L’idée d’aborder ce sujet m’est venue de la lecture d’un billet publié sur LinkedIn par Youna Bentabed. Elle y rappelait un épisode marquant de 2014 : la reproduction d’empreintes digitales d’Ursula von der Leyen à partir de photos publiques. À l’époque, l’histoire avait quelque chose de spectaculaire. Douze ans plus tard, elle ressemble plutôt à un avertissement.

Le cas est bien documenté. En décembre 2014, Jan Krissler, connu sous le pseudonyme Starbug et membre du Chaos Computer Club, affirme avoir recréé une empreinte digitale de la ministre allemande de la Défense Ursula von der Leyen à partir de photos haute résolution prises lors d’événements publics. Le Chaos Computer Club avait alors expliqué que des empreintes pouvaient être obtenues sans contact physique avec la personne visée, à l’aide d’un appareil photo standard. Le Guardian rapportait que Krissler avait utilisé le logiciel VeriFinger et plusieurs images, dont une provenant du bureau de presse de la ministre et une autre prise à environ trois mètres.

Le sujet revient aujourd’hui avec une nouvelle dimension : la qualité des caméras, la multiplication des images publiées en ligne et les outils d’amélioration d’image dopés à l’intelligence artificielle. En mai 2026, le South China Morning Post a rapporté qu’une émission chinoise avait mis en scène Li Chang, présentée comme experte financière, montrant comment un selfie avec les doigts bien visibles pouvait révéler des détails biométriques. Selon l’article, des empreintes pourraient être récupérables à moins de 1,5 mètre si les doigts sont orientés vers l’objectif. Entre 1,5 et 3 mètres, environ la moitié des détails de la main pourraient encore être exploitables, selon les propos rapportés.

Il faut cependant éviter de transformer ce risque en panique. Récupérer une empreinte exploitable à partir d’une photo n’est pas automatique. La qualité de l’image, l’éclairage, la mise au point, l’angle des doigts et le nombre de photos disponibles jouent un rôle important. Le même article du South China Morning Post cite un professeur de cryptographie, Jing Jiwu, qui rappelle que l’opération demeure difficile lorsque ces conditions ne sont pas réunies.

Le risque est néanmoins réel, surtout pour les personnes exposées publiquement : responsables politiques, dirigeants d’entreprise, journalistes, militants, chercheurs, personnalités médiatiques. Leur visage, leurs mains et leurs gestes circulent souvent en haute définition. Or, contrairement à un mot de passe, une empreinte digitale ne se change pas. C’est le cœur du problème.

Les chercheurs du NIST, l’agence américaine de référence en matière de standards technologiques, le formulent clairement : les caractéristiques biométriques ne sont pas des secrets. Elles peuvent être obtenues en ligne, captées par photo ou récupérées sur des objets touchés. Le NIST recommande donc une utilisation limitée de la biométrie, idéalement comme élément d’un mécanisme multifactoriel, et non comme preuve unique d’identité.

Les chiffres les plus souvent cités viennent d’une étude publiée en avril 2020 par Cisco Talos. Les chercheurs Paul Rascagneres et Vitor Ventura ont testé des empreintes artificielles fabriquées avec impression 3D et matériaux peu coûteux. Leur budget était d’environ 2 000 $ US. Résultat : en moyenne, ils ont réussi à contourner les capteurs testés dans environ 80 % des cas, au moins une fois avant que l’appareil ne bascule vers le code PIN. Leur conclusion est nuancée : l’empreinte digitale protège suffisamment l’utilisateur moyen contre un voleur opportuniste, mais elle n’est pas recommandée pour une personne susceptible d’être ciblée par un acteur bien financé.

Cela ne signifie pas qu’un simple selfie suffit à vider un compte bancaire. Dans la plupart des scénarios modernes, un attaquant devrait aussi avoir accès à l’appareil physique, contourner les limites d’essais, fabriquer une fausse empreinte utilisable et parfois franchir d’autres protections. Les systèmes FIDO et les clés d’accès, par exemple, gardent normalement les données biométriques sur l’appareil. Le serveur ne reçoit pas l’empreinte, mais seulement la confirmation que la vérification locale a réussi.

La leçon est donc moins spectaculaire, mais plus utile : la biométrie est pratique, pas magique. Elle réduit la friction, simplifie le déverrouillage et peut renforcer la sécurité lorsqu’elle est combinée à un appareil, à un code robuste ou à une clé cryptographique. Mais elle ne devrait jamais être considérée comme un secret absolu.

Faut-il flouter ses mains sur toutes les photos ? Pour le grand public, ce serait probablement excessif. Pour les personnes à risque, la prudence est plus justifiée : éviter les gros plans de doigts, limiter les images haute résolution des mains, utiliser un code long plutôt qu’une simple empreinte pour les appareils sensibles, activer les clés d’accès lorsque disponibles et conserver une authentification multifactorielle robuste.

Ce que le billet de Youna Bentabed met en lumière, c’est surtout un angle mort de notre culture numérique. Nous avons appris à protéger nos mots de passe, nos adresses, nos courriels et parfois nos visages. Nous pensons beaucoup moins à nos mains. Pourtant, dans un monde où chaque photo peut devenir une donnée exploitable, le geste le plus banal peut parfois en dire plus que prévu.

Sources : scmp, ccc, The Guardian

*****

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.