Reconnaissance faciale, biométrie, mécatronique : misez sur la clé du futur

Rédigé le 7 novembre 2017 par | Nouvelles technologies Imprimer

L’iPhone X fraîchement annoncé par Apple a fait couler beaucoup d’encre lors de son lancement – au point de faire oublier la naissance simultanée du pourtant très attendu iPhone 8. Ce n’est pas l’agrandissement de l’écran ni la disparition du bouton physique au profit du tout-tactile qui ont justifié cet engouement mais l’arrivée du système d’identification FaceID.

Ce smartphone de nouvelle génération n’utilise plus les empreintes digitales pour reconnaitre son possesseur mais les traits de son visage.

Plus besoin de placer son pouce sur le capteur d’empreintes : des caméras infra-rouges ultrarapides reconnaissent les éléments caractéristiques de la personne en face de l’iPhone. S’il s’agit de son propriétaire, l’appareil est déverrouillé automatiquement.

Derrière cette évolution se cache une nouvelle réponse à un besoin vieux comme le monde : la sécurisation des accès.

La sécurité, un besoin vieux comme le monde

L’enthousiasme suscité par l’arrivée de la reconnaissance faciale sur le plus connu des smartphones nous rappelle que cette question est toujours d’actualité et que sécuriser un accès est une course sans fin entre possesseurs et intrus.

Nous avons en portefeuille plusieurs entreprises qui exercent leur talent dans la sécurisation des réseaux informatiques. Si leur activité est vitale à l’ère du tout-connecté, elle ne doit pas faire oublier que nos biens tangibles doivent également être protégés.

Il est d’ailleurs communément admis dans le milieu de la cybersécurité que la sécurisation d’un outil informatique n’a de sens que s’il est physiquement impossible d’y accéder. Personne n’est en mesure de garantir l’intégrité d’un ordinateur dans les mains d’un pirate. Ce n’est pas pour rien que les centres de données (les fameux Data Center dont raffolent Google, Apple et autres Amazon) possèdent des mesures de sécurité à faire pâlir d’envie les plus grandes banques.

La même problématique s’applique à l’identique à l’échelle individuelle. Si vous voulez être certain qu’aucun mouchard ne sera installé sur votre téléphone, ne le laissez pas entre des mains indélicates. Si vous voulez éviter que vous bijoux ne disparaissent lorsque vous n’êtes pas chez vous, ne laissez pas des inconnus visiter votre logement comme bon leur semble.

Que vous soyez simple citoyen, gardien de prison ou gestionnaire de réseau informatique, il est fondamental de pouvoir décider qui accède aux lieux qui sont sous votre responsabilité.

Facile, me direz-vous ! La serrure a été inventée il y a des siècles, et elle permet de choisir facilement les personnes autorisées à pénétrer dans une enceinte.

La serrure est utile et efficace… jusqu’à un certain point seulement. Le couple clé/serrure classique atteint vite ses limites en termes de flexibilité et de sécurité.

Il faut désormais se tourner vers les nouvelles technologies pour protéger les lieux de manière efficace.

La fin de la clé

La gestion de l’accès aux lieux sensibles ne peut plus être confiée à de simples systèmes mécaniques. Une serrure à clé plate installée sur une porte ne résiste que quelques secondes à un cambrioleur expérimenté.

Les clés de sécurité utilisées avec des serrures multipoint, censées offrir la meilleure protection possible, ne présentent en fait qu’une amélioration marginale de la protection contre les intrusions.

Améliorer la robustesse des clés demande une complexification exponentielle qui augmente dans les mêmes proportion le coût et la fragilité des installations.

Même dans les cas où le prix n’est pas un sujet, les schémas des clés dites sécurisées finissent toujours par se retrouver entre de mauvaises mains. Ils ne peuvent être considérés comme secrets que quelques semaines (ou tout au plus quelques mois) après leur fabrication.

En pratique, les clés que nous utilisons au quotidien ne permettent de restreindre l’accès à un lieu qu’aux personnes peu motivées. A moins de procéder régulièrement au remplacement des mécanismes de verrouillage, il est relativement aisé pour des individus malveillants d’ouvrir les systèmes mécaniques.

Enfin, même pour les lieux non-critiques, ces dispositifs sont peu flexibles. S’il est facile de demander la restitution d’une clé plate pour retirer l’accès d’un lieu à une personne, rien ne garantit qu’aucune copie n’a été faite entre temps.

Dans le cas des clés sécurisées, il est normalement impossible d’effectuer des copies dans les circuits officiels et la question des « accès fantôme » (visite d’une personne n’étant plus censée posséder de clé) ne se pose pas. Le manque de souplesse est surtout un problème lorsqu’il s’agit d’offrir l’accès à de nouvelles personnes : la fabrication de nouvelles clés est longue et coûteuse.

C’est pour toutes ces raisons que les jours du couple clé/serrure mécanique sont comptés au-dehors des cas les plus élémentaires.

La biométrie : une fausse bonne idée

Oubliez l’effet « Wow » du marketing des fabricants de téléphones portables : sécuriser un accès au moyen de paramètres biométriques est en fait une très mauvaise idée. Une identification biométrique n’a rien à voir avec une clé : elle identifie simplement une personne, pas sa capacité à accéder à un lieu.

Contrairement à une clé, une identification biométrique ne peut être ni créée, ni transmise, ni révoquée. Vous êtes-vous, quoiqu’il arrive.

Lorsqu’il s’agit d’autoriser le déblocage d’un iPhone, la confusion est facile et ne pose aucun problème. Le propriétaire d’un téléphone s’attend à pouvoir y accéder tout le temps. Lorsque le téléphone est revendu, il suffit de l’informer du changement de propriétaire pour que l’heureux acquéreur soit en mesure de le déverrouiller à l’envi. Personne physique et droit d’accès se confondent.

La sécurisation de lieux est autrement plus complexe. Certaines personnes peuvent être autorisées à ouvrir certaines portes à certains moments de la journée. Des autorisations peuvent être créées, ou au contraire retirées.

Bien sûr, il est tout à fait possible de prévoir des scénarios d’accès définis pour chaque personne. Dans le cas d’un immeuble de bureau, il est possible de prévoir que les membre des équipes de nuit ne peuvent entrer qu’entre 22h et minuit, et que l’équipe de jour doit arriver entre 7h et 9h.

Une correspondance est créée entre la personne et ses autorisations d’accès. Ceci fait, la flexibilité d’un accès biométrique n’est plus si différente de celle d’une porte à clé.

Un problème insurmontable se pose lors de la révocation. Il est possible de faire disparaître un droit d’accès, mais pas une personne – en France, c’est même tout à fait réprimé par la loi.

Si une clé est volée, il est possible (quoique pénible) de changer toutes les serrures que cette clé ouvrait.

Si les paramètres biométriques d’une personne sont copiés, c’est l’ensemble du système de protection qui est compromis. La seule solution est de refuser ad vitam aeternam tout accès à la victime de l’usurpation d’identité.

L’expérience montre que tous les mécanismes d’identification biométriques sont, un jour ou l’autre pris en défaut. Les empreintes digitales étaient censées être un marqueur unique ; on sait aujourd’hui qu’il est facile de les copier après avoir récupéré des empreintes de la victime sur des objets du quotidien.

Il se murmure même que le TouchID d’Apple, sorti en 2013 et intégré depuis aux iPhone, iPad et MacBook, pourrait disparaître purement et simplement dès l’année prochaine à cause de sa trop faible fiabilité.

Alors que les caméras ont gagné en précision et les ordinateurs en capacité de calcul, la reconnaissance faciale a été présentée comme une alternative beaucoup plus fiable. Les traits du visage étant censés être bien plus discriminants que les empreintes digitales, la fiabilité de la reconnaissance devrait être améliorée.

Le diable se cache dans les détails : nos visages sont uniques, certes, mais absolument pas secrets. Le mois dernier, deux chercheurs en sécurité ont, selon Business Insider, réussi à contourner le système de reconnaissance faciale du dernier Samsung Note 8 avec une simple photographie téléchargée depuis un profil Facebook ! Même si aucune photo de votre visage ne se trouve sur Internet, vous n’empêcherez pas un usurpateur d’identité motivé de vous prendre en photo dans la rue.

Demain, les appareils du quotidien utiliseront une image du fond de l’oeil, réputée encore plus unique et plus difficile à pirater, pour identifier leurs possesseurs… jusqu’à ce qu’un moyen de les tromper soit trouvé. Ces systèmes, quoique pratiques et ludiques avec leurs petits airs de science-fiction, ne sont par conséquent pas utilisable pour sécuriser des lieux sur une longue durée.

Le salut est dans la mécatronique

La serrure de demain n’est donc pas biométrique : elle utilise des clés de chiffrage qui sont uniques et peuvent être facilement remplacées en cas de perte ou de vol. Elle offre le même niveau de protection que l’encryptage des communications sécurisées sur Internet.

Elle est à la fois flexible (possibilité d’ajouter et retirer des accès facilement), résistante aux usurpation (la révocation d’accès ne remet pas en cause l’utilisation du système) et physiquement robuste (résistante aux chocs, à l’eau, au feu).

Ses clés numériques, donc immatérielles, sont programmées dans des micro-puces voire dans des téléphones portables. Elles sont transmises par ondes radio entre la serrure et le porte-clé numérique.

Ces nouvelles serrures permettent aux gestionnaires de sites de décider facilement qui a accès à quel local, et à quel moment. Toute la gestion des accès peut se faire de manière logicielle sans avoir à intervenir sur le matériel installé. La révocation d’accès, en cas de perte ou de vol des clés numériques, ne prend que quelques secondes. De nouveaux accès peuvent être créés aussi rapidement.

La serrure du futur ne s'ouvre que si son propriétaire le veut bien

La serrure du futur ne s’ouvre que si son propriétaire le veut bien – DR : DOM

Sans en avoir l’air, l’élaboration de tels produits est un casse-tête industriel. Avec de fortes contraintes mécaniques (pour assurer la sécurité), électroniques (pour gérer la récupération de la clé et l’ouverture) et logicielles (pour offrir une bonne ergonomie aux gestionnaires de parcs), la conception d’une serrure numérique met en oeuvre des savoir-faire très différents.

Il existe de nombreuses start-ups qui tentent aujourd’hui d’imposer leurs solutions de serrures numériques sur le marché. Les retours d’expérience sont, disons-le clairement, mauvais. Ces entreprises sont généralement très compétentes dans le domaine du développement logiciel et arrivent à concevoir des électroniques acceptables. La partie mécanique pêche en revanche par son manque de maturité, et les produits s’avèrent de piètre qualité.

Plus grave encore, les produits commercialisés par ces start-ups sont conçus par des ingénieurs venant du monde du logiciel. Le culte de la réactivité et de la correction de bugs « au fil de l’eau » fait des merveilles lorsqu’il s’agit de concevoir un site Web… mais la tolérance des utilisateurs face aux bugs est différente lorsqu’il s’agit d’ouvrir une porte qui reste désespérément close sans raison. Le déploiement d’une mise à jour pour régler le problème sous quelques heures est une piètre consolation.

Les gestionnaires de bâtiments et de sites critiques rechignent donc à utiliser les solutions miracles proposées par ces jeunes pousses dans des lieux qui ont vocation à être exploités durant des décennies. La maturité n’est tout simplement pas encore là.

Un acteur historique a décidé de prendre le problème à l’envers et d’attaquer ce marché avec tout le poids de son expérience dans la serrurerie. [NDLR : Et c’est cet acteur historique qu’Etienne vous recommande dans le dernier dossier « technologie française » de NewTech Insider. Misez sur la sécurité du futur et retrouver cette recommandation ici…]

Mots clé : - - -

Etienne Henri
Etienne Henri
Il sélectionne les dossiers d’investissement en financement participatif du service Profits Réels.

Etienne Henri est titulaire d’un diplôme d’Ingénieur des Mines. Il débute sa carrière dans la recherche et développement pour l’industrie pétrolière, puis l’électronique grand public. Aujourd’hui dirigeant d’entreprise dans le secteur high-tech, il analyse de l’intérieur les opportunités d’investissement offertes par les entreprises innovantes et les grandes tendances du marché des nouvelles technologies.

Laissez un commentaire