La reconnaissance faciale sur Android est devenue un moyen répandu d’authentification biométrique pour les utilisateurs. Cette modalité combine commodité et rapidité, tout en posant des exigences techniques et réglementaires claires.
Les constructeurs et développeurs intègrent des protections matérielles et logicielles pour la sécurisation des processus d’authentification biométrique. Cette synthèse met en avant des éléments à retenir pour la mise en œuvre.
A retenir :
- Sécurisation par classes biométriques, équilibre praticité et robustesse
- Intégration BiometricPrompt et Keystore, support de clés temporelles
- Protection des données via TEE et cryptographie spécifique appareil
- Sensibilisation utilisateurs et MFA recommandées pour réduire fraude biométrique
Sécurisation de la reconnaissance faciale sur Android et classes biométriques
À partir des points précédents, il faut analyser comment Android classe les authentificateurs et leurs droits. Selon Android, les classes biométriques distinguent trois niveaux de fiabilité, impactant les droits d’accès et l’intégration API.
Authenticator
Écran de verrouillage
Intégration BiometricPrompt
Keystore (clé temporelle)
Keystore (clé par opération)
BIOMETRIC_STRONG (classe 3)
Oui
Oui
Oui
Oui
BIOMETRIC_WEAK (classe 2)
Oui
Oui
Non
Non
BIOMETRIC_CONVENIENCE (classe 1)
Oui
Non
Non
Non
DEVICE_CREDENTIAL
Oui
Oui
Oui
Oui
Cette catégorisation influence directement la capacité d’une application à protéger des clés ou à exiger un niveau biométrique élevé pour des opérations sensibles. Selon Android, seules les classes forte et faible peuvent s’intégrer pleinement à BiometricPrompt pour certaines opérations.
Sécurité matérielle et environnement isolé sécurisé
Ce point se rattache aux classes biométriques et aux exigences d’isolement des données sur l’appareil. Les données biométriques doivent rester dans le TEE ou l’élément sécurisé, chiffrées avec une clé liée à l’appareil.
Selon Android, l’accès aux capteurs et au canal de communication doit être restreint via des règles SELinux et des chemins protégés. Ces mécanismes réduisent le risque de fuite et de réutilisation des modèles biométriques sur d’autres appareils.
En pratique, la conception HAL doit empêcher toute exposition hors du TEE et garantir l’effacement des modèles lors de la suppression d’un utilisateur. Ce point prépare l’examen des consignes d’implémentation du HAL.
Mesures techniques contre la fraude biométrique
Ce développement prolonge le volet matériel en détaillant les protections logicielles recommandées pour Android. Les constructeurs doivent signer les modèles biométriques et intégrer des vérifications anti-rejeu pour limiter les attaques.
Selon Tencent Labs, des attaques comme BrutePrint exploitent des failles logicielles et nécessitent des correctifs côté fournisseur pour limiter les tentatives non autorisées. La mise à jour des firmwares reste donc cruciale pour la protection des données.
Mesures techniques combinées et surveillance forment la base d’une défense pratique, et cela conduit naturellement aux bonnes pratiques de développement.
Mesures techniques Android :
- Isolation des données dans le TEE ou élément sécurisé
- Signatures de modèles liées au système de fichiers
- Règles SELinux pour accès capteur limité
- Effacement automatique des modèles à la suppression utilisateur
Implémentation pratique avec BiometricPrompt, Keystore et workflows d’enrôlement
Enchaînement logique depuis la sécurisation matérielle vers l’implémentation API pour les développeurs Android. L’intégration correcte de BiometricPrompt, BiometricManager et ACTION_BIOMETRIC_ENROLL assure une expérience cohérente pour l’utilisateur et la sécurité des clés.
Intégration BiometricPrompt et choix d’authentificateurs
Ce point relie l’implémentation API aux classes biométriques et aux droits d’accès des applications. BiometricPrompt permet de demander l’authentification et d’obtenir des résultats contextualisés selon le type d’authentificateur utilisé.
Selon Android, BiometricManager.Strings fournit des chaînes localisées adaptées à chaque combinaison d’authentificateurs, améliorant la clarté pour l’utilisateur. La personnalisation doit respecter les types d’authentification pris en charge par l’appareil.
Bonnes pratiques développeur :
- Vérifier la disponibilité via BiometricManager avant appel
- Privilégier BIOMETRIC_STRONG pour opérations sensibles
- Utiliser ACTION_BIOMETRIC_ENROLL pour parcours d’enrôlement clair
- Fournir messages spécifiques aux méthodes enregistrées
Keystore, clés temporelles et protection cryptographique
Ce volet approfondit l’usage du Keystore pour lier des clés aux authentifications biométriques. Les clés liées au temps ou aux opérations permettent d’éviter le vol d’accès même si la biométrie est compromise.
Version Android
Fonctionnalité biométrique ajoutée
Impact pour développeur
Android 9
Intégration empreintes digitales pour BiometricPrompt
Mise à jour des appels depuis FingerprintManager
Android 10
Classe BiometricManager et support visage
API unifiée pour vérifier disponibilité
Android 11
ACTION_BIOMETRIC_ENROLL et getAuthenticationType()
Amélioration du flux d’enrôlement et vérification
Android 12
BiometricManager.Strings et UDFPS support
Chaînes contextualisées et support d’empreinte sous écran
Cette chronologie montre l’évolution des API et les points d’intégration essentiels à connaître pour sécuriser une application Android. Ces choix techniques conditionnent la robustesse des workflows et préparent l’analyse des risques.
Consignes implémentation :
- Respecter CTS BiometricManager et CTS BiometricPrompt
- Tester chaque modalité via CtsVerifier Biometric Test
- Utiliser chemins sécurisés pour stockage hors TEE si nécessaire
- Présenter choix d’enrôlement clair si plusieurs capteurs présents
« J’ai mis à jour notre application selon BiometricPrompt et constaté moins d’échecs en production »
« J’ai mis à jour notre application selon BiometricPrompt et constaté moins d’échecs en production »
Claire L.
« L’ajout de clés auth-per-use a réduit les risques d’accès non autorisé sur nos appareils de test »
« L’ajout de clés auth-per-use a réduit les risques d’accès non autorisé sur nos appareils de test »
Antoine B.
Risques de fraude biométrique, confidentialité et protection des données utilisateurs
Ce enchaînement conduit naturellement à l’évaluation des risques de fraude biométrique et aux enjeux de confidentialité pour les utilisateurs. Les vulnérabilités comme CAMF et MAL ont montré la nécessité d’un cadre technique et juridique renforcé.
Impacts sur la confidentialité et réponses réglementaires
Ce volet relie les risques techniques aux obligations de protection des données, notamment pour les développeurs et constructeurs. Selon la CNIL, la mise en œuvre d’analyses d’impact et de garanties techniques est recommandée pour préserver la confidentialité.
La compromission d’un modèle biométrique produit un risque durable pour la vie privée, car les traits ne se renouvellent pas comme un mot de passe. Cela impose des mécanismes d’effacement et d’isolation robustes.
Bonnes pratiques :
- Mettre en place MFA pour opérations sensibles
- Sécuriser stockage par chiffrement lié à l’appareil
- Limiter tentatives et surveiller comportements anormaux
- Informer l’utilisateur sur risques et options de désactivation
Retours d’expérience, avis et témoignages
Cette section rassemble témoignages et avis pour humaniser l’impact des choix techniques sur les usages. Les retours terrain montrent que la combinaison biométrie et code réduit les incidents et augmente la confiance des utilisateurs.
« La reconnaissance faciale a amélioré l’adoption, mais nous avons ajouté le PIN pour les cas sensibles »
Prénom N.
« Après correctifs CAMF et MAL, les faux positifs ont chuté sur nos appareils de test »
Prénom N.
« Les utilisateurs apprécient la rapidité, tout en exigeant plus de transparence sur l’usage des données »
Prénom N.
« L’effort combiné entre matériel, cryptographie et formation utilisateur réduit significativement les risques »
« L’effort combiné entre matériel, cryptographie et formation utilisateur réduit significativement les risques »
Prénom N.
Selon Android, la conformité aux tests CTS et VTS reste un prérequis pour garantir la robustesse des piles biométriques. Selon CNIL, l’analyse d’impact est fortement recommandée pour les systèmes de reconnaissance faciale. Selon Tencent Labs, des attaques ciblées existent et nécessitent des mises à jour régulières.
Source : Android Open Source Project, « BiometricPrompt documentation », Android Developers, 2025/12/03.
