Un peu d’histoire ?
La vérification d’identité par documents remonte à plus de 600 ans, à l’époque d’Henri V en Angleterre. Avant cela, votre nom et votre réputation locale étaient à peu près tout ce dont vous aviez besoin pour prouver votre identité. La loi anglaise de 1414, la “Safe Conducts Act” a créé les premiers documents permettant aux anglais de prouver qu’ils étaient des sujets du roi lorsqu’ils se trouvaient en dehors de l’Angleterre. Ainsi fût créé le premier passeport officiel.
Étonnamment, peu de choses ont changé depuis lors. Votre permis de conduire est une preuve d’identité par défaut dans beaucoup de cas, même si celui-ci est encore une version ancienne (la fameuse feuille rose fatiguée), il peut être utilisé pour prendre des vols intérieurs, acheter une nouvelle maison, prendre divers abonnements pouvant faire preuve de justificatif de domicile… Pour les transactions par téléphone ou par internet, nous nous appuyons sur des informations accessibles au public pour vérifier l’identité (nom, adresse, lieu où vous avez fait vos études secondaires). Si nous voulons vraiment être en sécurité, nous nous appuyons sur notre numéro de sécurité sociale, neuf chiffres qui nous ont été attribués à la naissance, qui sont presque impossibles à changer et qui ont probablement été exposés à la suite d’un vol, d’une perte ou des deux. Si nous voulons ajouter une autre couche de sécurité, nous pouvons utiliser un mot de passe qui, comme le montrent des études répétées, est probablement le même pour tous nos comptes. Et dans de rares cas, nous pouvons utiliser une authentification à deux facteurs.
Après 600 ans, il est temps d’évoluer…
La vérification de l’identité et la sécurité ont toujours été considérées comme deux concepts distincts mais liés. Pour la plupart des consommateurs et des entreprises, ces deux notions se sont imbriquées l’une dans l’autre, de sorte que la vérification de l’identité est la pierre angulaire d’une bonne sécurité. Par conséquent, pour que les nouvelles approches en matière de vérification de l’identité soient largement adoptées par les pouvoirs publics et les entreprises, elles devront tirer parti des multiples couches d’informations et de technologies actuellement disponibles pour aider les personnes à prouver leur identité à un éventuel employeur, créancier, établissement d’enseignement, etc.
Les technologies grand public actuelles offrent des moyens fascinants de générer des données dynamiques en tant qu’identifiants, comme par exemple le lieu où se trouve un individu (adresse IP, géolocalisation, appareil mobile ou numéro, application ou réseau social) ou une données liée au “corps” de l’individu (données biométriques, génétiques, comportementales). Grâce à ces approches, nous pouvons commencer à voir se dessiner le modèle de vérification de l’identité du futur. En même temps, nous pouvons anticiper les frictions à mesure que de nouvelles formes de vérification d’identité sont intégrées dans les anciens systèmes (technologiques, commerciaux et sociaux), avec le risque d’une nouvelle érosion de la vie privée.
Avec la large diffusion des smartphones équipés de lecteurs d’empreintes digitales et de capture audio et vidéo, les technologies de vérification telles que la numérisation des empreintes digitales et de l’iris et la reconnaissance faciale sont désormais dans nos poches. L’adoption généralisée de la biométrie est porteuse de la promesse d’un moyen plus sûr de prouver l’identité, mais elle s’accompagne de ses propres défis.
L’une des préoccupations liées à la biométrie physique est de savoir si elle peut être exploitée avec succès pour de multiples types et plates-formes de transaction. Le SSN américain par exemple (Social Security Number and Card) est simple et peu sophistiqué. Les américains peuvent utiliser une ancienne technologie comme une ligne terrestre pour entrer leur SSN, ou ils peuvent le transmettre à un employé d’un centre d’appel en Inde qui peut le vérifier. Bien que l’utilisation de l’iris ou de la numérisation des empreintes digitales puisse permettre de vérifier votre identité de manière plus sûre, elle est problématique pour les interactions effectuées par le biais de téléphones fixes traditionnels, de vieux ordinateurs ou lorsque l’utilisateur n’est pas physiquement présent.
Problèmes dans le respect des données personnelles
Alors que nous commençons à voir l’utilisation accrue de la biométrie physique dans les interactions des consommateurs, des problèmes de respect de la vie privée se poseront invariablement. Alors que les données biométriques se trouvent généralement sur le téléphone ou l’appareil intelligent lui-même, des applications extérieures pourraient facilement exploiter les données pour d’autres usages que celles autorisées par les clauses des politiques de protection de la vie privée et des conditions d’utilisation que vous aviez accordées. Tout comme pour les données bancaires, nous pourrions bientôt avoir une industrie florissante dans ce que j’appelle les utilisations extrapolées des données biométriques.
Les entreprises analysent déjà les données de leurs clients pour en déduire des caractéristiques dont elles ne sont pas sûres et extrapoler des comportements probables. Par exemple, en se basant sur votre profession, votre groupe d’âge ou votre code postal, les spécialistes du marketing déduisent que vous correspondez à des caractéristiques démographiques spécifiques. Il a déjà été démontré que les scanners d’images faciales peuvent être utilisés pour déterminer l’orientation sexuelle d’une personne en utilisant des algorithmes qui offrent un niveau de précision remarquable (tout en soulevant des questions évidentes en matière d’éthique et de respect de la vie privée, également). Des caractéristiques telles que la race, le sexe, l’âge, et même la classe économique et l’état de santé pourraient être facilement recueillies grâce à des applications de reconnaissance faciale. Les agences gouvernementales, les entreprises et les négociants en données pourraient utiliser ces informations pour mieux classer et catégoriser un individu, puis s’en servir pour prendre toute une série de décisions allant de banales (marketing ciblé) à discriminatoires (sélection de postes).
La biométrie comportementale est un domaine plus récent qui étend la biométrie traditionnelle pour se concentrer sur des modèles discernables dans les activités humaines ordinaires, qui peuvent être utilisés comme des identificateurs clés pour l’individu. Par exemple, on peut identifier des modèles uniques dans la dynamique de frappe d’une dactylographe ou dans l’utilisation de la souris. Vous pouvez mesurer la pression d’écriture en utilisant la technologie d’analyse de la signature ou suivre le comportement “basé sur le regard”, en analysant passivement mais constamment la façon dont vos yeux suivent l’écran de votre appareil. Même l’utilisation de données de géolocalisation peut être exploitée comme données biométriques comportementales, car elle révèle des modèles sur l’emploi du temps unique d’un individu.
La biométrie comportementale est d’autant plus fiable qu’elle permet de suivre notre comportement et de trouver des modèles. Comme les grandes analyses de données qui reposent sur la collecte constante de données, la biométrie comportementale peut facilement se répandre dans des domaines douteux en dehors de la vérification d’identité. Par exemple, une solution de biométrie comportementale qui utilise des données de modèles de frappe ou de texte sur des individus pourrait voir des changements de modèles chez un utilisateur tous les jeudis, vendredis et samedis soirs. Si l’on recoupe ces données avec celles d’une application de financement tiers qui connaît les habitudes de dépenses par carte de paiement du même individu au bar local, on peut soudain constater la valeur de la biométrie comportementale pour l’industrie des boissons alcoolisées, de la bière et du vin. Peut-être que l’utilisation extrapolée du marketing indique qu’un gros buveur fait partie d’un groupe démographique économiquement désirable ou qu’il a une marque d’alcool préférée. Mais d’un autre côté, votre compagnie d’assurance-vie ou d’assurance maladie peut être intéressée par cette information pour des raisons très différentes.
Les modèles biométriques comportementaux basés sur la géolocalisation peuvent révéler des informations de santé (combien de fois et combien de temps vous passez à la salle de sport) ou les horaires de travail (combien de temps vous passez au bureau) ou encore où et quand vous allez le médecin. Idem pour vos enfants, horaires, habitudes de consommations… La biométrie comportementale peut devenir un observateur passif qui déclenche une “alerte” lorsqu’il reconnaît une rupture dans le schéma habituel, à l’instar des systèmes experts qui signalent les fraudes à la carte bancaire. Elle pourrait être un outil puissant pour éradiquer les voleurs d’identité. Le côté sombre de cette approche est l’abus potentiel (ou plutôt certain) de la collecte de données par des organismes commerciaux mais surtout étatiques…
Et c’est là le nœud du problème : si nous voulons vraiment, en tant que société, encourager le renforcement des capacités d’identification et d’authentification des pouvoirs publics et du secteur privé, alors ces derniers devront tirer parti d’une technologie de plus en plus orientée vers les consommateurs tout en créant un climat de confiance entre eux. Les individus doivent être sûrs que ces systèmes de vérifications utilisés pour s’authentifier auprès de leur banque ne seront pas également partagées avec des tiers à la recherche de données sensibles, spécifiques, commercialisables et surtout dangereuse pour la liberté de chacun.
Malheureusement, il serait naïf de croire qu’une approche d’autorégulation dans la collecte des données pourra fonctionner. Ces informations ont simplement trop de valeur. La seule façon de garantir que les entreprises et les pouvoirs publics, ainsi que le public qu’ils servent, puissent passer à l’étape suivante de l’identification et de la sécurité est de légiférer sur les utilisations restrictives de ces types de données d’authentification et des informations qui en sont issues. Alors que le consensus général dans les régimes de protections de la vie privée en Europe et aux USA stipule que les données biométriques sont des informations personnelles, l’utilisation restrictive de ces données dans le cadre des réglementations actuelles et futures est au mieux opaque.
La faille d’Equifax : 147 millions de personnes impactées
La faille de sécurité d’Equifax ayant exposé les informations personnelles de 147 millions de personnes en 2017 a marqué un tournant dans le système d’identification personnelle des USA. Dans un marché mondial où 144 millions de numéros de sécurité sociale américains uniques ont été divulgués, le temps est venu d’intégrer une sécurité accrue dans les régimes de vérification d’identité, pas seulement aux USA, mais aussi dans le reste du monde. Toutefois, pour ce faire, il faut examiner attentivement les conséquences en aval et les utilisations involontaires de nouvelles technologies comme la biométrie.
Vous vous souvenez de notre vieil ami le numéro de sécurité sociale ?
A l’origine un simple moyen d’identifier les bénéficiaires de la sécurité sociale s’est transformé en un identifiant pour la solvabilité, le paiement de l’impôt, un identifiant de l’assurance maladie (Ameli) et bien plus encore. S’attendre à ce que les nouvelles formes d’identification et de vérification ne soient pas également cooptées de manière involontaire serait au mieux insensé et au pire dangereux.
Prenons une voie plus sage cette fois-ci. En associant la sécurité biométrique à de solides protections de la vie privée, nous ferions enfin un pas de géant.