Une clef cryptographique pour protéger les données biométriques

Par 25 novembre 2011
Mots-clés : Smart city, Europe
fingerprint scan

Pour se prémunir des vols de données biométriques contenus dans différents serveurs, des chercheurs européens ont mis au point TURBINE, un système d'émission de clefs cryptographiques, rendant caduque le stockage de l'image des empreintes digitales.

Les systèmes d'identification utilisant les données biométriques doivent être mieux sécurisés. Dans cette optique, une équipe de chercheurs européens ont mis au point le projet TURBINE (TrUsted Revocable Biometric IdeNtitiEs) afin de pouvoir bénéficier de tous les avantages de ces techniques tout en réduisant considérablement les risques de vols d'informations personnelles. Le principe : une clef cryptographique est générée automatiquement par un algorithme mathématique basé sur certaines caractéristiques de l'empreinte digitale de la personne, définies à l'avance. Le code est ensuite comparé avec les clefs disponibles dans la base de données du serveur. L'image de l'empreinte n'est donc jamais stockée directement, seules les clefs correspondantes le sont.

L'impossibilité de remonter jusqu'à l'empreinte elle-même

En d'autres termes, le système n'identifie pas l'utilisateur lui-même, mais simplement s'il dispose d'une autorisation. "Le code ne permet pas de restaurer l'empreinte digitale. Remonter jusqu'à la personne en question est donc impossible. Si je suis banquier et que quelqu'un souhaite accéder à un compte, la seule chose qui m'importe, c'est s'il en a le droit, et pas qui il est", explique Nicolas Delvaux, expert en sécurité biométrique chez Morpho et coordinateur du projet TURBINE. Chaque être humain pourrait très bien disposer d'une clef différente pour chaque système d'identification : institutions gouvernementales, organismes bancaires, tout cela à partir d'une même empreinte. Il suffirait pour cela de modifier la formule mathématique et les critères choisis pour générer le code.

Des clefs révocables à volonté

De plus, si une clef est compromise, il est possible de la révoquer et d'en créer une nouvelle. Et puisque chacune d'entre elles est unique, il est très complexe de repérer un même utilisateur sur plusieurs systèmes ou base de données et de recouper les informations pour créer un profil. Après des tests concluants, plusieurs entreprises partenaires du projet ont prévu de lancer des versions commerciales de TURBINE mais quelques obstacles restent encore à franchir, notamment obtenir l'approbation des agences nationales de protection des données. "Les systèmes d'identification biométriques sont encore très fragmentés en Europe, mais nous comptons approcher ces institutions pour qu'un standard puisse être trouvé", conclut Nicolas Delvaux. Le projet a d'ailleurs reçu des commentaires élogieux de la part de l'EDPS (European Data Protection Supervisor), une première pour une initiative provenant du vieux continent.

Mentions légales © L’Atelier BNP Paribas