fitech

Biométrie

La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques. Les données biométriques sont des données à caractère personnel, car elles permettent d’identifier une unique personne. Par exemple, l’ADN, les empreintes digitales et la reconnaissance faciale sont des formes très connues de technologie biométrique. La biométrie est de plus en plus implémentée au sein des terminaux pour accroître sa sécurité.

Les terminaux sont reliés aux objets connectés et aux différentes applications connectées, ainsi, les terminaux sont un point clé du stockage des informations sensibles et personnelles.

L'authentification biométrique est pratique, mais la sécurité biométrique érode la protection de la vie privée, car les données à caractère personnel peuvent être collectées facilement et sans consentement.

Comment fonctionne informatiquement l’empreinte digitale :

la donnée de base dans le cas des empreintes digitales est le dessin représenté par les crêtes et sillons de l'épiderme. Ce dessin est unique et différent pour chaque individu. Mais il est impossible d'utiliser toutes ces informations, car il y en a beaucoup trop. Donc il faut extraire les principales caractérisques permettant de differencier chaque individu comme la localisation des minuties.

Une empreinte complète contient en moyenne une centaine de ces points caractéristiques nommé minuties hors les smartphones ou autre produits utilisent seulement 12 points de minuties. Nous nous intéresserons à la technique de localisation de minuties. Le traitement de l'empreinte digitale par cette technique se base sur trois principales étapes : la numérisation de l'image, l'extraction des minuties et la comparaison des gabarits.

Cette technique consiste à numériser l'empreinte digitale et la filtrer de façon à la nettoyer des caractéristiques inutiles telles que des segmentations. L'image ainsi numérisée en noir et blanc doit être filtrée dans le but de supprimer toute ambiguïté en faisant ressortir la plus grande partie possible d'information utile au système. Une fois l'image filtrée, les lignes se voient clairement, mais elles ont des tailles différentes. Pour pouvoir détecter rapidement les minuties (terminaisons, bifurcations), on crée un squelette de chaque empreinte grâce aux algorithmes complexes en vue de rendre chaque ligne de l'empreinte de 5 à 8 pixels à une épaisseur égale d'un pixel.

L'extraction des minuties sont un processus qui complète l'obtention de la signature de l'empreinte grâce à différents algorithmes. Le gabarit retenu pour caractériser l'empreinte est basée sur un nombre minimum allant de douze à quatorze minuties, ou encore plus, nécessaires pour pouvoir établir des comparaisons fiables. Ce qui fait qu'avec ce minimum de minuties correctement relevées et localisées, il est possible d'identifier une empreinte parmi plusieurs millions d'exemplaires.

La comparaison de deux ensembles de minuties, correspondants respectivement à deux doigts à comparer constitue le système de vérification d'identité.

Normalement, à partir de deux ensembles de minuties extraites, le système doit être capable de donner un indice de similitude ou de correspondance qui vaut : 0 % si les empreintes sont totalement différentes et 100 % si les empreintes viennent de la même image.

Par ailleurs, deux ensembles de minuties calculées à partir de la même empreinte ne donneront jamais 100 % de ressemblance du fait des différences qui existent lors de l'acquisition de deux images (petites déformations ou déplacements), ils donneront cependant toujours un niveau élevé de similitude.

La décision à partir de cet indice de similitude de savoir si deux empreintes sont issues du même doigt est une question purement statistique. Pour décider d'accepter la similitude entre deux ensembles de minuties, il faut donc établir un seuil d'acceptation.

Protection des données

La protection des données est un sujet important pour assurer l’anonymat des données des différents utilisateurs.

Il existe le RGPD qui signifie « Règlement Général sur la Protection des Données ». Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité, dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne.

Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

Ce sont les autorités indépendantes de chaque État, en France, la CNIL qui contrôlent l’application de la législation relative à la protection des données.

Ainsi, la protection des données est une question à se poser avant chaque acceptation de l’utilisation de nos données, car par la suite, il y a le traitement sur nos données à caractère personnel, de manière automatisée ou manuelle, comme, par exemple, la collecte, l’enregistrement, la conservation, la modification, la consultation, la diffusion ou l’effacement.

les principes du chiffrement :

Failles

Les objets connectés et applications sont de plus en plus nombreux chaque jour. Ainsi, ces objets et applications produisent une grande quantité de données qui peuvent être stockées sur Internet, sécuriser ces objets et applications devient alors un enjeu de société.

Au niveau des objets connectés, souvent pour des raisons économiques, les industriels ne prennent pas le temps de sécuriser correctement les objets connectés, de plus, des mots de passe identiques sur toute une génération d’objets connectés et c’est la porte ouverte à l’exploitation de telles failles de sécurité.

Heureusement des solutions existent, mais leurs misent en application est avant tout politique. La rédaction de lois claires obligeant les industriels à concevoir des objets connectés hautement sécurisés sous peine de sanctions pourrait être une façon de faire.

La mise en application du RGPD en mai 2018 est un premier pas dans ce sens, mais reste largement insuffisante.

Les notions de privacy by design et de privacy by default, visées à l’article 25 du RGPD, peuvent accompagner un marché en pleine expansion tout en protégeant les droits des utilisateurs.

Ainsi, des mesures techniques et organisationnelles doivent être mises en œuvre afin que le traitement présente des garanties répondant aux exigences du règlement (privacy by design) et pour garantir que seules les données nécessaires au regard de la finalité concernée soient traitées (privacy by default).

Pour autant, il apparaît que certains objets connectés ne disposent pas des règles élémentaires de sécurité.

Au niveau des applications, de nombreuses nouvelles applications santé apparaissent chaque jour.

Certaines proposent des conseils individualisés, recueillent des données personnelles (poids, tension, fréquence cardiaque,…), ou délivrent des informations médicales.

Leur développement se fait toutefois sans cadre prédéfini, ce qui soulève de nombreuses questions concernant la réutilisation des données collectées ou le respect de la confidentialité notamment.

Il faut donc être en garde contre des applications de santé dont l’origine est douteuse et vérifier qu’il existe un numéro RCS (immatriculation au Registre du commerce et des sociétés) et un numéro Cnil (Commission de l’informatique et des libertés) avant de télécharger une application.

Car le risque est réel, il existe des logiciels malveillants capables de récupérer des données personnelles sans qu’on le sache.