La biométrie faciale 3D défie la piraterie informatique
De nos jours, il est plus fréquent d’être victime d’une fraude informatique que d’un cambriolage ou d’un vol en pleine rue. Pour garantir une meilleure protection des données, l’entreprise vaudoise OneVisage a développé un système de reconnaissance faciale en trois dimensions qui fonctionne avec un simple Smartphone.
«Les chiffres parlent d’eux-mêmes: en 2018, la fraude informatique a causé des pertes pour plus de huit cents milliards de francs au niveau mondial. Dans huit cas sur dix, elle résulte d’une usurpation d’identité à travers l’identification du mot de passe de l’utilisateur», explique Christophe Remillet, CEO et fondateur de OneVisage Lien externeà Lausanne.
«Malheureusement, les solutions en matière de sécurité informatique, en particulier les solutions d’authentification d’identité, n’ont pas progressé au rythme de l’évolution du monde numérique, ajoute le spécialiste. La criminalité s’est donc déplacée vers la cybercriminalité, où fraudeurs et organisations criminelles courent moins de risques d’aboutir dans les mailles de la justice.»
Une tendance confirmée par la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), créée en 2004 par le gouvernement suisse pour lutter contre la cybercriminalité. Ses rapports semestriels gagnent en importance à chaque parution, tout comme la liste des attaques et des outils développés par les pirates informatiques. Parmi eux, le simple hacker, qui agit pour le «sport», comme la personne malveillante, qui veut nuire et s’en prend par exemple aux services publiques, en passant par les organisations criminelles structurées comme de véritables entreprises.
Une première mondiale
Après des études d’ingénieur à Paris, Christophe Remillet a entamé sa carrière professionnelle en Suisse en 1990. Ses employeurs: diverses entreprises actives sur les marchés internationaux. En 2002, il se lance dans le monde de la start-up, un écosystème particulièrement fertile dans la région de Lausanne. Le secteur de la sécurité informatique, il l’aborde un peu par hasard.
«En 2013, alors que je me trouvais aux Etats-Unis pour raisons professionnelles, ma carte de crédit et mon e-mail ont été piratés en l’espace de quelques jours. Avec mon passé d’ingénieur, j’ai décidé de chercher des solutions pour mieux protéger mon identité numérique. Plus je creusais, plus j’étais frustré. J’ai tout vérifié: mot de passe, code PIN, solutions de reconnaissance biométrique, alors basées sur les empreintes digitales, celles de la mains ou de l’iris, etc. Je suis arrivé à la conclusion que l’avenir passait par la reconnaissance faciale en trois dimensions», explique Christophe Remillet.
Mais à ce moment-là, aucun système de ce type n’existait sur le marché. Avec l’aide d’amis Christophe Remillet fait donc enregistrer la société OneVisage et, en 2014, il démarre le développement d’une technologie de reconnaissance faciale 3D en collaboration avec l’Ecole polytechnique fédérale de Zurich et l’Université de Bâle – les deux écoles suisses les plus avancées dans le domaine.
Pari gagné, étant donné qu’en février 2015, lors du Mobile World Congress de Barcelone, la start-up vaudoise est la première à présenter un système de reconnaissance faciale 3D, fonctionnant avec une simple application et une caméra RGB normale sur Smartphone Android. Une technologie affranchie de tout hardware spécifique et utilisable sur les plateformes Windows et Linux.
Une authentification renforcée
La reconnaissance faciale présente indéniablement l’avantage d’être accessible à tous, puisqu’elle ne nécessite ni capteurs ni équipements particuliers, au contraire des technologies axées sur les empreintes digitales ou de l’iris. Elle est également considérée comme beaucoup plus sûre que les systèmes en usage jusqu’ici, à commencer par le mot de passe et le code PIN.
«Plus qu’un problème technique, nous sommes confrontés à un problème humain», estime Christophe Remillet. «Actuellement, nous utilisons des dizaines de mot de passe pour accéder aux différents services auxquels nous sommes abonnés. Vu la difficulté de stocker tous ces mots de passe, nous choisissons la facilité, en utilisant souvent des mots clé faciles à mémoriser, courts et simples. Ce qui facilite le travail des hackers».
Même l’authentification par SMS n’a de loin pas fait ses preuves. Elle devrait disparaître au sein de l’UE avec l’entrée en vigueur de la Directive sur les Services de Paiement (Lien externePSD2), approuvée par la Commission européenne. Cette directive impose aux banques et prestataires de service d’appliquer dès septembre les nouveaux standards de sécurité SCA Lien externe(Strong Customer Authentication).
En pratique, avec cette «authentification forte du client», les transactions en ligne devront être authentifiées par au moins deux des trois moyens suivants: la connaissance (une information que seul l’utilisateur connaît, un mot de passe par exemple), la possession (des données que seul l’utilisateur possède, un Smartphone ou un PC par exemple) et une caractéristique personnelle (un élément qui caractérise cet utilisateur, biométrique essentiellement).
Cette législation devrait ouvrir la voie à l’authentification par les données biométriques. Mais selon Christophe Remillet, les solutions biométriques utilisées jusqu’ici, par exemple dans les aéroports, ont déjà montré leurs limites. La reconnaissance faciale 2D est facilement manipulable à travers la retouche des photos, la vidéo ou les masques en silicone. Les empreintes digitales sont faciles à pêcher sur un Smartphone ou tout autre objet, puis copiées, numérisées et reproduites en un rien de temps.
L’identité digitale en jeu
La reconnaissance faciale 3D par contre résiste à ce type d’usurpation. «Les attaques à l’aide de photos ou de vidéos ne fonctionnent pas car les capteurs identifient une surface plane. Même les masques en silicone, comme ceux utilisés dans un film comme “Mission impossible”, échouent à tromper ce système d’authentification». Ce n’est pas un hasard si Apple a adopté la reconnaissance faciale 3D comme moyen d’accès sur sa dernière génération de téléphones cellulaires.
Selon Christophe Remillet toutefois, il serait extrêmement dangereux – pour les paiements en ligne comme les services bancaires – d’utiliser les systèmes d’authentification de la firme de Cupertino et des autres géants de l’informatique, de la téléphonie ou des médias sociaux. «Aujourd’hui déjà, ils disposent de toutes nos données, ils connaissent nos adresses, nos mouvements, nos habitudes de consommation et les services auxquels nous avons accès. Nous devons être vigilants. Ces grandes sociétés ont habitué les utilisateurs à une logique de facilité, mais facilité ne veut pas dire sécurité».
«L’objectif de OneVisage, souligne Christophe Remillet, c’est de redonner, à travers une solution propre, la maîtrise de leur identité numérique aux utilisateurs et à leur fournisseurs d’accès. Pour une banque, par exemple, il serait suicidaire de recourir à un système de reconnaissance offert par les fabricants de téléphones mobiles. Ce serait pour ces entreprises la possibilité de prendre le contrôle de la base de données de ladite banque et de l’identité numérique de ses clients.»
Plus
Dans quels domaines performent les meilleures start-up de Suisse?
Une question qui concerne chacun
La société vaudoise a lancé plusieurs projets pilote et partenariats avec une certain nombre d’entreprises, dont le fabricant américain de caméra 3D Orbbec, basé en Chine, le fournisseur suisse d’identité numérique Global ID et la banque française Crédit Agricole. «Nous sommes encore une société jeune, en plein développement, qui lance ses produits. Mais je pense que, compte tenu des abus mis en lumière ces derniers temps, nombre d’entreprises se rendent compte des risques énormes existant en matière de protection des données et de cybersécurité», note Christophe Remillet.
«Je suis convaincu que la reconnaissance faciale 3D concernera presque tous les secteurs, des services financiers, gouvernementaux et de santé aux commerces et aux transports, de l’automobile aux aéroports.» OneVisage développe de nouveaux systèmes d’authentification pour divers secteurs mais la route reste ardue pour la firme de Lausanne et ses jeunes collaborateurs face à des géants qui ont des budgets énormes, comme Amazon, Facebook ou Alibaba.
«Je crois que l’on nait ou non créateur d’entreprise. Pour faire ce travail, il faut pouvoir compter sur sa famille et passer quelques nuits blanches. Les difficultés sont nombreuses mais la motivation est grande. Notre motivation est d’apporter une modeste contribution en vue d’apporter un monde numérique plus sûr», souligne Christophe Remillet. «Nous refusons un futur numérique dicté par les modèles Chinois ou Américains, qui monétisent vos données personnelles et les utilisent sans aucun respect de votre vie privée. La sécurité informatique est une question qui regarde tout un chacun et, à notre avis, fait partie des droits humains.»
Traduction de l’italien: Pierre-François Besson
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.