Imaginez la scène : vous vous précipitez pour attraper votre vol, cherchant désespérément à accéder à votre carte d'embarquement sur votre téléphone. Votre gestionnaire de mots de passe plante, vous avez oublié la (longue) phrase de secours, et de précieuses minutes s'égrènent tandis que vous luttez avec des exigences d'authentification toujours plus complexes. Maintenant, imaginez la même situation, mais votre téléphone reconnaît votre visage en une fraction de seconde. Cette transformation, de la friction liée aux mots de passe traditionnels à l'expérience fluide de l'authentification biométrique, représente l'un des changements récents les plus significatifs de la sécurité numérique.
Pour explorer cette évolution, nous nous sommes entretenus avec deux experts des technologies d'authentification : Etienne Loth, directeur du marché Ministère de l'Intérieur chez Sopra Steria, et Yann Guégan, spécialiste en biométrie et systèmes d'identification depuis plus de 20 ans.
Quels sont les défis intrinsèques d'un système fondé sur les mots de passe ?
Yann Guégan : Le problème des mots de passe, c'est qu'il faut les retenir. Avec les progrès technologiques, les mots de passe trop simples sont craqués en 2 secondes et demie, littéralement. Ils doivent donc être de plus en plus complexes, créant un stress de mémorisation. L'utilisateur finit
par contourner cette logique en notant son mot de passe sur un post-it ou dans un fichier. Ce qui, on le rappelle, est fortement déconseillé !
Cette problématique devient particulièrement critique dans un contexte professionnel. Pour les usages quotidiens, je suis en détresse quand mon mot de passe arrive à expiration, surtout quand le site impose de ne pas réutiliser les mêmes pendant 3 à 5 ans.
Comment la biométrie résout-elle ce paradoxe entre sécurité et facilité d'usage ?
Yann Guégan : La biométrie élimine ce problème : pas besoin de s'en souvenir, c'est ce qu'on est. Que ce soit l'empreinte digitale, le visage ou l'iris, il n'y a pas de stress de mémorisation. En termes de friction, c'est même l'inverse. Votre biométrie est stockée uniquement sur votre terminal. Le système prend votre visage ou empreinte, génère des clés transparentes pour l'utilisateur, et ce sont ces clés qui sont véhiculées, pas votre biométrie. Cette approche trouve un écho concret dans les solutions que nous déployons.
Etienne Loth : C'est devenu une commodité, un acquis dans les usages quotidiens. C'est un facteur de vitesse très efficace, beaucoup plus rapide que les systèmes de double authentification par exemple (saisir son mot de passe, recevoir un SMS, puis saisir le code). C'est aussi plus sécurisé car beaucoup moins partageable qu'un code.
Néanmoins, cette évolution s'accompagne de nouveaux défis. Cela introduit de nouveaux risques : l'algorithme de contrôle vérifie-t-il bien que la personne est vivante et non une image plate ? On voit aussi déjà des cas de masques hyper-réalistes pour passer des contrôles. Mais ces risques restent marginaux comparés aux vols quotidiens de mots de passe ou de bases de données.
Observez-vous encore des résistances à l'adoption de la biométrie ?
Yann Guégan : Il y a une stratification générationnelle claire. Tous ceux nés avec un smartphone acceptent naturellement la biométrie. Le levier de transformation, c'est le smartphone. L'acceptabilité sur l'aspect biométrique concerne essentiellement la vidéosurveillance, car c'est intrusif. Quand c'est mon choix de donner ma biométrie pour me faciliter la vie, la démarche est complètement opposée.
Etienne Loth : Cette acceptation progressive se traduit par des déploiements concrets. L'identité numérique illustre bien cela : un programme avec de gros niveaux d'exigence sur la biométrie dans le téléphone, permettant d'accéder au permis de conduire, à la carte grise, à la carte vitale. Il y a plus de 2 millions d'identités numériques aujourd'hui. On utilise une modalité si la finalité est connue et répond à un besoin de la population.
Dans cette dynamique, Sopra Steria développe des solutions comme Capitole, qui procède à une authentification biométrique à partir des informations contenues dans la puce du passeport, ou encore ses systèmes AFIS comme Unify, largement déployés dans les pays d'Europe du Nord.
Comment répondre aux défis d'inclusivité dans l'authentification biométrique ?
Yann Guégan : La complexité existe sur l'identification faciale, c'est-à-dire reconnaître une personne parmi beaucoup. Sur l'authentification, nous comparons une prise de visage ou d'empreinte à un ensemble restreint. Pour l'empreinte digitale, plus l'individu vieillit, moins elle est facile à capter à
cause de l'humidité de la peau. Ce n'est pas vrai pour le facial. Il faut prévoir des possibilités de backup et des procédures de réenregistrement.
L'innovation ouvre cependant de nouvelles perspectives. Il existe également des innovations prometteuses, comme les biométries dites "cachées", notamment le réseau de vaisseaux sanguins. C'est une biométrie qu'on ne peut pas voler, et qui ne s'altère pas. En Afrique du Sud, les mineurs avec des empreintes inexploitables utilisent leur réseau sanguin pour s'authentifier et toucher leur paie. L'authentification multimodale arrive : authentifier simultanément par empreinte et visage, ou visage et iris, en un seul geste.
L'intelligence artificielle peut-elle créer de nouveaux risques pour l'authentification biométrique ?
Etienne Loth : L'IA présente effectivement un double visage. D'un côté, elle permet de générer très rapidement des images, puis de les imprimer à l'aide d'une imprimante 3D. Ce qui était difficilement accessible devient plus facile. L'IA devient un accélérateur pour les attaques : quelqu'un voulant faire tomber un service peut générer massivement des images faciales et appliquer le même principe d'attaque par déni de service.
À l'inverse, l'IA offre des opportunités pour faire des calculs de correspondance plus rapidement et stocker plus d'informations. Aujourd'hui, un visage représente X points de reconnaissance. Avec plus de capacité, nous pouvons normaliser plus de points pour une comparaison plus exhaustive.
Le mot de passe va-t-il définitivement disparaître ?
Yann Guégan : Je pense que oui, c'est une conviction profonde, notamment parce que c'est l'intérêt des sociétés commerciales que la connexion ne soit pas un frein pour leurs prospects potentiels.
Cette évolution semble d'autant plus inéluctable que les failles du système actuel se multiplient.
Etienne Loth : Le mot de passe va devenir l'outil de secours au besoin. Le premier réflexe face aux mots de passe complexes, c'est de les stocker dans les navigateurs. Aujourd'hui, ces trousseaux contiennent plusieurs mots de passe. Quand ils sont volés, votre mot de passe se retrouve partout, et permet de se connecter à l'ensemble des sites.
L'actualité récente vient confirmer ces inquiétudes avec la découverte d'une fuite géante de 16 milliards de mots de passe concernant des plateformes comme Apple, Facebook ou Google, soulignant les limites des gestionnaires de mots de passe intégrés aux navigateurs. Le facial est visible, mais c'est aux outils de s'affranchir de la fraude à la photo.
Quels sont les défis stratégiques pour l'Europe dans ce domaine ?
Etienne Loth : Il y a un vrai savoir-faire en France sur les différentes modalités biométriques : rythme cardiaque, système veineux, voix. C'est une vraie force de notre écosystème constitué de start-ups, centres de recherche et industriels. Le seul risque, c'est de ne pas leur donner une capacité d'expérimentation pour s'industrialiser. D'autres pays investissent massivement, laissent tester et éprouver. Avec une réglementation non adaptée, nous risquons de tuer le tissu français et européen.
Cette expertise française s'illustre notamment à travers des solutions comme MicroMatcher, qui améliore la performance opérationnelle dans des environnements biométriques distribués, ou encore les références d'intégration d'AFIS judiciaires pour la France. Des événements comme les salons Milipol et Vivatech permettent de mettre en avant ce savoir-faire français et européen, nous y sommes présents !