Lancement d’Amazon One : quels enjeux de cybersécurité dans l’utilisation de données biométriques ?

1
136

Amazon vient d’annoncer le lancement d’Amazon One, une technologie sans contact qui permet aux clients des magasins physiques du géant américain de payer avec la paume de la main. Mais cette technologie reposant sur l’utilisation de données biométriques soulève un certain nombre de questions en matière de cybersécurité.

Terminal Amazon One. © Amazon

David Emm, chercheur en cybersécurité chez Kaspersky, commente ainsi :

« Le nouveau modèle de paiement Amazon One semble très pratique : il vous suffit de positionner la paume de votre main au-dessus d’un lecteur et cela charge votre carte automatiquement – pas de code PIN, pas de carte magnétique, rien. Mais pour permettre cela, Amazon utilise les données biométriques – dans le cas présent, une paume – et stockent ces informations dans le cloud en les corrélant avec les données de paiement traditionnelles. Amazon explique que les données seront chiffrées. Si nous souhaitons assurer le futur de manière sécurisée, nous devons nous assurer que c’est correctement chiffré, parce qu’Amazon One combine des informations d’identification, d’authentification et d’autorisation pour les lier à un point d’entrée unique. Si quelqu’un tentait de dérober et de déchiffrer ces données depuis le cloud, il pourrait potentiellement imiter l’identité de quelqu’un, et dépenser tout son argent.

La clé, c’est de savoir la manière dont les données sont chiffrées et stockées. Quand l’identification et l’authentification sont séparées, par exemple quand la biométrie est utilisée pour nous identifier et qu’un code PIN est utilisé pour vérifier notre identité, quiconque dérobe les données biométriques ne disposerait pas de suffisamment d’informations pour nous voler de l’argent. Ici, dans le cas d’Amazone One, ce voleur disposerait de toutes les informations dont il a besoin.

Il est bien plus sûr de séparer les deux types d’informations – les données biométriques pour nous identifier et un élément complémentaire (comme un code PIN) pour nous authentifier ».

Les commentaires sont fermés.