J'ai récemment visité Epcot Center et j'ai été surpris qu'ils aient demandé à scanner une de mes empreintes digitales avant d'entrer dans le parc, même si j'avais déjà mon billet en main. Je ne pense pas qu'ils nécessitent un doigt spécifique. Cela semble être un méthode d'authentification à deux facteurs appelée Ticket Tag , qui ressemble beaucoup à ce que dit la TSA à propos de vos analyses corporelles: "Nous ne stockons pas l'analyse, mais vous pouvez utiliser un ' méthode moins pratique si vous le souhaitez ( la plupart du temps ). "
Ai-je raison de m'inquiéter? Quels sont les risques les plus probables et les pires cas ici?
J'ai bien peur de ne pas avoir de bonne réponse, mais j'ai quelques réflexions à considérer qui pourraient aider les autres à trouver une bonne réponse.
Vous laissez déjà votre empreinte digitale partout. Cependant, si quelqu'un veut obtenir votre empreinte digitale, il doit actuellement dépenser du temps et de l'énergie pour se rapprocher physiquement de vous et trouver un endroit où il pourra retirer une bonne empreinte digitale de quelque chose. Cela signifie qu'il est plus coûteux de le faire pour une personne aléatoire, et cela ne peut pas vraiment être fait à grande échelle.
Les téléphones et autres appareils de nos jours ont également la fonction utile de lire votre empreinte digitale. Cela augmente les chances que quelqu'un puisse accéder à une base de données d'entre eux quelque part et diminue le risque relatif de laisser une empreinte digitale dans le parc à thème.
Nous semblons évoluer vers une société où il est normal d'utiliser votre empreinte digitale comme identifiant. "C'est un nom d'utilisateur et non un mot de passe", disent les gens, et ils ont en quelque sorte raison. Cependant, c'est un peu plus qu'un nom d'utilisateur car ce n'est pas trivial (faisable sans outils) de soulever et de réutiliser une empreinte digitale, comme le serait un nom d'utilisateur. C'est pourquoi il est si populaire comme méthode d'identification assez fiable, comme sur votre téléphone et comme deuxième facteur d'authentification.
Cette tendance signifie également que, à mesure que le stockage des empreintes digitales devient plus courant, on peut leur faire de moins en moins confiance. La perception du public devrait tendre vers "tout le monde a déjà une copie de mes empreintes digitales, qui dit qu'il est toujours sûr de l'utiliser comme méthode d'authentification?" Cela fait en sorte que quiconque possède une copie soit moins problématique, car elle ne sera pas uniquement invoquée.
Certaines réponses existantes mentionnent que l'empreinte digitale est probablement stockée sous forme de code, et non comme une image ou une représentation très précise de votre empreinte digitale, et que différents appareils la coderaient de différentes manières ("abc" vs "123"). Je pense que cela est partiellement vrai: un code dérivé est généralement utilisé dans l'authentification, ce qui rend plus difficile la récupération de l'empreinte digitale d'origine. Cependant, je m'attendrais à ce que ce soit un processus déterministe et au moins partiellement réversible, où si vous connaissez le type de lecteur d'empreintes digitales, vous pouvez inverser le code dérivé en quelque chose qui ressemble à l'empreinte digitale. De plus, je m'attendrais à ce que l'industrie des lecteurs d'empreintes digitales converge vers le moyen le plus efficace de lire et de coder ses empreintes digitales, supprimant ainsi la nécessité de procéder à une rétro-ingénierie individuelle pour chaque méthode de lecteur d'empreintes digitales.
Résumant:
Une base de données, comme l'aurait un parc à thème, est utile si vous voulez pirater un individu à moindre coût et/ou si vous voulez le faire à plus grande échelle.
Votre empreinte digitale est lue numériquement dans de plus en plus d'endroits. À mesure que ces systèmes et bases de données deviennent plus fréquents, ils devraient devenir moins fiables.
Même s'ils ne stockent probablement pas votre empreinte digitale d'origine (facilement dupliquée), la version encodée peut probablement être reconstituée en quelque chose qui ressemble à l'original. Une fois cela fait, cela peut être utilisé pour chaque empreinte digitale faite avec cet appareil, ou au moins pour tout le monde dans le parc à thème.
Eh bien, si vous croyez ce que dit leur politique, vous ne devriez pas être si inquiet. En fait, même s'ils stockaient vos empreintes digitales et que leur base de données fuit, cela ne signifie pas que tout le monde peut copier votre empreinte digitale dans la nature.
Parce qu'un appareil biométrique scanne une partie de votre corps (par exemple le doigt) mais le logiciel utilisé dans cet appareil doit convertir cette image en une sorte de chaîne, ou au moins quelque chose d'interprétable pour le logiciel. Peut-être que le périphérique A stocke votre empreinte digitale en tant que "abc" et le périphérique B en tant que "123".
Pourtant, cela ne signifie pas que cela ne pourrait pas être un risque. Les empreintes digitales sont toujours utilisées pour vous identifier de manière unique et à l'avenir, elles ne seront utilisées que davantage. Lorsque vous voyagez dans les aéroports, vous donnez votre empreinte digitale, lorsque vous déverrouillez votre téléphone, ...
En outre, ils disent qu'ils ne stockent pas l'image d'empreinte digitale réelle. Donc, probablement, ils composent cette chaîne une fois que vous entrez dans le parc à thème; et lorsque vous l'entrerez à nouveau, l'appareil créera à nouveau la même chaîne à partir de l'image et vérifiera qu'elle est déjà dans la base de données. Si c'est le cas, ils ont votre identifiant de parc à thème unique. Comme le processus effectué avec des mots de passe hachés.
Le pire des cas serait qu'ils stockent votre empreinte digitale et fassent également une image de votre visage avec une caméra cachée, et ils l'envoient au NSA afin que Big Brother en sache déjà un peu plus sur vous . Mais ils ont probablement déjà les informations que le parc à thème pourrait vous offrir, et plus encore. Alors ne vous embêtez pas trop sur ce parc à thème. :)
Ce qu'ils pourraient faire, c'est avec votre registre d'empreintes digitales, par exemple combien vous visitez le parc ou quelque chose de connexe, et l'utiliser comme stratégie de marketing d'une manière ou d'une autre.
Et si quelqu'un veut vraiment avoir votre empreinte digitale, il vous suivra jusqu'à ce que vous jetiez votre tasse StarBucks ou que vous touchiez une poignée de porte; pour obtenir votre empreinte digitale à partir de là.
Eh bien, si vous utilisez votre empreinte digitale seule pour déverrouiller un appareil hautement sécurisé, cet exemple devrait vous inquiéter sérieusement. Il n'est inoffensif que si:
Mais sachez également que chaque fois que vous buvez une bière dans un pub sans porter de gants, vous laissez une copie de vos empreintes digitales sur le verre. Ok, c'est difficile à utiliser, mais pas beaucoup plus difficile que de voler des empreintes digitales dans des bases de données gouvernementales.
À mon humble avis, cela signifie que vous ne devriez jamais compter sur une empreinte digitale seul pour déverrouiller un système hautement sécurisé. L'empreinte digitale identifie en toute sécurité un seul être humain, pas de problème ici. Mais il est difficile de révoquer votre propre empreinte digitale si elle est compromise, et elle devrait déjà être connue de votre gouvernement (peut-être que vous pouvez lui faire confiance) et de nombreux de ses agents (sont-ils tous dignes de confiance?) Qui, pour leur travail normal, peuvent accéder à ces bases de données.
La biométrie peut être un moyen de sécuriser activement l'identification multidirectionnelle: quelque chose que vous savez (un mot de passe) et quelque chose que vous êtes (empreinte digitale). Il est entièrement sécurisé lorsqu'il est combiné avec quelque chose qui peut contrôler que vous donnez réellement une empreinte digitale (un responsable de la sécurité par exemple). Mais compter sur lui pour déverrouiller un appareil électronique est très pratique, mais pas si sûr.