Une empreinte digitale ou un scan facial est-il un exemple de « quelque chose que vous savez » ?
Réponse courte
Non. Les trois catégories de facteurs d'authentification sont quelque chose que vous savez (mot de passe/PIN), quelque chose que vous avez (jeton/téléphone) et quelque chose que vous êtes (biométrie). Une empreinte digitale ou un scan facial relève de « quelque chose que vous êtes », un trait physique mesuré. Le piège : la biométrie n'est pas un secret et ne peut pas être renouvelée — si le gabarit de votre empreinte fuite, vous ne pouvez pas changer votre empreinte. C'est pourquoi la biométrie fonctionne mieux comme un facteur, déverrouillant souvent une clé locale, que comme remplacement autonome du mot de passe.
Le piège réside dans une logique séduisante : « mon empreinte fait partie de moi, donc je la connais ». Ce raisonnement s'effondre dès qu'on regarde comment les trois catégories de facteurs d'authentification sont réellement définies.
Les trois catégories de facteurs
Les facteurs d'authentification sont regroupés selon le type de chose qui prouve votre identité :
- Quelque chose que vous savez — un secret dans votre tête : mot de passe, code PIN, réponse à une question de sécurité.
- Quelque chose que vous avez — une possession physique : jeton matériel, smartphone avec application d'authentification, carte à puce.
- Quelque chose que vous êtes — un trait physique ou comportemental inhérent : empreinte digitale, géométrie du visage, motif de l'iris, empreinte vocale.
Une empreinte ou un scan facial est mesuré par un capteur, et non rappelé de mémoire. Cela relève clairement de quelque chose que vous êtes. Parler de « connaissance stockée dans votre corps » est une erreur de catégorie.
Pourquoi la distinction compte
La catégorie n'est pas un détail — elle change les propriétés de sécurité. Un mot de passe est un secret renouvelable : s'il fuite, vous le changez. Une biométrie est un trait non renouvelable. Si un gabarit d'empreinte est volé dans une base de données, vous ne pouvez pas vous délivrer une nouvelle empreinte. Cette permanence est précisément pourquoi une biométrie fait un mauvais secret autonome.
C'est aussi pourquoi les systèmes bien conçus ne transmettent pas votre empreinte brute sur le réseau. Sur un téléphone, la biométrie est comparée localement et sert à déverrouiller une clé cryptographique stockée dans du matériel sécurisé ; c'est la clé, et non votre empreinte, qui vous authentifie. La biométrie est une porte commode, pas le secret lui-même.
Bien utiliser la biométrie
Traitez une biométrie comme un facteur parmi plusieurs, idéalement associé à quelque chose que vous avez (l'appareil) et quelque chose que vous savez (un PIN de secours). Une vraie MFA exige des facteurs de catégories différentes — empiler une empreinte et un scan facial reste « quelque chose que vous êtes ». Utilisée ainsi, la biométrie apporte une assurance forte et conviviale sans prétendre être un secret renouvelable.
Questions de suivi probables
- Pourquoi « on ne peut pas renouveler une biométrie fuitée » est-elle une propriété si importante ?
- Comment le déverrouillage par empreinte d'un téléphone protège-t-il une clé locale au lieu de transmettre votre empreinte ?
- Quand combiner une biométrie et un PIN ne compte-t-il toujours que pour un seul facteur ?