PRIVABIO : Vers des systèmes de reconnaissance biométrique respectueux de la vie privée

La biométrie désigne la reconnaissance automatisée des personnes sur la base de leurs caractéristiques physiques, biologiques ou comportementales. Les caractéristiques biométriques ne pouvant être perdues ou oubliées, les solutions d'authentification biométrique sont généralement préférées à leurs homologues à base de mots de passe ou de jetons physiques. Bien que les solutions biométriques soient plus pratiques et plus rapides à utiliser, elles ne sont pas exemptes de vulnérabilités. Si elles ne sont pas bien protégées, elles sont vulnérables aux attaques par usurpation d'identité et aux fuites de données personnelles. Les données biométriques servent d'identifiant personnel unique et à long terme, et sont donc classées comme des données personnelles hautement sensibles, relevant du règlement général sur la protection des données (RGPD).

Avec le déploiement à grande échelle des technologies basées sur la biométrie, les bases de données et les dispositifs biométriques deviennent des cibles naturelles pour les cyber-attaques. Ces cyber-attaques peuvent être nuisibles à long terme si elles conduisent au vol de données biométriques. En outre, les identifiants biométriques des personnes devraient être transmis aux fournisseurs de services sous une forme qui empêche leurs recoupements entre les bases de données. Le respect de la vie privée est un droit fondamental qui est maintenant mis en œuvre par le biais du RGPD. Le projet de recherche PRIVABIO contribuera à la fois à la sécurité des solutions biométriques et à l'application technique de ce droit fondamental.

Face aux vulnérabilités et aux exigences mentionnées, la communauté a proposé des primitives dédiées à la biométrie, appelées schémas de protection des gabarits biométriques (BTP), ainsi que des protocoles de reconnaissance biométrique. Avec la popularité des appareils mobiles intelligents, certains standards tels que FIDO et BOPS ont également vu le jour. La grande majorité de ces mécanismes et protocoles, y compris les standards, ne sont pas systématiquement accompagnés d'analyses de sécurité formelles. Dans le cadre de ce projet, nous procéderons à une analyse approfondie des solutions existantes. En développant une meilleure compréhension de leur sécurité, nous définirons des modèles de sécurité appropriés et proposerons des primitives et des protocoles plus sûrs.

Le but du projet PRIVABIO est d'atténuer les problèmes de sécurité et de respect de la vie privée dans l'utilisation de la biométrie, en proposant des protocoles peu coûteux avec des garanties de sécurité proportionnelles à la haute sensibilité de ces données personnelles. PRIVABIO est divisé en 4 axes :

1. Evaluer la sécurité des schémas de protection des modèles biométriques (BTP) et des protocoles biométriques.
2. Fournir des schémas BTP plus sûrs sans dégrader la précision de la reconnaissance et sans compromettre leur utilisation sur des dispositifs aux ressources limitées.
3. Identifier les mécanismes cryptographiques présentant un intérêt pour les aspects liés à la protection de la vie privée.
4. Intégrer les mécanismes biométriques et cryptographiques dans des protocoles d'authentification multi-facteurs ainsi que dans des protocoles d'identification, en fournissant des garanties formlles de sécurité.