La société hessoise iCOGNIZE dépose une demande de brevet sur sa nouvelle méthode de modèle fractionné pour sécuriser les données biométriques. Avec la nouvelle procédure, les données biométriques sont scindées immédiatement après leur enregistrement afin de les rendre méconnaissables.
Étant donné que les données biométriques contiennent la description mathématique de certaines propriétés des caractéristiques corporelles telles que les empreintes digitales, l'iris ou les traits du visage et les modèles de veines, elles sont considérées comme très critiques et doivent être protégées d'une manière particulière - non seulement pour prévenir les violations de données, mais surtout pour empêcher que des ensembles de données biométriques complets ne puissent être volés lors de cyberattaques.
Plus de protection pour les données biométriques
La procédure peut être utilisée partout où des données sensibles doivent être protégées plus efficacement, même en dehors des systèmes biométriques. Par exemple, les jetons avec un modèle fractionné peuvent être encore mieux protégés contre les accès non autorisés. Afin de clarifier le processus et les avantages de la méthode du modèle fractionné, un examen détaillé des méthodes précédentes est nécessaire :
Lacunes de sécurité possibles dans les contrôles d'accès biométriques
Dans le cas des contrôles d'accès biométriques dans les zones de haute sécurité, les propriétés biométriques telles que les empreintes digitales, les veines ou les caractéristiques de l'iris sont enregistrées par un système de capteurs correspondant et comparées aux caractéristiques biométriques stockées dans le système. S'il y a suffisamment de similarité, une soi-disant « correspondance » est supposée. Parce que les données biométriques utilisées pour la comparaison appartiennent à la personne qui a présenté la caractéristique biométrique correspondante. Étant donné que le système sait quelle personne a précédemment créé l'ensemble de données biométriques utilisé pour la comparaison, la personne est identifiée par cela.
Les cybercriminels peuvent voler ou manipuler ces données biométriques. Si, par exemple, des données d'empreintes digitales sont publiées sur Internet, toute personne disposant des connaissances nécessaires peut créer un mannequin pour une soi-disant "attaque de présentation" et tromper ainsi les systèmes de sécurité biométriques.
Il n'y a qu'une seule donnée d'empreinte digitale
Pour la personne à qui appartiennent les données d'empreintes digitales, cela signifie que son empreinte digitale ne pourra plus jamais être utilisée dans le système biométrique. La caractéristique biométrique étant désormais connue sous sa forme pure, une réplique peut être créée à tout moment. De plus, les empreintes digitales numériques sont des données personnelles sensibles qui doivent être spécialement protégées conformément au RGPD de l'UE.
Ils peuvent également être totalement dispensés de stockage permanent. Pour cette raison, la protection des données interdit le stockage centralisé de données biométriques sensibles. Cela peut à son tour empêcher l'utilisation de systèmes biométriques dans diverses applications.
Difficultés des solutions précédentes
Il existe déjà un moyen possible de contourner le problème ci-dessus : les données biométriques sont stockées pour une comparaison ultérieure sur des serveurs appartenant à une infrastructure informatique hautement sécurisée et non vulnérable. Cette méthode fonctionne assez bien dans la pratique. Cependant, en raison de processus informatiques de plus en plus complexes, il devient de plus en plus difficile et coûteux de maintenir une infrastructure aussi hautement sécurisée. En outre, et comme déjà mentionné ci-dessus, le stockage centralisé des données personnelles, telles que les données biométriques, est un problème fondamental en matière de protection des données.
Le stockage de données mobile est-il une alternative conforme au RGPD ?
Afin d'agir au sens du RGPD, les données biométriques ne peuvent être stockées que sur des supports mobiles tels que des cartes RFID ou des appareils mobiles. De cette manière, les utilisateurs peuvent accéder à tout moment à leurs données personnelles et, si nécessaire, les supprimer.
Les données sont enregistrées en tenant la carte ou l'appareil mobile devant un lecteur approprié. Le système compare maintenant les données, puis supprime immédiatement les données utilisées. Les données biométriques ne se trouvent dans le système qu'au moment de l'utilisation et n'y sont pas stockées de manière persistante. Afin de se conformer au RGPD de l'UE avec cette méthode, les exigences du RGPD (article 9) doivent également être respectées :
Qu'est-ce qui rend la méthode du modèle divisé meilleure ?
La méthode du modèle divisé prend le meilleur des méthodes décrites ci-dessus et prend des mesures supplémentaires pour brouiller les données biométriques tout en résolvant les problèmes avec le RGPD de l'UE :
- Tout d'abord, les blocs de données critiques sont divisés en deux ou plusieurs parties de données.
- Les pièces individuelles sont ensuite stockées sur différents supports et/ou à différents endroits.
- Les emplacements de stockage peuvent être des supports de données tels que la carte RFID ET le serveur au sein de l'infrastructure informatique.
Suite à la scission, les données biométriques enregistrées ne sont plus des données personnelles au sens du RGPD de l'UE. Parce que les données fractionnées ne peuvent plus être utilisées pour leur objectif réel, car aucune conclusion ne peut être tirée sur l'ensemble de données réel. De plus, lorsqu'un emplacement de stockage est compromis, les cybercriminels ne prennent pas possession de l'intégralité des données biométriques. Cela empêche efficacement la création d'un mannequin avec les données capturées.
Plus sur iCOGNIZE.de
iCOGNIZE GmbH
iCOGNIZE est spécialisé dans les solutions de sécurité biométrique. Depuis 2007, l'entreprise développe et produit des scanners biométriques des veines de la paume pour l'identification et l'authentification, qui peuvent être intégrés dans d'autres systèmes de technologie de sécurité via une grande variété d'interfaces. Des technologies telles que RFID et Bluetooth font partie intégrante du portefeuille de produits.
L'entreprise est basée à Dietzenbach - près de Francfort-sur-le-Main. Le développeur de systèmes biométriques y possède également son propre département de recherche et travaille en étroite collaboration avec des universités et d'autres instituts de recherche pour promouvoir les innovations dans le domaine de la technologie de sécurité biométrique.