Les systèmes informatiques de sécurité qui font appel à de la biométrie sont des systèmes qui regroupent un ensemble de techniques pour identifier un individu à partir de ses caractéristiques physiques, biologiques et/ou comportementales.
La biométrie trouve aujourd'hui des applications dans de nombreux domaines. Regardons ce qui concerne la reconnaissance de la frappe au clavier, une pratique aujourd'hui possible techniquement.
Régime légal des processus biométriques
Bon à savoir : au XXe siècle, le terme "biométrie" a été utilisé presque exclusivement pour désigner l'étude quantitative des êtres vivants à l'aide des méthodes statistiques. Ce sens a évolué depuis, en raison de l'utilisation croissante de ces techniques à des fins de reconnaissance des personnes en fonction de caractéristiques biologiques (empreintes digitales, traits du visage, paume de la main, etc.).
Les données biométriques ont la particularité d’être uniques et permanentes. L'identification de la personne par ses données biométriques est certaine. Un haut niveau de sécurité est donc nécessaire pour protéger la vie privée et justifie donc une protection juridique forte.
Bon à savoir : avant l'entrée en vigueur du règlement (UE) 2016/679 du 27 avril 2016 « RGPD », la loi Informatique et libertés disposait que toute personne qui collectait et traitait des données biométriques devait demander une autorisation préalable à la CNIL (Commission Nationale de l'Informatique et des libertés). Ces formalités déclaratives ont été supprimées.
Reconnaissance de la frappe au clavier par la biométrie
Extension par la CNIL de la notion de reconnaissance biométrique
Pour la CNIL la reconnaissance biométrique comporte également les processus permettant d'identifier les individus en utilisant des caractéristiques non pas physiques, mais relevant de leur comportement, telles que :
- la manière de frapper au clavier ;
- le maniement de la souris.
Exemple : une entreprise a souhaité mettre en place un système de sécurité nécessitant la biométrie pour étudier la reconnaissance de frappe d'un individu. La CNIL, lors de sa séance du 23 juin 2011, a autorisé pour la première fois une société à mettre en œuvre cette technologie à des fins de démonstration auprès de clients potentiels.
Principe de la reconnaissance biométrique de la frappe au clavier
Le principe est simple : il consiste à renforcer la sécurité d'un identifiant et d'un mot de passe en ajoutant un paramètre comportemental qui détaille la façon dont la personne tape au clavier cet identifiant et ce mot de passe.
Il est ainsi possible de reconnaître un individu en s'appuyant sur les variations de la durée séparant la frappe de deux touches du clavier d'un ordinateur lors de la saisie d'un identifiant et d'un mot de passe. Si le rythme est différent, alors l'accès au réseau ne sera pas autorisé à l'utilisateur.
Remarque : pour installer ce type de reconnaissance biométrique, il n'est pas nécessaire d'avoir un équipement spécifique. Il suffit de disposer d'un clavier, d'un ordinateur et du logiciel de reconnaissance biométrique installé sur un serveur.
Sécurisation de la reconnaissance biométrique
Dans l'exemple que nous avons évoqué, pour permettre à l'entreprise de bénéficier de ce procédé biométrique, il a fallu :
- qu'elle justifie d'un niveau de sécurité important ;
- qu'elle s'assure que seules les données des personnes volontaires seront traitées ;
- qu'elle certifie que ces données seront supprimées à l'issue de la démonstration.
La CNIL a donc déterminé un certain nombre de mesures pour assurer la confidentialité des données :
- le résultat de l'analyse des données de frappe sera chiffré afin de garantir sa confidentialité ;
- chaque société qui mettra en œuvre la solution disposera d'une clef de chiffrement personnelle ;
- la base de données du démonstrateur sera hébergée par la société démonstratrice et non par un prestataire ;
- la société s'assurera qu'aucun logiciel ou dispositif matériel permettant d'enregistrer puis de simuler les caractéristiques de la frappe clavier d'une personne, notamment à son insu, ne sera installé sur le poste informatique utilisé.
Remarque : le souci principal de la CNIL est de veiller à ce que les personnes concernées soient bien informées que leurs données sont collectées puis supprimées. En effet, il n'y a qu'un pas entre ce dispositif et le risque d'espionnage des contenus tapés au clavier par ces mêmes personnes.
Le 10 avril 2018, la CNIL a précisé sa doctrine pour mieux encadrer les systèmes d’authentification biométrique utilisés par des particuliers dans leur vie quotidienne et inciter les professionnels à veiller à ce que les technologies utilisées garantissent la protection des données personnelles. Elle y intègre les principes consacrés par le règlement général sur la protection des données (RGPD), dont l'entrée en vigueur est fixée au 25 mai 2018. Ces règles sont les suivantes :
- justifier d'un besoin spécifique ;
- après information, laisser la personne libre d’y recourir ou de choisir un dispositif alternatif ;
- maintenir les données biométriques sous le contrôle exclusif de la personne concernée.
Pour en savoir plus :
- Une autre application de la reconnaissance biométrique : la pointeuse biométrique. Principe, fonctionnement, risques,... On vous dit tout !
- Parmi les avancées technologiques en cours et sur le point d'être généralisées : le paiement biométrique par empreintes digitales. On fait le point.
- Encore une application de la biométrie, qui rencontre un large succès pour son côté pratique et pour sa sécurité : la serrure biométrique.