Une innovation présentée par les chercheurs Américains va permettre d’identifier les consommateurs des appareils numériques par les battements de leur cœur. On va examiner l’état de la sécurité de mots de passe et ainsi des données personnelles en ligne. Qui sont les outils d’applications plus connu et réseaux sociaux dans le champ de sécurité de ses utilisateurs. Est-ce qu’on peut accéder au compte Facebook d’une façon qui permet un niveau plus élevé de sécurité et quelles sont les protections pionnières de WhatsApp?
Dans l’autre coté on va voir si les gouvernements peuvent accéder aux données personnelles de leur citoyens, et si on peut échapper au «le regard d’état».
L’équipe de chercheurs de l’université de Buffalo, aux Etats-Unis a présenté leur projet, baptisé Cardiac Scan, lors de la conférence MobiCom d’octobre 2017. Cardiac scan est un système biométrique qui s’appuie sur la numérisation du cœur d’une personne pour en déterminer la taille, la forme et le rythme pour se servir de ces informations uniques comme outil biométrique. La numérisation détecte la géométrie, la forme et la taille du cœur d’une personne pour l’identifier. « Il n’y a pas deux personnes avec des cœurs identiques », commente Wenyao Xu, professeur adjoint au département de l’Informatique et de l’ingénierie de l’université de Buffalo. En plus, selon le chercheur la forme d’un cœur ne change pas, sauf lorsque les personnes souffrent de maladies graves.
Plus précisément, ce système révolutionnaire utilise un radar Doppler 2,4 GHz pour la numérisation du cœur de l’utilisateur. Le process ne prend que huit secondes et peut être fait avec l’ordinateur ou le smartphone de la personne identifiée. Cela veut dire que tant que la personne se sert de son ordinateur ou de son smartphone, le système la reconnaît. Le verrouillage se fait automatiquement dès qu’elle s’éloigne ou que quelqu’un d’autre cherche à se connecter. Testé sur 78 volontaires, le Cardiac Scan a obtenu un taux de réussite de 98 % avec les personnes positionnées à un mètre du radar Doppler. Effectivement, cette innovation peut suivre une personne jusqu’à 30 mètres de distance, ce qui permettrait, par exemple, de l’utiliser dans les aéroports. Quant aux ondes émises par le système, le professeur Xu assure que «la puissance du signal est nettement inférieure à celle du Wi-Fi et représente moins d’un pour cent des radiations émises par un smartphone.» Maintenant, Cardiac Scan doit être miniaturisé pour l’intégrer dans un terminal mobile ou un ordinateur mais à l’avenir cet outil peut servir comme le nouveau mot de passe pour les dispositifs numérique.
Le biométrique ID de Samsung et Apple
En Avril 2017. La plus grande producteur de smartphones, Samsung, a lancé son produit Galaxy S8 avec la possibilité d’utilisé le scan des yeux. Plus précisément, l’Iris de leur consommateurs comme un moyen d’identification. Cet révolution de la téléphonie mobile a été acceptée dans la monde des hackers comme une challenge, et trois semaines plus tard le système d’identification de Samsung a été hacké par les allemands. Les hackers en question ont simplement pris une photo avec une caméra à lumière infrarouge et placé une lentille sur la pupille des yeux de l’utilisateur. Le portable a pu ainsi être déverrouillé.
Quelques mois plus tard les ingénieurs d’Apple ont lancé, à l’occasion de dixième anniversaire du lancement du premier IPhone, l’IPhone X avec un système 3D de déverrouillage facial. L’innovation utilise la camera infrarouge (TrueDepth) qui projette 30 000 points invisibles de lumière sur le visage du consommateur. Ce système est plus complexe que le scan de l’iris de Samsung, mais a quand même été hacké 2 semaines après le lancement du produit par le Bkav Corp, un groupe Vietnamien. Puisque, le système est plus élaboré c’est ainsi plus compliqué d’ouvrir l’IPhone X avec le visage. On doit utiliser la masque 3D de son utilisateur. Mais, même si la personne doit imprimer en 3D les yeux, le nez et les bouches de la personne identifié par le portable, le machine peut être déverrouillée à distance avec seulement la photo d’identifiant.
Cela signifie que, la biométrie utilisée comme mot de passe jusqu’à maintenant ne pose pas de problèmes pour les hackers voulant violer l’accès des derniers terminaux mobiles.
SentiMask
Quand on parle de possibilités d’utiliser nôtres spécifications corporelles pour créer la personnalité numérique on doit mentionner SentiMask. Crée par Neurotechnology, SentiMask est un outil de développement logiciel (Software Development Kit, SDK) qui utilise simplement la caméra web d’ordinateur pour créer la version virtuelle des personnes. On peut créer des versions de nous-même pour jouer aux jeux avec notre image, créer les bandes dessinées ou simplement utiliser nos traits pour les activités en ligne.
L’utilisation de SentiMask permet de se demander quelle est la barrière entre l’amusement et l’utilisation de nos données personnelles si on est inclu dans un scenario à notre insu. Dans le pire cas, on pourrait être partie à des activités illégales ou d’usurpation d’identité.
Authentification avec le corps
Dans l’autre coté si on tape «l’authentification avec le corps» sur les moteurs de recherche en ligne, on peut accéder Pentagon.info, le site web construit pour parler de théories du complot des attentats du 9 septembre 2001. Les infos qu’on peut trouver sur ce site web sont «sous l’autorité du FBI»: «Les reste des victimes furent rassemblées dans une morgue temporaire située sur un parking au Nord du Pentagone, puis photographiées et réfrigérées.» etc.
Dans la même façon on sait que, parfois les seules manières d’identifier les corps dans le cas de crimes, notamment de grands génocides sont l’empreinte dentaire, les documents personnels médicaux, et similaires. Autre mot dire, les spécifications corporelles des êtres humaines.
On doit souligner que les données personnelles de notre spécifications corporelle peuvent servir comme une manière de nous mettre dans le droit où on a jamais été. D’identifier la personne dans un endroit liée avec une activité illégale ou une situation controversée et injuste.
Dans le même temps il faut se demander, même si on peut être identifié par les spécifications corporelles. Qui a le droit de garder les données personnelles de notre corps ? Jusqu’à maintenant ce privilège était sauvegardé pour les institutions d’état. La police, les médecins et autres institutions qui s’occupent de notre bien-être et qui sont les acteurs des services publics, mais si on donne ce pouvoir à des applications mobiles et des logiciels, quelles sont les garanties que ces informations vont pas être utilisées contre l’individu ?
La protection de données personnelles en ligne
Dans la monde de Block Chain, système de stockage les informations dans le nuage, est-ce qu’il y a une manière de protéger les utilisateurs contre les possibilités d’obtenir les données personnelles sans leur permission?
Les usagers de Facebook peuvent aujourd’hui utiliser TOR ou plus précisément torproject.org. Le système de protection connu par les geeks. Plus simplement, le système utilise trois ordinateurs diffèrents pour créer la lien d’accès au compte Facebook. Ça veut dire, que la page Facebook et les éventuels intrus, ne peuvent pas savoir d’où on crée le lien vers ce réseau sociaux. Malgré cela, on utilise les vraies informations d’identification pour l’accès, et c’est pourquoi seulement le lieu d’accès reste anonyme.
De l’autre côté, le pionnier de sécurité de ses utilisateurs est le système de messagerie instantanée via Internet et via les réseaux mobiles, WhatsApp. Ce « master » de sécurité utilise un protocole de sécurité dénommé «Zero knowledge proof». Ce système aide l’utilisateur pour prouver la véracité de l’information qu’il donne sans s’identifier. Une manière plus simple d’expliquer le système est l’hypothèse qu’il s’agit de deux personnes. Une personne aveugle et l’autre qui voit, avec le critère que la personne qui peut voir n’est pas daltonienne. La personne aveugle a deux ballons derrière son dos. Un ballon rouge et l’autre vert. La personne en question peut changer les ballons dans ses mains et quand elle les montre à la personne qui voit, cette personne peut dire si l’aveugle a changé les ballons derrière son dos ou pas sans divulguer les autres informations sur elle.
Dans le cas de WhatsApp, les utilisateurs, par la première conversation qu’ils commencent entre eux, se sont donnés une clé (entendue comme un mot de passe) désignée d’identifier seulement la conversation entre ces deux utilisateurs. La clé n’est pas connue par les ingénieurs de WhatsApp. Même s’ils sont approchés par le gouvernement pour cause de sécurité nationale, ils ne peuvent pas connaitre le cryptage de la clé. Ce système s’appelle aussi OTR (Off the record ou «Hors de Dossier») et TOFU (Trust On First Use ou «confiance à la première utilisation»).
Les moyennes gouvernementales
En général, c’est difficile d’entrer un système numérique d’un autre utilisateur inconnu (« from remote »). Si on veut entrer dans un serveur de stockage d’informations dont on a pas l’accès et de plus, qui est protégé et sécurisé comme les données personnelles, on doit gagner l’accès physique.
En Amérique du Nord la Gouvernement a le droit d’envoyer des soi-disant «subpoena hybrid» et gagner l’accès physique à l’ordinateur. L’accès indispensable pour accéder aux données personnelles stockées dans serveur.
Ce droit intrusif a été confirmé par un arrêt de Cour d’Appel « Microsoft vs US ». Cette affaire célèbre du « search warrant » américain, concerne l’accès au courriel d’un compte client stocké dans un serveur situé à Dublin, en Ireland. L’ordre du Gouvernement a été signifié par application du Titre II de la loi ECPA (« Electronic Communications Privacy Act » de 1986) qui traite des conditions de divulgation des communications électroniques hébergées par les fournisseurs de service américains sur Internet.
La Cour a tranché dans le sens qu’un « search warrant » donne le droit aux policiers d’entrer dans un lieu pour rechercher les preuves tandis qu’un « subpoena hybrid » exige que la personne ciblée produise des informations en sa possession ou contrôle, indépendamment de la localisation de ces informations. Mais à la fin ce droit existe seulement pour les serveurs et données personnelles stockés en Amérique.
En Europe ça n’existe pas. Les gouvernements ne peuvent pas utiliser leurs pouvoirs pour accéder à des serveurs stockés avec les informations personnelles d’utilisateurs. En plus, dans le cas de WhatsApp, même les opérateurs de cette entreprise n’ont pas la connaissance des datas protégées.
L’état de sécurité aujourd’hui
Quand on parle de données personnelles en ligne et la sécurité de mot de passe sur les réseaux sociaux, courrier électronique et applications qu’on utilise quotidiennement. Les pirates qui veulent gagner l’accès réservé aux utilisateurs utilisent des techniques d’ hameçonnage ou de filoutage. C’est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. Le facteur humain reste toujours crucial pour accéder aux comptes sécurisés de consommateurs. On doit faire attention à notre affinité vers certains thèmes et produits qui nous intéressent. On doit aussi prend garde aux sites internet qui sont réalisés dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter.
En Conclusion, il faut dire qu’on a toujours le temps pour penser à protéger nos données personnelles en ligne. La connaissance est, comme toujours, le pouvoir. C’est pourquoi chaque utilisateur, lui-même doit vérifier quelles sont les informations qu’il va télécharger en ligne et partager avec les autres internautes. En plus, il faut savoir quel est le niveau de protection de notre mot de passe et des innovations numériques même si on n’a pas la possibilité de déverrouiller le portable avec les battements du cœur.
Sources:
www.nouvellestechnologies.net, «Les battements du cœur remplaceront les mots de passe», 24. Novembre 2017., accédé 15. Decembre 2017.
Mayhew, (S.), «Neurotechnology launches SentiMask SDK», BiometricUpdate.com, 5. Décembre 2017, accédé 15 Decembre 2017.
Orsini, (A.), «Microsoft vs US devant la Cour d’Appel : l’affaire Tech de la décennie franchit un nouveau pas!», www.duquesnegroup.com, 15. Décembre 2015., accédé 15. Decembre 2017.