Auteur
Xavier Olessa-Daragon
Date
Partager

Abonnez-vous pour télécharger cet article en format PDF

S'abonner

Parmi toutes les failles de la cryptographie actuelle, et tous les principes de cybersécurité qui reposent sur elle, on peut s’intéresser à trois en particulier : deux qui concernent le présent, une qui concerne l’avenir. Les deux premières tiennent à l’absence d’authentification continue, en direct, et aux limites critiques de l’identification biométrique. La troisième tient à l’émergence des super-ordinateurs quantiques.

  • L’absence d’authentification continue signifie qu’une fois la session authentifiée, celle-ci reste vulnérable ; d’autant plus sur des systèmes ultra-critiques tels qu’un drone militaire équipé de missiles
  • Une fois l’opérateur authentifié, sa session peut être piratée à distance par un hacker – ou bien l’opérateur lui-même peut être compromis physiquement, par exemple par un commando prenant d’assaut la base où il se trouve.
  • On pourrait imaginer lui demander de se ré-authentifier à intervalles réguliers, mais un système qui exigerait une ré-authentification toutes les cinq minutes ne serait pas fonctionnel : une telle contrainte est incompatible avec une activité aussi exigeante, sur le plan ergonomique, que le pilotage d’un drone. Il existe donc un conflit fondamental entre l’ergonomie d’un système, la qualité de son expérience utilisateur (UX) et la fréquence à laquelle il réclame une authentification.
  • Plus cette fréquence est élevée, moins le système est utilisable en pratique. À l’inverse, dès lors qu’on l’espace, une session compromise après authentification – physiquement ou à distance – ne déclenche pas de nouvelle vérification immédiate : il s’ouvre alors une « fenêtre de vulnérabilité ».

Les limites critiques de l’authentification biométrique tiennent essentiellement à la possibilité de répliquer physiquement les signaux biologiques sur lesquels elle repose. Concrètement, il s’agit de fabriquer des prothèses imitant les empreintes digitales, ou des masques reproduisant le visage et les yeux. La voix en offre l’illustration la plus parlante : il paraît aujourd’hui inutile de verrouiller quoi que ce soit par reconnaissance vocale, tant l’IA a mis à la portée de n’importe qui la capacité de dupliquer une voix et de lui faire dire n’importe quoi.

L’émergence de super ordinateurs quantiques : des failles à venir

Les ordinateurs quantiques sont nés, mais ils sont loin d’avoir atteint ne serait-ce que l’enfance — sans même parler de la puberté ou de leur plein potentiel. Cela n’empêche pas de penser que, le jour où ils y parviendront, ils seront capables de briser très rapidement quantité de clés cryptographiques aujourd’hui réputées presque inviolables.

  • En simplifiant, on peut dire que de nombreux systèmes cryptographiques actuels ont pour principe de demander à l’ordinateur qui tente de le briser de réaliser un nombre bibliquement long d’opérations mathématiques. 
  • La cryptographie actuelle fonctionne comme si on vous parachutait seul sur une planète Terre entièrement vide, que l’on vous donnait un trousseau de 10 passe partouts venus du monde entier et que l’on vous demandait de déterminer le nombres précis de serrures que les 10 passe partout ouvrent sur l’ensemble de la planète. 
  • L’ordinateur quantique va disposer d’outils lui  permettant de pouvoir tester chaque passe partout sur l’ensemble des serrures de la planète en même temps en les superposant de façon quantique. Mieux, il pourra « faire s’annuler » toutes les serrures qui ne collent pas au passe partout pour très rapidement ne rester qu’avec les bonnes.

Face à ces failles, présentes comme futures, la biocryptographie propose de mettre à profit le chaos du vivant et de la nature pour produire quelque chose de bien trop complexe pour être imité ou modélisé.

L’activité cérébrale comme clef d’authentification

Et si l’on utilisait comme clé biométrique non plus son empreinte digitale ou rétinienne, mais son activité cérébrale ? L’idée tient sur le papier ; surtout, on dispose aujourd’hui de nombreuses preuves de concept solides, au point qu’il s’agit désormais moins d’une question purement scientifique que d’une question de miniaturisation, d’optimisation et d’implémentation. Cette technologie repose en effet sur quatre principes essentiels, tous rigoureusement vérifiés et démontrés – mais dans le cadre de laboratoires cherchant à « le faire une fois pour prouver que c’est possible », ce qui diffère sensiblement d’un usage courant : intensif, résilient, économique et reposant sur du matériel grand public.

  • Le premier principe est de mettre l’utilisateur dans un contexte précis et d’utiliser un appareil mesurant l’activité cérébrale électrique, c’est-à-dire l’EEG, électro encéphalogramme. On transforme cet électro encéphalo gramme en utilisant un filtre mathématique non réversible : le « produit transformé » s’il venait à être volé par un hacker, ne permettrait pas de déduire l’électro encéphalogramme. Après cela on génère une clef cryptographique classique et on la « verrouille » grâce à ce « produit transformé » (l’EEG modifié par un filtre mathématique non réversible). La clef d’authentification finale utilisée est cette clef cryptographique classique « verrouillée » grâce à l’EEG « transformé ».
  • Le second consiste en une certaine marge que l’on tolère concernant la variabilité de l’activité électrique cérébrale à la base de la clef. Quand l’utilisateur s’identifie il n’aura jamais deux fois « exactement la même » activité électrique cérébrale. On utilisera donc des algorithmes de Codes de Correction d’Erreurs comme Reed-Solomon ou d’autres, afin de tolérer une certaine marge d’erreur. Il faudra la paramétrer de façon optimale, afin d’éviter que l’utilisateur ne soit bloqué parce que le système ne reconnaît pas son activité électrique cérébrale à cause de ses variations, mais aussi à l’inverse afin d’éviter que le système ne tolère trop de variations et ne reconnaisse l’activité cérébrale de n’importe qui.
  • Le troisième principe est celui de l’authentification continue. Si l’on reprend l’exemple d’un opérateur de drone militaire, on l’équipe d’une oreillette qui mesure son activité cérébrale en continu et l’authentifie plusieurs fois par seconde, et à la seconde où il cesse d’être concentré sur son activité sa session se déconnecte. Il est impossible de contrefaire et de simuler son activité cérébrale comme on imite des empreintes, des yeux ou une voix car, et c’est tout le principe de la bio cryptographie, celle-ci est bien trop chaotique et complexe. Mieux, si l’opérateur est physiquement attaqué et contraint à deverrouiller sa session, ce stress pourrait théoriquement affecter assez son activité cérébrale pour empêcher l’authentification.
  • Enfin le quatrième principe, sans doute le plus important, est celui de la révocabilité. Si un signal biométrique comme des empreintes ou des yeux est compromis, on ne peut changer de doigts ou d’yeux. Le premier principe veut que ce n’est pas l’activité cérébrale brute qui sert à verrouiller la clé cryptographique mais, l’activité cérébrale dans un certain contexte, transformée par un filtre mathématique non réversible. Si la clé est compromise, le filtre étant non réversible on ne peut pas en déduire l’activité cérébrale brute qui n’est donc pas compromise. On peut changer le filtre. Et surtout on peut changer ce fameux contexte. Le « contexte » peut être une tâche mentale à effectuer comme dessiner un rond dans sa tête ou chanter une chanson dans sa tête. Mais cela peut aussi par exemple être un contexte sensoriel : par exemple l’interface visuelle de l’utilisateur du drone qui influence passivement son activité cérébrale. La révocabilité des clefs basées sur l’activité électrique cérébrale permet de rapidement la modifier si jamais elle est compromise, ce qui offre une réactivité extrêmement intéressante 1.
Sources
  1. Voir : Damaševičius, Robertas, Maskeliūnas, Rytis, Kazanavičius, Egidijus, Woźniak, Marcin, Combining Cryptography with EEG Biometrics, Computational Intelligence and Neuroscience, 2018. Galis, Meiran, Milan Milosavljević, Aleksandar Jevremović, Zoran Banjac, Aleksej Makarov, and Jelica Radomirović. 2021. « Secret-Key Agreement by Asynchronous EEG over Authenticated Public Channels » Entropy. Alahaideb L, Al-Nafjan A, Aljumah H, Aldayel M. Brain-Computer Interface for EEG-Based Authentication : Advancements and Practical Implications. Sensors (Basel), 2025.  Zhang, Shuai, Sun, Lei, Mao, Xiuqing, Hu, Cuiyun, Liu, Peiyuan, Review on EEG-Based Authentication Technology, Computational Intelligence and Neuroscience, 2021, 5229576, 20 pages, 2021. Binh Nguyen, Dat Tran, Wanli Ma, A Study on Combing EEG signals and Crytography for Bitcoin security, 2019. V. Padmapriya,  G. P. Sachin, S. Sivasury, P. Yogesh, Brainwave – Based Multilayer Encryption Using Time Dilation and Quantum Entanglement, 2025.