Les constructeurs de smartphones vont-ils adopter la reconnaissance de l'iris ?

Ceux qui tiennent particulièrement à la confidentialité de leurs données personnelles se réjouiront de l'actualité tech. En effet, même s'il propose déjà à ses utilisateurs d'utiliser un code à 6 chiffres pour verrouiller leur téléphone, Samsung vient de faire un pas en avant en matière de sécurité, en implantant la technologie de reconnaissance de l'iris. Tandis qu'approche la sortie du Galaxy Note 7, que Samsung devrait présenter mardi à New York, Londres et Rio, Samsung expliquera enfin en quoi consiste exactement cette récente innovation biométrique.

L'idée d'utiliser la reconnaissance de l'iris pour déverrouiller un appareil n'est pas neuve. En fait, c'est déjà une technologie banale pour la société de télécommunications chinoise ZTE, qui a construit le ZTE Grand S, un téléphone sorti en mars dernier et proposant un scan de l'iris sous la forme d'une « carte d'identité oculaire. » L'utilisateur doit scanner ses deux yeux avant de pouvoir utiliser son téléphone.

« L'année dernière, nous nous sommes concentrés sur la sécurité biométrique des smartphones, et nous avons testé différentes façons d'exploiter les données biométriques d'une personne, » explique Wailman Lam, responsable du développement mobile chez ZTE.

La biométrie et la technologie à destination du grand public ont lié des liens étroits depuis plusieurs années déjà. Apple a implanté un système de reconnaissance d'empreinte digitale pour iPhone appelé « Touch ID », dès 2013. Cette technologie est plutôt fiable, mais n'est pas sans défaut. Si vous êtes un habitué des séries policières, vous savez déjà à quel point il est facile de copier et de répliquer un modèle d'empreintes digitales. Des chercheurs ont d'ailleurs réussi à reproduire cette opération plusieurs avec une grande facilité. Le bout de vos doigts ne vous garantira jamais une sécurité maximale en matière de protection de données. Aussi, Jeremy Gilula, chef de la technologie à l'Electronic Frontier Foundation, a adressé ce problème publiquement.

« Si vous utilisez habituellement vos empreintes digitales pour déverrouiller votre téléphone, que vous gardez verrouillé toute la journée au cas où un inconnu indiscret aurait l'idée d'aller jeter un coup d'œil à vos photos, vous n'avez probablement pas à vous soucier de ce problème de sécurité, » explique Gillula. « En revanche, si vous êtes un journaliste en plein travail sur une affaire de scandale politique… ce système ne vous garantira jamais que vos informations sont bien à l'abri. »

Le système de carte d'identité oculaire de ZTE a été conçu pour proposer une alternative plus sûre au scan d'empreintes digitales. En théorie, il a tout du système parfait. Mais quand on y regarde de plus près, il comporte certaines failles qui permettent de remettre en cause sa fiabilité. Le scan d'iris ne fonctionne que sous une certaine lumière, en plaçant le téléphone à une distance précise de l'œil. D'ailleurs, la société n'a embarqué le système de carte d'identité oculaire sur les modèles de smartphones ZTE sortis depuis.

« Peut-être que l'intégration de la reconnaissance d'iris était un peu, non pas prématurée mais… hâtive. Elle est assez difficile à maitriser pour l'utilisateur lambda, et bien moins user-friendly que la reconnaissance automatique des empreintes digitales, » ajoute Lam. « Il faudra encore l'améliorer. »

Même si Apple ou Samsung parvenaient à résoudre ces difficultés techniques et ergonomiques, il est encore difficile de déterminer si le scan d'iris constituera vraiment un dispositif de sécurité fiable en toutes circonstances.

« On peut duper un scanner d'iris, c'est certain, » explique Gilula. « Pour tout système reposant sur un input en provenance de l'environnement direct, il existe un moyen de passer outre la vigilance du capteur. »

Les scanner d'iris, ainsi que d'autres applications biométriques, sont en effet vulnérables face au machiavélisme et à l'inventivité des humains. Toutefois, cela ne veut pas dire que cette technologie n'est d'aucune utilité. ZTE proposera la combinaison de plusieurs systèmes biométriques : par empreintes digitales, « Eyeprint ID », et reconnaissance vocale. La valeur de ce genre de système de sécurité s'évalue avant tout à partir de son nombre de couches. Plus le nombre d'étapes de sécurité à franchir par l'utilisateur est grand, moins les données de l'appareil sont vulnérables.

« Quelqu'un parviendra peut-être à voler votre mot de passe à distance, mais cela ne signifie pas qu'il parviendra également à voler une empreinte de votre iris, » ajoute Gilula.

Si la rumeur est vraie, Samsung et Apple combineront systèmes de mot de passe, reconnaissance d'empreintes digitales et scan d'iris d'ici 2018. Cela ne suffira pas à transformer votre smartphone en coffre-fort, mais la plupart des individus mal intentionnés s'y casseront les dents.