Les mots de passe ne garantissent plus notre sécurité et voilà ce qui devrait les remplacer

La vulnérabilité de la sécurité des données personnelles sur internet a souvent touché les mots de passe avec des cas d’usurpation d’identité et des failles sur le stockage des données. Les mots de passe sont-ils voués à disparaître ? Quelles outils pourraient les remplacer ?

Atlantico.fr : Les multiples cas d’usurpation d’identité et de failles de sécurité dans le stockage des mots de passe ont montré la vulnérabilité de cette protection, pourtant la plus utilisée dans le monde.
La sécurité sur internet tend-elle à se renforcer ou au contraire sommes-nous plus menacés qu’auparavant ?

Gilles Dounès : Il est difficile de répondre autrement que « les deux », et ce d’autant plus que les deux volets de la question ne font pas référence à la même échelle de la réalité. D’un point de vue global, les protocoles utilisés sur Internet n’ont jamais été aussi sûrs, ni aussi avancés. Les méthodes de chiffrement sont de plus en plus complexes, et les méthodes d’authentification–du côté de l’utilisateur–sont de plus en plus rigoureuses avec la généralisation de l’identification en deux étapes.

Mais, dans le même temps, la « surface d’utilisation » d’Internet a considérablement augmenté par rapport aux seuls usages du courrier électronique, de connexion à quelques sites Web et, éventuellement, de logiciels de messagerie des débuts de la toile : le smartphone est en effet devenu, à travers les applications, un formidable levier d’utilisation d’Internet qui ne dit pas son nom. Et chaque nouvel usage, chaque nouvelle application, parce qu’ils nécessitent une identification et le plus souvent un nouveau mot de passe, ouvre une vulnérabilité potentielle supplémentaire dans l’environnement numérique de l’utilisateur.

D’une part parce que la multiplication des mots de passe demandés est telle que l’utilisateur lambda va avoir tendance à utiliser toujours les mêmes, peu ou prou. Et d’autre part, parce que la multiplication des points de recueil que sont les sites et les applications que nous utilisons quotidiennement en nombre sans cesse croissant multiplie également le risque statistique de voir fuiter potentiellement non seulement le mot de passe proprement dit, mais également les informations personnelles d’identification qui lui sont associées. Un autre grand classique repose sur l’hameçonnage, avec l’envoi de mail contre faisant l’identité de tel ou tel organisme, bancaire notamment, qui re-dirige l’internaute vers un site factice destiné à lui faire livrer son identifiant et son mot de passe de son plein gré.

Une vieille blague court les salles informatiques de support-utilisateur, selon laquelle 80 à 90 % des problèmes trouvaient leur origine entre le clavier et le dossier de la chaise… mais c’est également vrai en ce qui concerne les développeurs ou les administrateurs systèmes : il n’est pas rare que des géants du secteur comme Facebook ou Yahoo ! ne soient obligés de manger leur chapeau, et d’avouer que les données personnelles (adresse mail, mot de passe, question confidentielle) de millions d’utilisateurs dans le cas d’Instagram, et même de milliards pour Yahoo, avaient été stockées en clair sur des serveurs ouverts aux quatre vents. Et donc potentiellement vendus à l’encan sur le Dark Web.

Pour parer à la cybercriminalité, les banques et autres entreprises remplacent de plus en plus le système classique de mots de passe utilisés pour identifier les utilisateurs de leurs services. ¨Pourquoi les mots de passe classiques sont-ils considérés par autant d’acteurs comme des vulnérabilités numériques?

Jean-Paul Pinte : On parle de plus en plus souvent ces dernières années d’avoir une bonne gestion de ses mots de passe, de gestionnaire de mots de passe, voire d’une disparition totale de leur emploi pour s’identifier sur les services du Net et pourtant ils sont encore là dans la plupart des identifications.

Il y a même deux ou trois ans on évoquait en ironisant que les internautes avaient évolué dans la créativité de leurs mots de passe en passant de 12345 à 123456 (quand il ne s’agissait pas de 000000…).

Les mots de passe sont pénibles nous diront certains mais on n’a pas trouvé mieux et les autres méthodes d’identification comme la reconnaissance faciale ou encore la biométrie ont leurs propres problèmes qui sont dans certains cas pires que les mots de passe traditionnels.

On constate cependant que l’usage de malwares conçus pour voler les mots de passe a connu une augmentation significative en 2019. Selon les données de Kaspersky, le nombre d’utilisateurs ciblés par ces programmes malveillants a connu un bond entre les 1ers semestres 2018 et 2019, passant de 600 000 à 940 000.

La société allemande de sécurité informatique Avira a publié un communiqué de presse sur les mots de passe les moins sécurisés. Selon elle, les problèmes de sécurité des mots de passe sont principalement liés aux fabricants des appareils et non aux utilisateurs qui habituellement ne pensent pas à la menace d’attaques de pirates informatiques.

Selon les experts d’Avira, les problèmes de mots de passe non sécurisés sont principalement liés aux fabricants des appareils et non aux utilisateurs trop paresseux pour modifier les combinaisons standards. Ainsi, les gens ordinaires ne pensent habituellement pas à la menace d’attaques de pirates informatiques.

Les banques et les entreprises ont pris conscience cependant de la fébrilité des systèmes actuels de traitement des mots de passe car les modes opératoires pour hacker les mots de passe ne manquent pas aujourd’hui !

Ainsi, pas plus tard qu’en janvier 2019, le gestionnaire du site Have I Been Pwned découvrait l’existence de Collection #1, un fichier agglomérant pas moins de 700 millions d’adresses email compromises dans des fuites précédentes. Comment des mots de passe se retrouvent-ils ainsi dans la nature ?

L’ hameçonnage (ou phishing) reste encore le moyen le plus utilisé pour obtenir les mots de passe des utilisateurs. Il consiste à créer un faux site Internet prenant l’apparence d’un service légitime, et à inciter l’utilisateur à s’y connecter. Son mot de passe en clair peut alors être volé en toute tranquillité.

D’autres procédés touchant à l’ingénierie sociale permettent, dans le cas de services peu regardants sur leur sécurité, de parvenir au mot de passe de manière encore plus simple. Certaines plateformes posent des questions de sécurité à l’utilisateur comme « Quel était le nom de votre premier animal de compagnie ? » ou « Dans quelle ville avez-vous décroché votre premier emploi ? » lors de la procédure de recouvrement de compte (account recovery). Les réponses à ces questions peuvent souvent être dénichées sur les comptes Facebook ou Twitter, et les utilisateurs y ayant répondu sincèrement peuvent se trouver exposés.

L’attaque par force brute ou bruteforce consiste pour un hackeur à demander à un ordinateur de prendre un compte et potentiellement tester des milliers de mots de passe par seconde. Les mots de passe courts et dépourvus de caractères spéciaux sont ainsi particulièrement vulnérables.

La technique de la force brute inversée consiste aussi à prendre un mot de passe répandu et à l’essayer au hasard jusqu’à ce que cela marche.

L’attaque par « l’homme du milieu » est une famille d’attaques très utilisée pour espionner les communications d’un utilisateur à son insu. Le hackeur peut par exemple compromettre un point Wifi public (qui n’est pas protégé par un mot de passe ou qui ne chiffre pas ses communications) de façon à observer tout le trafic Internet qui passe par celui-ci, y compris les mots de passe saisis sur des sites Web.

Des logiciels de frappologie qui enregistrent tout ce que vous frappez sur le clavier ou encore appelés keyloggers constituent aussi de véritables chevaux de Troie pour s’emparer de vos mots de passe !

Le logiciel libre Hashcat dédié au cassage de mots de passe est un véritable « serrurier numérique », en quelque sorte. Les procédés employés par le logiciel incluent des variantes plus sophistiquées de la méthode de force brute expliquée plus haut. Vaincre un hachage moderne nécessite cependant d’immenses capacités de calcul et des ordinateurs conçus spécifiquement à cette fin.

30 000 MOTS DE PASSE CRACKÉS EN 5 MINUTES !

La variante de l’attaque par dictionnaire, l’ordinateur essaye en premier une série de mots courants, par exemple des mots du dictionnaire, ainsi que certains des mots de passe les plus fréquemment usités. D’autres procédés, comme la table arc-en-ciel, reposent sur des raisonnements mathématiques plus complexes.

Rappelons-nous aussi en août 2013 les 3 milliards de comptes touchés sur Yahoo !

C’est pourquoi l’on s’oriente, pour les banques et les entreprises vers des systèmes où, sur les smartphones Android, vous pourrez vous connecter à certains sites de Google, sans saisir de mots de passe, grâce à vos empreintes digitales. Pour rappel, Android supporte déjà les capteurs biométriques depuis des années et il est possible de se connecter aux applications de Google en utilisant ces capteurs.

Firefox 70 vous avertit aussi désormais quand vos identifiants et mots de passe enregistrés sont compromis. Mozilla intègre peu à peu son service indépendant Firefox Monitor et le nouveau gestionnaire de mots de passe Firefox Lockwise directement dans Firefox. La fondation envisage également l’ajout de services premium basés sur ces fonctionnalités dans le futur.

La directive Européenne PSD2, datant de 2018, a cherché à imposer des nouveaux minima de sécurité aux entreprises proposant des services de paiement. Elles doivent demander aux utilisateurs de ses services de fournir au moins deux moyen d’identification de type différent. Cette démarche de sécurisation entamée par l’UE est-elle suffisante?

Jean-Paul Pinte : L’authentification forte du payeur consiste selon le Cabinet Mathias Avocats à instituer deux niveaux d’identification du payeur lors d’une transaction en ligne. En effet, il convient de s’assurer que la personne utilisant le moyen de paiement est son titulaire effectif. L’authentification forte apporte un niveau de garantie élevé quant à la personne du payeur. Il s’agit notamment de réduire les risques d’usurpation d’identité ou de fraude.

Cette notion pose le principe selon lequel l’identité d’un internaute effectuant une transaction est vérifiée par l’utilisation de deux éléments ou plus appartenant aux catégories suivantes :

La catégorie « connaissance » : il est fait recours à un élément que seul l’utilisateur connaît, comme un mot de passe, un code PIN ou la réponse à une question secrète ;
La catégorie « possession » : il est fait recours à un élément que seul l’utilisateur possède, comme un téléphone mobile, une carte bleue ou un jeton d’authentification aussi appelé token ;
La catégorie « inhérence » : il est fait recours à quelque chose que l’utilisateur « est », comme une empreinte digitale ou rétinienne ou tout autre élément biométrique.

En pratique, à titre d’exemple, un achat en ligne peut être réalisé au moyen d’un numéro de carte bancaire et de sa confirmation par un code reçu par sms via le dispositif 3D Secure. Ce système constitue un moyen de sécurisation courant utilisé dans le e-commerce. Selon le rapport annuel de l’Observatoire de la sécurité des moyens de paiement pour l’année 2017, 73% des commerçants en avril 2018 en étaient équipés.

Par ailleurs, la norme technique de réglementation relative à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication adoptée le 27 novembre 2017 précise que les prestataires de services de paiement doivent s’assurer de l’indépendance de ces éléments « afin que la compromission de l’un ne remette pas en question la fiabilité des autres ». En effet, cette disposition vise le cas où le payeur se servirait d’un même appareil électronique pour effectuer la transaction et authentifier le paiement, comme un téléphone mobile ou une tablette.

Les apports de la directive DSP2 sont également bien détaillés dans ce site de Wavestone.

Bertrand Carlier dans cet article nous met cependant en avant les limitations de la directive DSP2.

Dans les faits, les acteurs, et en particulier les agrégateurs, réalisent aujourd’hui des opérations sur l’ensemble des comptes des utilisateurs, notamment leurs comptes d’épargne. Un des enjeux de ces agrégateurs étant de fournir des services à valeur ajoutée touchant à l’ensemble de l’activité de l’utilisateur sur ses comptes : comptes courants, comptes d’épargnes, chèque, cartes, crédits, plan en actions, …

En réglementant uniquement sur l’accès aux comptes de paiement, nous dit-il, la commission européenne et l’ABE mettent en lumière le fonctionnement des agrégateurs (rejeu des secrets de connexion utilisateurs) sans fournir une solution à l’ensemble des problématiques des échanges entre ces acteurs non bancaires (agrégateurs) et les banques.

Dans l’intérêt du développement des agrégateurs, des solutions devront donc être actées pour élargir cette législation. Par ailleurs, les travaux engagés par les banques dans le cadre de la DSP2 les ayant amenées à construire l’architecture nécessaire à l’exposition de services sur internet, une évolution de ces services à plus des comptes et à plus de services utilisateurs est probablement à venir.

Contrairement à l’initiative OpenBanking UK, basé sur le standard reconnu du groupe de travail Financial API, au sein de la fondation OpenID, les nouveaux services offerts par les banques dans le cadre de la DSP2 se fondent sur des exigences réglementaires plutôt que sur des standards de sécurité établis. Il y a donc selon Bertrand Carlier une incompatibilité avec les standards existants.

La DSP2 va enfin obliger les banques à partager ces informations via des interfaces de programmation applicative (API) qui devront être sécurisées, ce qui n’est pas toujours une évidence, permettant à ces entreprises tierces d’accéder aux données bancaires, et ce de manière sécurisée.

Dans un article des ECHOS on nous rappelle également que, plus les API sont nombreuses, plus les initiateurs et agrégateurs ont accès à des informations riches, mieux ils seront à même de développer des services à forte valeur ajoutée pour les utilisateurs. Cependant, les textes qui encadrent les nouvelles obligations des établissements bancaires ne stipulent pas toujours avec précision quels jeux de données doivent être partagés, laissant place à une certaine marge d’interprétation. Évidemment, les banques, qui développent également de nouveaux services pour faire face à la concurrence, ne sont pas encore tout à fait prêtes à ouvrir grand les portes de leurs immenses bases de données.

Alors que le tout-numérique tend à se généraliser, que faire pour se protéger plus efficacement ?

Gilles Dounès : Les utilisateurs dits « sensibles », dans des entreprises ou des administrations susceptibles de faire l’objet de curiosité malsaine ont des procédures de sécurité qui leur sont propres mais, pour l’ensemble de la population, il est très important de ne pas faire confiance aveuglément aux acteurs du secteur, aussi puissants soient-ils. Cela vaut particulièrement pour les réseaux sociaux. Au niveau des mots de passe, en utilisant des mots de passe « forts » suggérés par les navigateurs, et accessibles grâce à un unique mot de places de « trousseau ». Encore faut-il que le système d’exploitation soit lui-même suffisamment sécurisé, mais des solutions de développeur tiers existent également comme Dashlane ou Keepass pour Windows, mais les utilisateurs d’Apple ont tout avantage à utiliser le gestionnaire iCloud sur l’ensemble de leurs appareils.

Mais c’est surtout au niveau de l’utilisation-même qui est faite des réseaux sociaux que se situe le plus souvent la faille, dite « d’ingénierie sociale » : le ou les petits malins collectent patiemment les indices personnels semés sur la toile par sa « cible », qu’il s’agisse d’une célébrité, d’un membre du personnel d’une société dont on cherche à infiltrer le système ou d’une personne de l’entourage. Le point névralgique est bien souvent la prise de contrôle de l’adresse mail, grâce aux « questions personnelles » dont les réponses ont été naïvement répandues ici et là par l’utilisateur lui-même.

Il faut donc non seulement éviter de se répandre sur les réseaux sociaux, Facebook, Instagram, Twitter, etc. mais également clairement différencier compte personnel et professionnel si l’on en a absolument besoin, et même limiter au maximum leur utilisation. Ceci est bien entendu également valable pour les plates-formes mobiles, les applications gratuites notamment.

Autre précaution, la souplesse dans l’utilisation de ces fameuses « questions de sécurité », en évitant d’utiliser toujours les mêmes et leurs réponses trop évidentes, quitte à mentir un peu lorsqu’il s’agit seulement de vérifier que l’on a atteint l’âge légal pour consommer de l’alcool : quelle différence cela fait-il que l’on soit né le 14 juillet 1968 ou le 8 mai 1971 pour s’offrir une caisse de Jurançon AOC ? Au vu de tout ce qui précède, est-il nécessaire de préciser qu’il ne faut jamais utiliser son mot de passe de messagerie électronique pour un site Web ou une application ?

Les mots de passe sont-ils voués à disparaître ? Quelles techniques de protection pourraient les remplacer ?
Gilles Dounès : L’initiative Alicem que préparerait le gouvernement français pour l’authentification sur les sites officiels a porté tout récemment l’attention sur l’utilisation de la biométrie, mais celle-ci a fait son chemin plus ou moins discrètement depuis des années puisque le fabricant français de disques durs LaCie a proposé des disques sécurisés déverrouillés par empreintes digitales dès le milieu des années 2000. Apple a proposé sa propre solution baptisée Touch ID, d’abord sur l’iPhone 5S puis sur l’ensemble de sa gamme, à partir de l’automne 2013, avant d’être suivi par l’ensemble de ses concurrents avec il faut bien le dire des bonheurs divers et variés, comme encore tout récemment.

À présent, on semble vouloir s’orienter vers la reconnaissance faciale : Apple embarque depuis deux ans sur sa nouvelle génération de smartphone (iPhone X et suivants) une solution de reconnaissance faciale baptisée Face ID, développée « à la demande » pour la marque par une start-up normande, il faut le souligner. La tendance semble d’ailleurs vouloir aller encore plus loin avec une double identification, à la fois biométrique (ce que vous êtes) empreintes digitales, reconnaissance faciale, demain lecture de l’iris, et cryptogrammique (ce que vous savez ou que vous avez en votre possession) mot de passe, cryptogramme éventuellement aléatoire sur une carte bancaire, suite de chiffres éphémères envoyés par SMS, etc., un peu à la manière du dédoublement de l’identification en ligne réclamée à présent par la plupart des grands acteurs du secteur.

Beaucoup d’organisations se tournent désormais vers les données biométriques comme nouvelles clés numériques d’identification. On imagine souvent que la prise d’empreinte digitale, par exemple, est un processus très sécurisé. Mais ces solutions sont-elles entièrement efficaces pour parer à l’usurpation d’identité en ligne?

Jean-Paul Pinte : La biométrie simplifie toutes ces procédures en ne réclamant qu’un seul identifiant : votre corps… aime à nous rappeler le site Futura Sciences. Sa généralisation est lente mais touche peu à peu tous les domaines de la société et concerne chaque jour notre société de conso-divertissement à l’heure d’une hyper-connexion.

La biométrie est « l’analyse des caractéristiques physiques strictement propres à une personne » . Ces caractéristiques sont les données biométriques. Il peut s’agir par exemple des empreintes digitales, de l’iris, du visage, de la voix ou même de l’ADN d’une personne.

La biométrie digitale a été la première à se développer et depuis 2009 nos passeports sont biométriques. Elle touche maintenant les codes de la carte de crédit, les accès aux portes d’entrée d’immeuble, les mots de passe de messagerie, l’identifiant d’un réseau informatique, les mots de passe réclamés par certains sites Web, …

Sa généralisation grâce à la recherche passent maintenant par l’iris, la reconnaissance faciale, la reconnaissance vocale, les systèmes de reconnaissance de veines, …

La biométrie a pourtant de beaux jours devant elle dans le secteur des paiements. Les solutions d’identification des consommateurs basées sur leur empreinte digitale, leur voix, ou leur image, ont de fortes chances de se répandre à l’heure où l’Union européenne a décidé de renforcer ses exigences en matière de sécurité des paiements en ligne.

Pourtant rien ne peut entièrement être sécurisé dans ce monde digital et les modes opératoires ne manquent plus pour usurper l’identité d’une personne. Selon une étude menée par Spiceworks, 48% des entreprises considèrent que le vol ou la fuite de données biométriques est le plus grand risque de sécurité lié à cette technologie.

On se rappelle la possibilité de copier l’empreinte de quelqu’un pour usurper l’accès à un Iphone par un simple moule d’empreintes qu’il suffira d’apposer sur la partie dédiée au positionnement du doigt. Il en ira de même pour la reconnaissance faciale qui ne manquera pas d’être usurpée sur ces mêmes matériels.

Un autre problème des données biométriques est justement que certaines d’entre elles peuvent être facilement dupliquées.

De plus, une fuite de données biométriques est bien plus compromettante qu’une fuite de données » classiques « . En effet, s’il est possible de changer un mot de passe après s’être fait pirater, il est impossible de modifier ses empreintes digitales ou son iris. Une fois ces données dérobées, votre sécurité est mise en péril pour toujours comme l’indique le site Lebigdata.fr.

"L’utilisation de sécurité biométrique comme les empreintes digitales est récente. Ainsi, la véritable portée du risque de vol d’empreintes digitales est encore inconnue.

Toutefois, il est important de se rappeler qu’une fois volées, vos empreintes digitales ne peuvent pas être changées, contrairement aux mots de passe.

Cela rend le vol des données d’empreintes digitales encore plus préoccupant. Elles ont remplacé les mots de passe alphanumériques dans de nombreux objets de consommation, tels que les téléphones. La plupart de leurs lecteurs d’empreintes digitales ne sont pas chiffrés, ainsi lorsqu’un hacker développera une technologie pour reproduire vos empreintes, il obtiendra l’accès à toutes vos informations personnelles telles que les messages, photos et moyens de paiement stockés sur votre appareil".

On peut enfin citer ici quelques exemples parmi tant d’autres : les iPhones, Facebook, Yves Rocher, Option Way, la Gendarmerie…

Quelles sont les questions pertinentes que devraient se poser les utilisateurs dont les données biométriques sont utilisées pour les identifier en terme de droit à la vie privée, en ce qui concerne les acteurs qui ont accès à ces données, et en terme de sécurité de ces données collectées ?
Jean-Paul Pinte : La biométrie est un sujet “sensible” et encore peu débattu que nous devons pourtant regarder en face. Il concerne la nature sensible des données et plus particulièrement de nos données biométriques.

Entré en vigueur le 25 mai 2018 dans toute l’Union européenne, le Règlement général sur la protection des données (RGPD) a instauré un nouveau cadre juridique pour la protection des données personnelles.

Dans ce cadre les acteurs de l’économie se doivent de se préoccuper des questions suivantes afin d’être en phase avec leur mise en place de collecte et de traitement de données personnelles.

Quels sont vos droits sur vos données personnelles ?
Vous avez le droit :

de demander des informations sur le traitement de vos données à caractère personnel ;
d’obtenir l’accès aux données à caractère personnel détenues à votre sujet ;
de demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées ;
de demander que les données à caractère personnel soient effacées lorsqu’elles ne sont plus nécessaires ou si leur traitement est illicite ;
de vous opposer au traitement de vos données à caractère personnel à des fins de prospection ou pour des raisons liées à votre situation particulière ;
de demander la limitation du traitement de vos données à caractère personnel dans des cas précis ;
de récupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme ;
de demander que les décisions fondées sur un traitement automatisé qui vous concernent ou vous affectent de manière significative et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs. Dans ce cas, vous avez également le droit d’exprimer votre avis et de contester lesdites décisions ;
en cas de dommage matériel ou moral lié à la violation du RGPD, vous disposez d’un droit de recours. Vous pouvez déposer une réclamation auprès de la Commission nationale Informatique et libertés (CNIL) ou introduire une action collective en faisant notamment appel aux associations nationales agréées de défense des consommateurs.

Quelles sont les obligations des entreprises ?
Les entreprises ont l’obligation :

de respecter le principe de protection des données personnelles et de la vie privée imposées par le règlement, dès la conception de tout projet ;
de recenser les traitements qu’elles mettent en œuvre dans un registre des traitements ;
d’être en capacité de prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l’adhésion à des codes de conduite et l’obtention d’une certification ;
de notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées ;
de réaliser une étude d’impact sur la vie privée pour les traitements à risque ;
de désigner un délégué à la protection des données pour les organismes publics et les entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou encore des organismes qui traitent des données dites « sensibles » ou relatives à des condamnations pénales et infractions ;
de s’assurer que les personnes sont informées, de manière claire et concise, de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles ;
de permettre aux personnes dont les données sont traitées d’exercer leurs droits (à l’oubli, à la portabilité des données, de limitation… etc.).

En ce qui touche au monde de la biométrie, le rapport de l’Assemblée Nationale d’avril 2019 « Sortir des atermoiements actuels : la nécessité de définir rapidement un cadre juridique adapté » est utile et nous invite à comprendre que si actuellement les règles juridiques qui encadrent l’utilisation des techniques biométriques apportent de nombreuses garanties, de multiples incertitudes, plus d’ailleurs que les garanties offertes par le cadre juridique en vigueur, constituent un obstacle à leur déploiement.

Ainsi, pour aborder correctement la question des conditions juridiques d’une utilisation des systèmes biométriques : protection des données personnelles et de la vie privée, il convient de distinguer trois domaines, même s’ils entretiennent entre eux, sur le plan juridique mais aussi pratique, des rapports plus ou moins étroits. Le premier recoupe peu ou prou celui de l’identification judiciaire : il s’agit du domaine touchant à la sécurité publique, la défense et la sûreté de l’Etat, selon les termes habituellement employés par les lois régissant la protection des données personnelles qui comportent des dispositions spécifiques applicables à ce domaine particulier. Le second se définit naturellement par rapport au premier et porte sur les traitements qui ne sont pas mis en œuvre à des fins de sécurité publique, de défense ou de sûreté de l’Etat et le troisième se rapporte aux échanges transfrontières de données.