Les choses étaient simples par le passé: pour prouver votre identité en tant que personne physique, vous disposiez d'une carte d'identité et d'un permis de conduire. Quiconque se rendait à l'étranger avait besoin, pour certains pays, d'un passeport international. C'était à peu près tout. Aujourd'hui, outre votre identité physique, vous avez également diverses identités en ligne: sans doute un compte Google, éventuellement un identifiant Apple, un profil sur Facebook, Instagram, Twitter, LinkedIn et quelques e-boutiques où vous faites régulièrement des achats. Malheureusement pour vous, toutes ne sont pas correctement sécurisées et un pirate peut faire un usage abusif de ces identités en ligne. En toute honnêteté, je dois dire qu'une bonne part de la responsabilité de la sécurité incombe à l'utilisateur.

Sept cents cas d'usurpation d'identité par mois est un score élevé. Nous les détectons aujourd'hui plus rapidement tout simplement parce que la connectivité permet d'en savoir beaucoup plus. Remontez le temps d'une vingtaine d'années: imaginez que votre passeport ait été contrefait et utilisé en Italie. Sans doute ne l'auriez-vous jamais su. Aujourd'hui, compte tenu de l'intérêt soutenu que suscite la sécurité (en ligne), vous êtes immédiatement alerté si quelqu'un veut se connecter en un autre endroit à l'aide de vos identifiants.

Pourquoi veulent-ils voler votre identité?

Vous pourriez dire "Pourquoi devrais-je me faire du mouron? Ce n'est jamais qu'un profil sur une appli". Pourtant, cette identité peut être suffisante pour permettre aux cybercriminels de provoquer beaucoup de dégâts. Il y a deux raisons majeures pour lesquelles des hackers convoitent votre identité. Dans le premier cas, ils ont besoin de celle-ci pour effectuer quelque chose qui requiert vos données d'identité personnelles ou d'autres identifiants. Pensez par exemple aux nombreux courriels d'hameçonnage qui atterrissent dans votre boîte de messagerie et via lesquels les hackers tentent d'obtenir vos données pour vider votre compte en banque. La chose est grave bien entendu mais les hackers "sérieux" s'en désintéressent. Cela exige beaucoup de temps et n'est guère lucratif: tous les Belges ne disposent pas de plus de 100.000 euros sur leur compte.

Dans le second cas, les hackers détournent votre identité afin de masquer la leur lors d'une action illégale (de plus grande ampleur). Combien de fois des sites Internet ne demandent-ils pas une vérification via un courriel qu'ils vous envoient? Imaginez qu'un compte courriel soit piraté. Les cybercriminels peuvent alors endosser cette identité, diffuser des campagnes de pourriels, voire même espionner et dérober la propriété intellectuelle d'une entreprise où travaille l'utilisateur de cette adresse courriel.

La biométrie peut-elle être une aide?

La biométrie est régulièrement présentée comme un moyen de lutter contre de tels vols d'identité. Elle pourrait être efficace, à condition que rien ne dérape. Pour le dire crûment: vous n'avez que dix doigts! Je m'explique... La reconnaissance d'empreintes digitales vous permet d'accéder à votre lieu de travail. Pour ce faire, l'employeur enregistre les empreintes de deux de vos doigts dans la base de données et non celles de vos dix doigts. Imaginez qu'en raison d'une blessure - une cicatrice ou, dans le pire des cas, une amputation -, vous ne puissiez plus utiliser ces empreintes digitales. Il vous reste alors encore, en guise de recours, les huit autres doigts. Si vos dix doigts devaient être stockés dans la base de données, vous n'auriez plus de "back-up". Et cela vaut également dans le cas où la base de données est compromise. Idem en cas d'empreintes digitales factices en silicone, comme vous l'avez peut-être vu dans les films James Bond ou Mission impossible. Il vous reste alors à bloquer ces empreintes digitales détournées et à paramétrer de nouvelles empreintes avec vos autres doigts.

Pourquoi ne voudriez-vous pas mieux protéger votre véritable identité à l'aide de la biométrie?

Comparez cela aux cartes bancaires: vous en possédez sans doute plusieurs. Si vous égarez une carte bancaire, vous la faites bloquer via le service Card Stop et vous en demandez une nouvelle. En stockant vos empreintes digitales sur votre carte d'identité, vous avez également la possibilité de bloquer cette carte en cas d'escroquerie et d'en faire faire une nouvelle, avec de nouvelles empreintes digitales, éventuellement celles d'autres doigts que vos deux index. Il est par ailleurs possible, à tout moment, de vérifier si le détenteur de la carte et les empreintes digitales de la carte correspondent. Cela permet d'ajouter une sécurité supplémentaire contre le détournement d'identité.

Des empreintes digitales sur la carte d'identité: pourquoi pas?

Je ne comprends donc pas vraiment le ramdam autour des empreintes digitales sur les cartes d'identité. On dit qu'il s'agit là d'une infraction à la vie privée mais, en soi, cela n'a rien à voir. Je conçois bien entendu que les gens, de tout temps, aient fait le lien entre criminalité et empreintes digitales. On le voit dans toutes les séries policières à la télévision. Mais, d'un point de vue technique, ce sont là deux choses différentes. Dans les affaires criminelles, on parle d'empreintes roulées tandis que l'on utilise normalement des empreintes dites "à plat" pour les cartes d'identité, pour lesquelles vous placer simplement votre doigt sur le scanner. Il n'est pas facile, techniquement parlant, de réconcilier ces deux formes. Il faut plutôt y voir une protection supplémentaire de votre carte d'identité au lieu d'une infraction à votre vie privée.

Il est d'ailleurs difficile de faire obstacle à l'évolution et à la technologie. Aux débuts de la photographie et du cinéma, la première réaction des gens lorsque l'on prenait une photo d'eux était l'effroi. Ou bien ils s'enfuyaient, paniqués, de la salle lorsqu'un train lancé à toute vitesse apparaissait à l'écran. Aujourd'hui, nous partageons notre vie, via des photos et des vidéos, sur Instagram et YouTube sans même y réfléchir. Pourquoi dès lors ne voudriez-vous pas mieux protéger votre véritable identité à l'aide de la biométrie?