Payer ses courses en scannant simplement la paume de sa main en sortant de chez soi, c’est plutôt pratique, non ? Mais que se passe-t-il si l’empreinte de votre paume est volée ?

Amazon ajoute ses paiements par empreinte palmaire Amazon One dans plus de 65 de ses magasins Whole Foods en Californie. Pour payer, il suffit de passer la paume de sa main sur le lecteur, et le tour est joué. C’est censé être pratique, mais les inconvénients pourraient l’emporter sur les avantages, d’autant plus que ce n’est pas si pratique que ça.

« L’empreinte palmaire rend le paiement plus pratique parce qu’elle est unique, qu’elle a peu de chances d’être perdue ou volée et que vous l’avez toujours sur vous », a déclaré David Shipper, expert et conseiller en technologie financière, par courrier électronique. « Il est donc très pratique. Cependant, il y a toujours un risque à transmettre des informations biométriques personnelles à un tiers. Du point de vue du risque, le stockage de ces informations cryptées sur un appareil personnel est probablement plus sûr. »

Comment voir le premier achat sur Amazon que vous avez effectué

La commodité n’est pas tout

Pour utiliser Amazon One, vous devez d’abord associer votre empreinte palmaire à votre carte de crédit et fournir votre numéro de téléphone. Ensuite, il vous suffit de scanner votre paume au lieu de votre carte de crédit pour payer à la caisse.

Amazon présente ce service comme très pratique, mais ce n’est pas le cas. Pour payer avec une carte de crédit, il suffit de la toucher ou de l’agiter devant un lecteur sans contact, et c’est encore plus facile si vous utilisez Apple Pay et votre Apple Watch. C’est presque la même chose que d’agiter la paume de sa main, avec un double-clic supplémentaire au préalable.

Tout cela n’aurait pas d’importance si l’utilisation de la biométrie pour l’authentification ne posait pas de problèmes. Au début, cela semble bien. Amazon en fait la démonstration sur sa page Amazon One : « Votre paume est une partie unique de vous. Elle ne va nulle part où vous n’allez pas et ne peut être utilisée par personne d’autre que vous. »

Il est possible de faire tout cela sans stocker votre empreinte palmaire. Au lieu de cela, lorsqu’elle est scannée pour la première fois, le système convertit cryptographiquement le scan en un hash ou un code qui ne peut pas être inversé pour recréer votre empreinte palmaire. Lorsque vous payez, la machine à scanner fait à nouveau la même chose. Il scanne, crée un hachage et le compare à celui qu’il a dans ses dossiers. S’ils correspondent, vous pouvez payer.

Les dangers de la biométrie

Mais l’utilisation et le stockage des données biométriques s’accompagnent de multiples problèmes. L’un d’eux est qu’elles peuvent parfois être volées. En 2015, l’Office of Personnel Management des États-Unis a été piraté et les pirates ont volé les données personnelles de 20 millions d’employés du gouvernement américain, y compris les fichiers d’empreintes digitales de 5,6 millions d’entre eux.

Et personne ne peut rien y faire. Si votre carte de crédit est volée, vous pouvez changer le numéro, mais aucune de ces 5,6 millions de personnes ne peut changer ses empreintes digitales.

Et cela fonctionne aussi dans l’autre sens. « Les mots de passe peuvent être sauvegardés, mais si vous modifiez votre empreinte digitale par accident, vous êtes coincé », écrit l’expert en sécurité Bruce Schneier sur son blog.

Cependant, les nouvelles ne sont pas toutes mauvaises pour la biométrie. Les systèmes Face ID et Touch ID d’Apple adoptent une approche différente. Ils stockent les détails du scan de votre visage ou de vos empreintes digitales dans une « Secure Enclave », un coffre-fort matériel séparé qui n’est pas accessible depuis le reste du téléphone. Lorsque le téléphone scanne votre visage, il demande à la Secure Enclave si le scan correspond, et la réponse est soit « Oui » soit « Non ». Même si un attaquant a accès à votre téléphone, il ne peut pas extraire une empreinte digitale ou un scan du visage.

Une fois l’authentification effectuée sur l’appareil, le téléphone effectue un paiement normal par carte de crédit. C’est beaucoup plus sûr et tout aussi pratique.

Et qui sait où aboutiront vos données, même si elles ne sont pas volées ?

« Comme nous l’avons vu avec la publicité comportementale en ligne et les industries de courtage de données, chaque bit de données nous concernant qui est remis aux entreprises de technologie – en ligne ou dans la vie réelle – est magasiné pour la commodité et les profits des entreprises », a déclaré Sharon Polsky, président du Conseil canadien de la protection de la vie privée, par courriel. « Et avec la prolifération des systèmes numériques et de surveillance non réglementés, et l’évolution des politiques publiques visant à collecter des données « pour de bon », il n’est pas improbable que les données biométriques que nous utilisons pour acheter des produits d’épicerie puissent bientôt être utilisées contre nous. »

S’il y a une chose que nous avons apprise d’internet, c’est qu’on ne peut pas faire confiance aux entreprises pour ne pas exploiter ces précieux troquets de données. Réfléchissez donc bien avant de donner vos données biométriques, car vous pourriez ne jamais pouvoir les récupérer.