Suite à la faille de sécurité découverte sur la base biométrique éditée par Suprema, les experts en cybersécurité font le point sur les conséquences de telles vulnérabilités pour les entreprises.

Alors que le recours à la biométrie se développe, depuis le contrôle d’accès aux bâtiments jusqu’au déverrouillage des smartphones, des progrès restent à faire pour mieux protéger les données associées. Ainsi, le 14 août, deux chercheurs israéliens de vpnMentor ont mis en évidence la présence d’une faille de sécurité importante dans la base de données Biostar 2, éditée par la société sud-coréenne Suprema. Si la brèche en question a rapidement été corrigée, son existence même rappelle la nécessité pour les entreprises d’auditer soigneusement les fournisseurs de solutions biométriques.

Une faille classique : la base accessible depuis Internet

En scannant des ports IP, l’équipe de chercheurs a pu pénétrer dans le système informatique du fournisseur, pour remonter peu à peu jusqu’à la base de données exposée. Avant que la faille ne soit corrigée, ils ont pu accéder dans l’intervalle à plus d’un million d’empreintes digitales, ainsi qu’à des informations de reconnaissance faciale : autant de données, qui une fois piratées ne peuvent plus être changées, contrairement aux mots de passe et identifiants. Dans le cas de Suprema, l’accès à ces données a pu être obtenu car la base s’est retrouvée connectée à Internet sans mesures de protections adaptées (un comble pour un fournisseur de solutions de sécurité). Par ailleurs, les données biométriques qu’elle contenait n’étaient pas chiffrées.

Conserver les données sensibles sous forme hachée, une bonne pratique pas toujours appliquée

Pour éviter un tel cas de figure, les experts en cybersécurité de Frost & Sullivan préconisent aux fournisseurs de stocker toutes les données biométriques (et bien entendu les autres données sensibles) sous un format passé au préalable par un algorithme de hachage, afin d’éviter que des pirates ne puissent les reconstruire par rétro-ingénierie ou les remplacer facilement.

Éviter le stockage centralisé, véritable « open bar » en cas d’attaque réussie

D’autres acteurs phares de la biométrie, comme Gemalto, conseillent également de privilégier quand cela est possible les supports décentralisés pour stocker les données biométriques proprement dites : cartes ou tokens possédés par l’utilisateur présentent en effet moins de risque qu’une base rassemblant les données de millions d’individus.

Source : vpnMentor, Frost & Sullivan, Gemalto

AUCUN COMMENTAIRE