Les fans de «Où est Charlie?» peuvent se cacher dans la foule. Or, la cryptographie assure une meilleure protection des données. | Photo: William Murphy / Wikimedia Commons

Au quotidien, lors d’un achat en ligne ou d’une connexion au travail, il faut prouver à un serveur qu’on est bien celui ou celle qu’on prétend être. Il vérifie si nous sommes le détenteur du compte bancaire ou si nous avons le droit d’accès aux informations confidentielles. L’authentification biométrique, par empreinte digitale sur son smartphone, est alors appréciée.

C'est pratique. Car contrairement à un mot de passe, l'empreinte digitale ne peut être oublié. Et la voler n’est pas si simple: «Les capteurs sont dotés d’une reconnaissance du vivant. Sinon, il suffirait de se coller une copie d’empreinte sur le doigt», explique Julia Hesse d’IBM Research Zurich. Ses recherches portent sur l’authentification biométrique sans révéler d’informations personnelles – appelée la «preuve à divulgation nulle de connaissance» par les spécialistes.

L’enjeu est donc de vérifier une empreinte en ignorant tout d’elle. «Faisons un jeu. J’ai une preuve et vous vérifiez», lance Julia Hesse en sortant une image de la série «Où est Charlie?» Le personnage au pull rayé rouge et blanc de ces livres doit être retrouvé parmi beaucoup d’autres. «Je vous prouve que je sais où est Charlie sans vous dévoiler où il se trouve.» L’astuce: couvrir l’image d’un carton dans lequel a été découpé un trou à travers lequel on reconnaît bien Charlie, mais son emplacement reste caché derrière le carton.

L’authentification biométrique n’en est pas encore là. Les informations sont stockées dans l’environnement d’exécution fiable, une zone restreinte particulièrement sécurisée du smartphone. Mais si elle est piratée, l’empreinte digitale reste inutilisable comme mot de passe à vie.

Diverses méthodes sont testées pour n’avoir même pas à révéler son empreinte digitale au smartphone. Entre autres, modifier l’image de l’empreinte pour lui donner un aspect aléatoire, un procédé appelé hachage. Ces techniques sont déjà la norme pour les mots de passe. Mais l’empreinte digitale est d’aspect différent à chaque fois. Elle dépend en effet «de la santé de la personne, du lieu, de la météo et de bien d’autres facteurs encore», comme l’explique Serge Vaudenay, cryptographe à l’EPFL. Cela nécessite donc des recherches supplémentaires. Mais le risque résiduel de confondre une personne ou de se tromper de personne subsiste. Autre défi: protéger ce hachage contre les intrusions par ordinateur quantique – comme cela est déjà le cas pour les mots de passe.

Embarquement sans passeport

L’équipe de Julia Hesse a développé une tout autre méthode de protection de la sphère privée qui sert notamment au moment de monter à bord d’un avion, quand il faut vérifier si le billet appartient bel et bien au passager à la porte d’embarquement. Cela nécessite aujourd’hui un passeport avec photo et des informations sur le détenteur (nom, date de naissance, taille, etc.). Les chercheuses veulent remplacer le passeport par une carte à puce munie seulement d’une photo et d’un chiffre. Un algorithme peut alors contrôler si la carte et le billet d’avion correspondent et le personnel au sol peut vérifier qui en est la propriétaire légitime grâce à la photo.

«Nous avons trouvé une solution efficace», dit Julia Hesse. Son équipe observe au quotidien les inventions de milliers de cryptographes du monde entier. Lors de vidéoconférences hebdomadaires, elles concoctent elles-mêmes de nouvelles idées à prouver ensuite mathématiquement. «Je conseille d’attendre un certain temps après publication avant de transposer une méthode dans la pratique», précise la spécialiste. Durant ce temps, la communauté des cryptographes peut détecter d’éventuels points faibles. Garder le secret n’est donc pas un critère de sécurité pour une méthode de cryptographie. S’il reconnaît une certaine exhaustivité à l’approche de Julia Hesse, Serge Vaudenay rappelle toutefois: «Toutes les méthodes ont leurs avantages et leurs inconvénients et la sécurité n’est jamais garantie à 100%.»