Ingenico propose le paiement avec la main… Quelles sont les problématiques liées à l’identification biométrique?
Ingenico, l’un des leaders des TPE (Terminaux de Paiement), va proposer le paiement via la lecture biométrique de la main et sans contact. Cependant, cette avancée suscite de nombreuses questions concernant la sécurité et le fonctionnement de leur solution, ainsi que sur l’utilisation plus générale des systèmes d’identification biométrique.
Explication…
Fonctionnement de la solution d’Ingenico
Dans un premier temps, il y a une phase d’enrôlement, c’est-à-dire le premier enregistrement des veines de la paume de la main via un capteur infrarouge (système “quasi” similaire à Face ID sur iPhone), sans contact direct avec l’enregistreur. Cette opération peut être effectuée chez n’importe quel commerçant qui possède l’appareil spécifique d’Ingenico dédié à l’enrôlement, qui sert également de TPE pour la lecture et le paiement.
Les données biométriques sont numérisées, chiffrées et tokenisées, ce qui signifie qu’elles sont associées à une signature numérique unique. La tokenisation est une solution de plus en plus utilisée pour l’identification et l’authentification. J’en parle plus en détail dans cet article où je décris également le système utilisé chez Apple et Android. Lors de l’enrôlement, l’usager pose sa carte bancaire pour que son « identité numérique », créée via les données biométriques, soit associée à celle-ci.
Le token intègre également les données de la carte bancaire, et l’ensemble est envoyé vers les serveurs d’Ingenico. Ingenico fait valider l’identité bancaire sur le réseau EMVCo (Mastercard, Visa…). Lors d’un prochain achat, l’usager n’aura qu’à imposer sa main pour effectuer le paiement. Le TPE d’Ingenico chiffre les données biométriques et vérifie la correspondance sur leurs serveurs. Le SI (Système d’Information) d’Ingenico se connecte ensuite au réseau bancaire pour valider le paiement.
Pour plus de détail, Ingenico à publié un dossier de presse à retrouver ici : https://ingenico.com/fr/espace-presse/communiques-de-presse/lavenir-de-la-biometrie-dans-les-veines-de-la-main-ingenico-et
Mais des zones d’ombre demeurent sur les détails du système…
Le paiement biométrique est sans aucun doute l’une des solutions les plus sécurisées grâce à ses caractéristiques uniques et non duplicables. Cela est particulièrement vrai lorsque l’on utilise la biométrie en mode “live” et en 3D, ce qui signifie la vérification de la présence “vivante” du propriétaire lors du scan (par exemple en mesurant le pouls) avec des informations biologiques qui ne peuvent pas être copiées par une simple photo, comme c’est le cas pour la reconnaissance faciale.
L’utilisation de la biométrie en mode “live” garantit une sécurité supplémentaire, car elle assure que l’utilisateur est bien présent physiquement au moment de l’authentification. Les données biométriques collectées en temps réel, telles que les pulsations cardiaques, l’empreinte digitale en mouvement ou la reconnaissance de la paume de la main, sont beaucoup plus difficiles à reproduire ou à falsifier par rapport à des informations statiques.
Ainsi, en intégrant des mesures de sécurité basées sur la biométrie “live” et en 3D, les systèmes de paiement biométriques peuvent offrir une protection renforcée contre les tentatives de fraude et d’usurpation d’identité.
J’en parle aussi longuement dans un article sur le futur de l’identification numérique.
Si l’on ajoute à cela la tokenisation, la solution semble a priori parfaite. Cependant, Ingenico ne précise pas certains points qui sont pourtant primordiaux. Faisons un bref rappel des différentes solutions de traitement des données biométriques :
- La première solution, la plus utilisée, est la gestion des données en local, comme c’est le cas sur les smartphones. Les données biométriques sont d’abord tokenisées (comme avec Ingenico) puis enregistrées dans l’appareil sur un système de sécurité très particulier : le secure element. Ce système est mécaniquement séparé du reste du smartphone et donc inaccessible. De même, la carte bancaire est tokenisée et chiffrée en local avant d’être envoyée au serveur du réseau de paiement de cartes bancaires et des banques pour être associée au propriétaire du compte bancaire.
Dans le Secure Element, les données biométriques sont associées à l’utilisation de la carte bancaire (elles peuvent l’être aussi pour d’autres supports tels que des cartes d’identité, de fidélité, etc.).
Lors d’un paiement, le smartphone effectue un scan biométrique pour valider l’utilisation de la carte bancaire enregistrée. Il chiffre ensuite les informations de paiement et les transforme en token avant de les envoyer sur le réseau de paiement bancaire. Pour cela, on utilise des clés de chiffrement appelées “asymétriques”. Vous (ou plutôt votre smartphone) possédez une clé privée et une clé publique. De même, le destinataire (par exemple le service de paiement) possède également sa propre clé publique et privée. La clé publique chiffre les données et la clé privée les déchiffre. Ainsi, si quelqu’un parvient à intercepter les données lors de leur transfert, elles restent illisibles.
En résumé, vos données biométriques ne quittent JAMAIS votre smartphone. Elles ne sont hébergées sur aucun serveur d’aucune entreprise. Seule l’identification du payeur et l’activité de paiement sont transférées aux instances bancaires ; et, encore une fois, elles sont chiffrées.
- L’autre solution est celle qu’utilise Ingenico et que nous avons détaillé en préambule. Les données sont enregistrées sur les serveurs de l’entreprises.
Cela permet de se préserver de l’utilisation d’un autre appareil qu’est le smartphone. Pas nécessaire de l’avoir avec soit ou de devoir le sortir.
Avec un hébergement en ligne, notamment sur les serveurs d’Ingenico, la sécurité de nos données biométriques n’est pas totalement garantie, même si elles sont chiffrées. Ingenico ne fournit pas de détails sur son système de tokenisation et d’hébergement.
Logiquement, en se basant sur un fonctionnement similaire à celui d’Apple, seul le TPE local devrait être capable de lire les données biométriques en “clair” avant de les chiffrer ; Ingenico ne verrait alors que le token, autrement dit la signature de ces données.
Cependant, l’entreprise indique que la tokenisation est effectuée sur leurs serveurs, ce qui signifie que les informations personnelles sont lisibles chez Ingenico. Qu’en est-il d’un éventuel piratage de l’appareil lors de l’enregistrement ? Car dans le cas du smartphone, cela semble impossible ! Il est donc essentiel que l’entreprise précise la technologie de leur TPE. Même si la tokenisation a lieu sur les serveurs, j’espère qu’ils assurent au minimum le chiffrement du transfert sur le réseau entre leur TPE et le cloud… En ce qui concerne les serveurs, un token, bien qu’il soit un chiffrement de données, pourrait éventuellement être déchiffré par le biais de la technologie quantique à long terme… D’autant plus que nous ne connaissons pas l’enchaînement des phases de chiffrement. Un piratage pourrait intervenir avant le chiffrement, lorsque les données sont encore en clair.
Dernièrement, une ambiguïté demeure : nous ne savons pas si le token généré par Ingenico résulte d’un chiffrement ou d’un hachage des données.
En cas de chiffrement, les données sont “masquées” par le chiffrement et deviennent “lisibles” par le déchiffrement. Ce système est nécessaire s’il y a une manipulation des données à effectuer (transformation, qualification, etc.).
À l’inverse, le hachage dissimule complètement les données originales en les convertissant en une signature unique. L’objectif n’est pas de traiter les données, mais simplement de vérifier l’identité de l’émetteur.
Logiquement, Ingenico n’a pas besoin de traiter les données biométriques, mais plutôt de créer une identité numérique de l’utilisateur et de vérifier qu’il est bien l’auteur du paiement en comparant la signature créée lors d’un scan avec celle enregistrée sur le serveur lors de l’enrôlement (du premier scan).
D’autres options sont envisageables, comme la décentralisation de l’hébergement des données. La technologie blockchain est un parfait exemple, puisque les données ne sont hébergées par aucune entreprise, du moins dans le cas des blockchains publiques… Petite parenthèse : Si les données devaient être traitées, il serait également possible d’ajouter une couche de sécurité supplémentaire grâce à un chiffrement homomorphe. Si l’on suppose que le TPE biométrique est aussi sécurisé qu’un smartphone équipé d’un élément sécurisé, et que c’est cet appareil qui chiffre et tokenize les données, il serait possible de se passer d’un chiffrement asymétrique (ou tout autre type de chiffrement classique).
Le chiffrement homomorphe n’exige pas que le service destinataire, ici Ingenico, déchiffre les données pour les traiter. Pour en savoir plus : Bien comprendre le chiffrement homomorphe
Un nombre croissant d’entreprises envisagent l’usage d’appareils biométriques “communs” (différents d’un smartphone à usage personnel) pour l’identification et le paiement :
- Tel est le cas de l’entreprise “Uniris”, qui a développé une blockchain ainsi qu’un scanner d’empreintes digitales, lequel sera testé lors des Jeux Olympiques de Paris 2024. Ce scanner sera couplé aux portiques des différents sites olympiques pour les spectateurs, voire aux portes des résidences des athlètes.
- De même, plusieurs compagnies aériennes se sont associées pour créer le DTC ou “Digital Travel Credential”, sorte de carte d’identité du voyageur qui intègre toutes les données relatives à son voyage (billet, passeport, etc.). Elles envisagent une utilisation flexible : le stockage du DTC sur un smartphone ou sur les serveurs des compagnies, permettant ainsi l’utilisation de scanners biométriques dans les aéroports sans nécessiter l’utilisation d’un dispositif personnel ou même d’en posséder un.
Pour le cas d’Ingenico, il serait utile de se renseigner auprès des partenaires qui participent à leur système de paiement par empreinte de la main : Fujitsu Frontech pour le TPE et Fulcrum Biometrics pour le logiciel (Fulcrum Biometrics étant simplement l’équipe biométrie de Fujitsu).
Quelle solution?
Il est vrai qu’une gestion des données biométriques (et de l’identité numérique associée) en cloud pourrait sembler plus fluide pour l’expérience utilisateur : aucun besoin de dispositif (smartphone, smartwatch ou carte) !
Cependant, une faille apparaît dans le parcours utilisateur : à terme, si de nombreuses sociétés proposent une solution similaire, il serait nécessaire de refaire la phase d’enrôlement pour chaque service, puisqu’ils ne sont pas censés partager les données biométriques. Nous pourrions éventuellement avoir un seul produit pour le paiement… Mais qu’en est-il de la fidélisation, des loisirs… de l’identification en général ? Autant de données stockées chez autant d’entreprises privées…
Une solution envisageable serait d’avoir un tiers de confiance unique. Mais qui ? L’État ? Le souhaiterions-nous vraiment ?
Cette question éthique, liée aux données privées, se pose également, entre autres, pour les projets de monnaies numériques.
À mon avis, la gestion des paiements et des identités numériques, qu’ils passent par un système biométrique ou non, devrait rester locale sur notre dispositif personnel. Il n’y a rien de comparable d’un point de vue sécuritaire. Le seul risque est la perte ou le vol du mot de passe. Mais pour cela, il faudrait connaître le code de déverrouillage du smartphone, ainsi que le mot de passe du compte Apple (pour iPhone) ou Google (pour Android). Ainsi, la responsabilité, et le contrôle, ne sont pas du côté des services et des entreprises, mais bien de l’utilisateur. À terme, si les systèmes de reconnaissance biométrique des smartphones deviennent absolument performants, il serait même possible que les codes et mots de passe disparaissent, laissant place à une identification uniquement faciale, digitale ou autre.
