Avec la reconnaissance faciale en hausse et les lecteurs d’empreintes digitales sur nos téléphones, ce n’est pas un secret que la biométrie devient rapidement les clés de nos appareils numériques, de nos voitures, de nos comptes bancaires et de bien d’autres choses.
Il y a de bonnes raisons pour l’authentification biométrique. Il est encore trop facile pour les pirates d’accéder au compte de quelqu’un en trompant un représentant du service clientèle, et beaucoup de gens ont tendance à réutiliser les mêmes mots de passe faibles pour apparemment tout. Mais les données biométriques peuvent toujours faire l’objet de fuites, et contrairement aux NIP et aux mots de passe infiniment modifiables d’antan, nous sommes à peu près coincés avec eux pour toujours.
Donc, pour me préparer à ce brave nouveau monde, j’ai décidé de remplacer mes empreintes digitales. Et remarquablement, c’était aussi facile et indolore que d’appliquer un pansement.
Mes empreintes de substitution ont été fournies par Mian Wei, un étudiant en troisième année de design industriel à la Rhode Island School of Design. En utilisant son kit IDENTITY, n’importe qui peut couvrir sa vraie empreinte digitale avec une fausse qui est entièrement fonctionnelle, remplaçable et pratiquement impossible à copier.
L’emballage d’IDENTITY est conçu pour ressembler à quelque chose que vous trouveriez sur une étagère de votre pharmacie locale. Chaque bande qui gomme les empreintes digitales est emballée individuellement. Photo : Evan Rodgers/Motherboard
« Beaucoup de gens pensent que nous sommes tous des cyborgs maintenant, connectés à Internet 24 heures sur 24 », m’a dit Wei lorsque nous nous sommes rencontrés récemment dans un café près de Harvard Square à Cambridge. « Lorsque nous définissons notre propre morceau de peau comme code d’accès, il s’agit d’une connexion solide et définitive. Vous pouvez votre visage maintenant, mais vous ne pouvez pas vraiment changer vos empreintes digitales, et vous les sur tout ce que vous touchez. »
Pour bien saisir à quel point un avenir biométrique pourrait être nul, considérez les 5,6 millions d’employés et de contractants du gouvernement américain dont les empreintes digitales ont été volées l’année dernière dans une violation massive de l’Office of Personnel Management. À l’aide de ces empreintes, les chercheurs ont montré qu’un criminel ou un agent public avisé pouvait créer des copies fonctionnelles des doigts de leurs propriétaires. Étant donné le nombre d’appareils grand public équipés de lecteurs d’empreintes digitales de nos jours, cela signifie qu’une empreinte digitale divulguée pourrait donner accès à toutes sortes de données privées, et il n’y aurait pratiquement rien que la victime puisse faire à ce sujet.
« Lorsque nous définissons notre propre morceau de peau comme code de passe, il s’agit d’une connexion solide et définitive. »
Créé pour un cours de conception de prothèses, Wei a déclaré que l’objectif de son projet était de fabriquer un produit de confidentialité biométrique que les gens pourraient réellement utiliser dans le monde réel. L’emballage d’IDENTITY est conçu pour ressembler à quelque chose que vous trouveriez sur une étagère de votre pharmacie locale, et chaque bande d’usurpation d’empreintes digitales est emballée individuellement, comme des pansements dans une sorte de trousse de premiers soins de contre-surveillance.
Les prothèses noires collantes sont faites d’un mélange de silicone conducteur et contiennent un désordre aléatoire de fibres, qui remplacent les minuscules crêtes que les capteurs recherchent normalement sur une véritable empreinte digitale. Une fois enroulée autour de mon index, je pourrais attribuer la fausse empreinte digitale pour déverrouiller mon téléphone comme je le ferais avec mon vrai doigt.
Maintenant, même si quelqu’un réussissait à faire un moule de ma vraie empreinte digitale – comme un membre du Chaos Computer Club l’a fait en 2013 pour usurper le capteur TouchID de l’iPhone – il ne pourrait toujours pas déverrouiller mon téléphone.
En outre, l’empreinte créée par le faux doigt lorsqu’il touche des objets n’est pas tant un « motif » qu’un ensemble de lignes aléatoires ; les fibres qui forment ces lignes sont simplement mélangées au matériau en silicone, puis durcies et découpées en petites bandes. Cela signifie que l’empreinte de la prothèse serait pratiquement impossible à reconnaître comme une empreinte digitale, et encore moins à dupliquer, selon Wei.
La seule fois où l’auteur, sur la photo, a retiré la bande imitant l’empreinte digitale, c’était avant de s’endormir. Photo : Evan Rodgers/Motherboard
Alors, quelqu’un de sain d’esprit utiliserait-il réellement une empreinte digitale remplaçable ? Après avoir porté pendant deux semaines l’une des prothèses d’identité de Wei, mon sentiment général était : probablement, dans les bonnes circonstances.
La bonne nouvelle, c’est que ça fonctionne vraiment. Une fois que j’avais assigné le faux doigt pour déverrouiller mon téléphone, la prothèse était tout aussi fiable que mon vrai doigt. (J’utilisais un iPhone 6S et un Nexus 5X, mais vous obtiendriez théoriquement les mêmes résultats sur n’importe quel appareil doté d’un lecteur d’empreintes digitales.)
La seule fois où j’ai retiré la bande était avant de m’endormir. Idéalement, je l’aurais laissé constamment, mais je ne voulais pas risquer de le perdre dans la douche ou sous mes draps.
Mettre la prothèse en place chaque matin n’était pourtant pas une si grande corvée ; ce n’était pas plus laborieux que de mettre des lentilles de contact, et cela s’intégrait naturellement dans mes rituels matinaux. Cela posait toutefois un petit problème : Comme je n’avais enrôlé qu’un certain segment de la bande de silicone avec mon téléphone lorsque je l’avais mise pour la première fois, je devais me souvenir de la remettre exactement de la même manière à chaque fois.
Heureusement, j’ai développé une solution de contournement qui a facilité les choses : Chaque fois que je remettais la prothèse, je retournais dans les paramètres de mon téléphone et j’enregistrais une nouvelle empreinte digitale. J’ai fini par le faire suffisamment de fois pour que la plupart des sections de la bande puissent déverrouiller le téléphone, et je n’avais plus à m’inquiéter autant de la porter « correctement ».
Comme un pansement, j’étais toujours conscient de la fausse empreinte digitale lorsque je la portais, surtout les premiers jours. La prothèse est légèrement élastique et collante et il fallait l’enrouler soigneusement autour de mon doigt pour éviter qu’elle ne tombe. Je devais me laver les mains, cuisiner et faire d’autres exercices quotidiens de dextérité manuelle avec précaution pour éviter de perdre la bande. Taper à la machine – ce que je fais assez souvent – était également super ennuyeux au début, mais devenait légèrement plus facile avec le temps.
Photo : Evan Rodgers/Motherboard
C’est vrai, porter une seule prothèse de façon quasi-constante pendant si longtemps n’est probablement pas ce que son créateur avait en tête. Bien que ma fausse empreinte digitale fonctionne toujours parfaitement après deux semaines, Wei a conçu la prothèse pour qu’elle soit jetable. Pour l’instant, IDENTITY est surtout une pièce d’exposition, mais s’il finit par les produire en série et les vendre (ce qu’il est en train de discuter avec une entreprise de fabrication), Wei dit que vous pourriez théoriquement remplacer la bande aussi souvent que vous le souhaitez.
J’ai finalement constaté que les meilleurs cas d’utilisation des fausses empreintes digitales sont situationnels. Un excellent exemple : Si vous participez à une manifestation politique, une fausse empreinte digitale pourrait empêcher la police de vous obliger à déverrouiller votre téléphone si vous êtes arrêté.
Aux États-Unis, les tribunaux ont récemment décidé que, contrairement à un code PIN ou à un mot de passe, les protections du 5e amendement contre l’auto-incrimination ne s’appliquent pas aux empreintes digitales, puisqu’il s’agit techniquement d’une partie du corps et non d’une « information » stockée dans votre tête. Cela signifie que si vous êtes un jour arrêté, un policier pourrait légalement vous obliger à déverrouiller un appareil en utilisant votre empreinte digitale, sans mandat.
J’ai finalement constaté que les meilleurs cas d’utilisation des fausses empreintes digitales sont situationnels.
Mais un manifestant portant l’une des bandes d’identité de Wei pourrait éviter d’être contraint en jetant discrètement la prothèse.
Les barbouzes du gouvernement ne pourraient pas non plus déverrouiller le téléphone en reproduisant l’empreinte digitale du propriétaire à partir d’une empreinte stockée dans une base de données biométriques. Un nouveau rapport de l’US Government Accountability Office a révélé que la base de données Next Generation Identification du FBI a recueilli des centaines de millions d’empreintes digitales et de photos de reconnaissance faciale, dont une majorité appartient à des Américains qui n’ont même jamais été soupçonnés d’un crime.
Pour autant, pour la plupart des personnes possédant un iPhone, les fonctions de sécurité intégrées à leur appareil sont probablement plus que suffisantes pour dissuader la plupart des intrus. Apple a conçu ses modèles les plus récents pour désactiver automatiquement le déverrouillage par empreinte digitale et demander le code de passe de l’utilisateur après cinq tentatives infructueuses, entre autres conditions. (Android, avec son écosystème de sécurité fragmenté, est une toute autre histoire.)
En fin de compte, IDENTITY est une provocation – et une très bonne provocation, en plus. Plutôt que de créer une solution passe-partout, Wei a réalisé un prototype fonctionnel qui imagine un avenir dans lequel nous pouvons tirer parti des avantages de la biométrie tout en préservant notre vie privée et notre autonomie. Même si les consommateurs ne se précipitent pas pour remplacer leurs empreintes digitales dès maintenant, l’utilisation d’IDENTITY a permis de présenter un argumentaire convaincant sur la façon dont nous pourrions un jour reprendre le contrôle.