tout, on ne peut pas simplement obtenir de nouveaux iris.
Le risque est aggravé par les efforts déployés pour utiliser les données biométriques collectées à des fins de contrôle et de surveillance, comme c’est le cas en Chine et ailleurs. En ce sens, la collecte et le stockage à grande échelle des données biométriques des personnes constituent une menace sans précédent pour la vie privée. Et peu de pays disposent de lois adéquates pour protéger leurs résidents.
En Inde, les révélations sur les faiblesses du programme Aadhaar ont été largement accueillies par des démentis officiels, plutôt que par des efforts sérieux pour protéger les utilisateurs. Pire encore, d’autres pays en développement, comme le Brésil, risquent de reproduire ces erreurs, alors qu’ils se précipitent pour adopter la technologie biométrique. Et, étant donné les violations de données à grande échelle qui se sont produites dans le monde développé, les citoyens de ces pays ne sont pas en sécurité non plus.
Les systèmes d’identification biométriques imprègnent toutes les facettes de la vie des citoyens. Tant qu’ils et les décideurs politiques ne reconnaîtront pas les risques complexes qu’ils représentent pour la sécurité et n’y remédieront pas, personne ne devrait se sentir en sécurité.
yogaesoteric
31 mai 2020