Clé à emporter
- Le nouveau programme de paiement biométrique de Mastercard vous permet de payer en souriant à un scanner.
- L'authentification biométrique est fiable, mais les risques sont élevés.
- Il est possible d'avoir à la fois confort et sécurité.
Mastercard veut vous permettre de payer dans les magasins simplement en souriant à un scanner, ce qui est amusant jusqu'à ce que vous vous rendiez compte des implications en matière de confidentialité.
La biométrie est un moyen pratique de nous authentifier. Sauf malchance, vous avez toujours vos yeux, votre visage, vos doigts - maintenant votre sourire - avec vous et prêt à vous déployer. Les sociétés de paiement aiment la biométrie parce que la biométrie est suffisamment individuelle pour être fonctionnellement unique et difficile à falsifier. Nous les aimons parce qu'il est beaucoup plus facile de payer avec un doigt que de sortir une carte. Mais la biométrie a des inconvénients si désastreux que nous ne devrions pas du tout les utiliser comme ça.
Encore un problème avec la biométrie: ils ne fonctionnent pas bien. Les mots de passe peuvent être modifiés, mais si quelqu'un copie votre empreinte digitale, vous n'avez pas de chance: vous ne pouvez pas mettre à jour votre pouce. Les mots de passe peuvent être sauvegardés mais si vous modifiez votre empreinte de pouce dans un accident, vous êtes coincé », écrit la légende de la sécurité Bruce Schneier sur son blog personnel.
Facile à voler, impossible à remplacer
Mastercards Le programme de paiement biométrique est en cours de test dans cinq supermarchés de São Paulo, au Brésil. Les utilisateurs peuvent inscrire leur visage à l'aide du service Payface, puis payer en magasin en souriant au dispositif d'authentification.
Vous vous souvenez peut-être aussi du système expérimental de paiement Palm d'Amazon. Amazon One vous permet de payer en magasin en scannant votre paume, après quoi le paiement est extrait via votre mode de paiement Amazon habituel. Jusqu'à présent, nous pouvons payer en souriant ou en agitant. Je ne peux pas attendre longtemps avant que le coup de poing et le high-five faible de l'entreprise ne soient ajoutés à cette liste.
Les indicateurs biométriques sont difficiles à falsifier, et même si vous pouvez copier une empreinte digitale ou un sourire, vous ne vous en sortirez probablement pas en essayant d'utiliser un pouce en caoutchouc à la caisse du supermarché. Mais les empreintes digitales sont faciles à voler, tout comme les photos de votre visage, de vos mains, etc.
Et le pire dans tout ça, c'est qu'une fois que votre empreinte digitale est compromise, c'est tout. Comme le souligne Schneier, vous ne pouvez pas remplacer votre pouce, vos yeux ou votre visage.
Le faire correctement
Heureusement, il existe un moyen d'utiliser l'authentification biométrique sans risquer vos empreintes digitales, votre iris, votre sourire, etc. En fait, vous le faites peut-être déjà avec Apple Pay ou un mode de paiement similaire sur smartphone.
Apple Pay, et les méthodes similaires, gardent la vérification biométrique privée. L'authentification se fait entre vous et votre téléphone. Vous scannez votre visage ou votre empreinte digitale, et lorsque le téléphone confirme que vous êtes bien vous, il transmet la bonne nouvelle à la machine de paiement.
De plus, votre visage ou votre empreinte digitale ne sont jamais stockés nulle part. Lorsque vous inscrivez votre visage dans Face ID, par exemple, le téléphone utilise ces analyses pour générer un proxy crypté, ou hachage, pour votre visage, qui est ensuite stocké. Plus tard, lorsque vous déverrouillez votre iPhone, l'analyse est à nouveau "hachée" et le résultat est comparé au hachage stocké pour voir s'ils correspondent.
Ainsi, même si les données stockées peuvent être volées, elles ne peuvent pas être utilisées pour désosser votre visage ou votre empreinte digitale.
"La clé de la protection des identités personnelles et des actifs numériques est un minimum de trois facteurs d'authentification: quelque chose que vous savez, quelque chose que vous êtes et quelque chose que vous possédez", a déclaré Adam Lowe, créateur d'Arculus à Lifewire par e-mail.« Un seul mot de passe ou une biométrie n'est pas le mur de protection nécessaire pour survivre. L'activation de l'authentification multifacteur fournit plusieurs murs de protection et réduit les risques de piratage. La biométrie doit être ajoutée en tant que couche de protection supplémentaire et pas seulement comme proxy pour transmettre un mot de passe. »
La solution consiste à utiliser quelque chose comme Apple Pay comme proxy pour vos données biométriques. De cette façon, vous n'aurez jamais à faire confiance à une entreprise pour stocker en toute sécurité vos irremplaçables empreintes digitales, scans de l'iris ou visage souriant. Après tout, ce n'est pas comme s'ils s'occuperaient mieux de ceux-ci que de nos mots de passe en ce moment, qui fuient régulièrement par millions.
Cela signifie que vous devez vous authentifier sur votre téléphone avant de pouvoir payer, ce qui est clairement moins pratique que de sourire (sauf si vous passez une journée particulièrement mauvaise). Mais même cela est couvert. Les utilisateurs d'Apple Watch peuvent payer d'un geste du poignet tout en profitant de la sécurité biométrique de leur iPhone. Cela semble être la solution parfaite.
Correction 2022-27-05: Mise à jour de l'attribution de la source au paragraphe 12 à la demande de la source.