Face ID, Touch ID : la vérité sur la biométrie

Mélissa, avocate à Montréal, passe la frontière américaine à Dorval un jeudi matin pour un dépôt chez un client à Boston. Agent des douanes US. Inspection secondaire.

« Madame, déverrouillez votre téléphone s’il vous plaît. »

Elle hésite. L’agent répète. Elle regarde son iPhone 15 Pro : Face ID activé.

L’agent tient le téléphone devant son visage. Le téléphone se déverrouille.

Dans les 40 minutes qui suivent, deux agents épluchent ses courriels professionnels. Des échanges avec des clients canadiens, des documents de stratégie, un dossier sur un litige transfrontalier. Copies faites sur clé USB. Téléphone rendu.

De retour à Montréal, elle me consulte pour savoir comment éviter que ça se reproduise. Face ID, aussi bon soit-il techniquement, n’est pas un outil de protection face à la contrainte physique ou légale.

On va creuser ce que la biométrie protège, ce qu’elle ne protège pas, et quand elle devient un piège.

Ce que fait réellement Face ID

Face ID, introduit avec l’iPhone X en 2017, utilise un système caméra TrueDepth :

• un projecteur infrarouge qui envoie environ 30 000 points sur votre visage
• une caméra infrarouge qui photographie la dispersion des points
• un capteur de proximité et une caméra frontale classique
• une puce Neural Engine dans le processeur A-series qui construit un modèle 3D de votre visage

Le modèle est comparé à une version stockée dans la Secure Enclave — une puce isolée du reste du processeur, avec sa propre mémoire chiffrée. Apple indique que ni Apple, ni iOS, ni aucune application ne peut extraire ce modèle. Seul le résultat de la comparaison (match / no match) sort de la Secure Enclave.

La documentation technique est publique : Apple Support — À propos de la sécurité de Face ID. Les chiffres qu’Apple avance :

• 1 chance sur 1 000 000 qu’un étranger choisi au hasard déverrouille votre iPhone
• contre 1 sur 50 000 pour Touch ID
• après 5 échecs consécutifs, le code est exigé
• désactivation automatique si le téléphone n’a pas été déverrouillé depuis 48 h

Ces chiffres sont crédibles dans les conditions typiques. Ils ont été publiés dans le cadre du Secure Enclave Whitepaper et audités par des chercheurs indépendants. Le Black Hat 2019 avait présenté une démo où des lunettes spécialement conçues + Face ID + un utilisateur endormi permettaient de contourner — scénario de niche qui exige d’endormir la cible.

Ce que fait Touch ID

Touch ID (2013-2017 sur iPhone, toujours actif sur iPad de base, MacBook Air, Mac mini, Magic Keyboard) utilise un capteur capacitif qui lit les crêtes et vallées de votre empreinte.

Le modèle mathématique de l’empreinte est stocké dans la même Secure Enclave.

Touch ID n’est pas inférieur à Face ID en pratique pour la plupart des usages. Les gens qui portent des masques (période COVID, milieu hospitalier, pratiquants religieux) ou des casques de moto apprécient Touch ID. Les gens qui font la vaisselle souvent préfèrent Face ID.

Ce qui se passe sur Android

Android standardise la biométrie via la BiometricPrompt API depuis Android 9 (2018). Les constructeurs sont classés en trois niveaux :

• Class 3 (Strong) : 1 sur 50 000 faux positifs maximum. C’est le niveau exigé pour déverrouiller Google Pay, les apps bancaires, etc.
• Class 2 (Weak) : 1 sur 10 000, utilisable pour déverrouiller l’écran mais pas les paiements.
• Class 1 (Convenience) : seulement pratique, pas cryptographiquement sûr.

Les grands constructeurs :

• Google Pixel : empreinte sous écran + Face Unlock 2D (Pixel 7+) / Face Unlock 3D avec caméra de profondeur sur Pixel 8 Pro et +. Stockage dans la puce Titan M2. Face Unlock sur Pixel atteint Class 3 à partir de Pixel 8 Pro.
• Samsung Galaxy : empreinte ultrasonique sous écran (S10+). Face Unlock est Class 1 (photo 2D). Samsung limite explicitement Face Unlock aux usages non critiques.
• OnePlus, Xiaomi, autres : qualité variable. Lisez les specs avant d’acheter.

Le stockage biométrique sur Android se fait dans le Trusted Execution Environment (TEE), l’équivalent de la Secure Enclave d’Apple. Même principe : les données biométriques brutes ne sortent jamais du TEE.

La documentation officielle est sur developer.android.com/training/sign-in/biometric-auth.

La question vraiment importante : la contrainte légale

La sécurité technique de la biométrie n’a aucune importance si un juge, un agent de douane, ou un policier peut vous obliger à déverrouiller votre téléphone en vous mettant le doigt dessus ou en plaçant le téléphone devant votre visage.

Au Canada, la situation juridique est en construction.

Frontière canadienne/américaine

• ASFC (Agence des services frontaliers du Canada) : peut fouiller un appareil électronique lors de l’entrée au Canada sans mandat. Depuis 2024, une directive interne exige un « soupçon raisonnable » mais l’application reste large. Refuser peut entraîner la saisie du téléphone et un interrogatoire prolongé.
• US Customs and Border Protection : encore plus large. À la frontière, la Charte canadienne ne s’applique pas et le 4e amendement américain a des exceptions territoriales. Le CBP peut retenir votre téléphone, même sans mandat.

Pour les deux agences, la biométrie est un levier. Un agent peut tenir votre téléphone devant votre visage ou appuyer votre doigt sur le capteur. Vous pouvez résister physiquement, mais la conséquence est sérieuse.

En territoire canadien

La Cour suprême du Canada dans R. c. Fearon (2014) a établi que la police peut fouiller un téléphone cellulaire en incident d’arrestation sans mandat, à certaines conditions.

Pour le mot de passe, la protection contre l’auto-incrimination (article 13 de la Charte) est généralement reconnue. Un accusé n’est pas tenu de communiquer son mot de passe.

Pour la biométrie, la doctrine américaine a oscillé : plusieurs tribunaux ont permis la compulsion biométrique, en raisonnant que « votre doigt ou votre visage n’est pas un témoignage ». La jurisprudence canadienne sur ce point précis reste clairsemée, mais la tendance suit.

Conséquence pratique : si vous êtes dans une situation où la confidentialité du contenu du téléphone est critique (avocat, journaliste, militant, personne transgenre dans certains États américains, dissident politique), le mot de passe est plus solide légalement que la biométrie.

Le geste à apprendre par cœur

Sur iPhone :

• appuyer 5 fois rapidement sur le bouton latéral
• OU maintenir bouton latéral + volume quelques secondes
• → l’écran SOS apparaît, ou (selon les réglages) le téléphone passe en mode « code obligatoire »
• tant que vous n’entrez pas le code, Face ID/Touch ID sont désactivés
• le téléphone redemande le code après un redémarrage

Sur Android moderne :

• appui long sur le bouton d’alimentation
• menu avec « Lockdown » / « Verrouillage d’urgence »
• force le passage par code, pas la biométrie
• sur Samsung, activer dans Réglages → Écran de verrouillage → Paramètres → Afficher Lockdown

Pratiquez le geste à froid. À la frontière, vous avez 5 secondes avant que l’agent réalise. C’est une compétence motrice, pas une réflexion.

Les vrais risques techniques

Au-delà de la contrainte légale, quelques vraies failles existent.

Face ID : jumeaux et enfants

Face ID peut être trompé par :

• des jumeaux identiques (Apple le documente explicitement)
• des enfants de moins de 13 ans partageant des traits familiaux proches (surtout entre frères/sœurs)
• certaines configurations de maquillage extrêmes non reconnues

Si vous avez des enfants qui veulent accéder à votre téléphone, activez le code en plus, et soyez conscients qu’un enfant de 8-10 ans peut potentiellement déverrouiller Face ID d’un parent, surtout si le parent dort.

Touch ID : empreintes partielles volées

Des chercheurs ont démontré que des empreintes volées sur des objets (verre, poignée de porte) peuvent être recrées en silicone et utilisées sur des capteurs capacitifs, y compris certains Touch ID. L’attaque demande du matériel de qualité et du temps. Contre un attaquant moyen : non pertinent. Contre un agent d’État ciblant spécifiquement : possible.

Android bas de gamme : Face Unlock par photo

Sur de nombreux Android de marque inconnue ou entrée de gamme, le « Face Unlock » utilise simplement la caméra frontale et un algorithme 2D. Une photo imprimée suffit parfois. Ne l’utilisez jamais pour protéger des paiements ou des applications bancaires.

Vérification rapide : Face Unlock fonctionne-t-il avec les yeux fermés? Si oui, c’est du 2D non sécuritaire. Désactivez.

Le piège de l’inscription multiple

Sur iPhone comme sur Android, il est possible d’enregistrer plusieurs visages ou empreintes. Un conjoint abusif, un parent, un colocataire malveillant peut enregistrer son propre visage ou doigt sans votre permission, souvent en profitant d’un moment où le téléphone est déverrouillé.

Vérifiez périodiquement :

• iOS : Réglages → Face ID & code → « Configuration alternative » et nombre d’empreintes Touch ID enregistrées
• Android : Réglages → Sécurité et confidentialité → Déverrouillage → liste des visages/empreintes enregistrés

Si quelque chose que vous n’avez pas enregistré apparaît, supprimez-le et changez le code immédiatement. Voir aussi Téléphone espionné : comment savoir sur iOS et Android.

La biométrie et la Loi 25 au Québec

Depuis septembre 2023, la Loi 25 (ex-projet de loi 64) encadre strictement la collecte de données biométriques par les organisations privées au Québec. Voir Loi 25 mes droits citoyen.

Points clés :

• consentement explicite requis avant toute collecte biométrique
• obligation de déclaration préalable à la Commission d’accès à l’information (CAI)
• la biométrie doit être nécessaire — pas de collecte « préventive »
• les employeurs qui utilisent l’empreinte digitale pour le pointage doivent offrir une alternative équivalente

Concrètement, si votre employeur vous demande d’enregistrer votre empreinte pour entrer au bureau sans offrir une carte ou un NIP, vous pouvez déposer une plainte à la CAI.

Pour le téléphone personnel, la Loi 25 ne s’applique pas directement (vous êtes votre propre « utilisateur »). Mais elle encadre les applications québécoises qui utilisent la biométrie : Desjardins AccèsD, Banque Nationale, Journal de Montréal pour l’abonnement, etc.

Recommandations concrètes selon votre profil

Utilisateur moyen (la plupart des gens)

• Face ID ou Touch ID activé
• Code à 6 chiffres minimum, jamais dans le portefeuille
• Lockdown / bouton SOS appris par cœur
• Vérification annuelle des visages/empreintes enregistrés
• Biométrie aussi pour le gestionnaire de mots de passe (1Password, Bitwarden)

Professions sensibles (avocat, journaliste, médecin, notaire)

• Code à 8-10 caractères alphanumériques (passphrase)
• Face ID/Touch ID désactivé pour les apps critiques (courriel pro, gestionnaire de mots de passe)
• Lockdown systématique avant passage frontalier
• Chiffrement complet activé (iOS l’est par défaut, Android depuis version 10)
• Voir aussi Compartimentalisation des identités numériques

Militant, journaliste d’enquête, dissident

• Aucune biométrie, code alphanumérique à 12+ caractères
• Mode avion avant tout point de contrôle
• Téléphone éteint (pas juste verrouillé) à la frontière : au redémarrage, le code est obligatoire
• Téléphone « de voyage » distinct avec seulement le strict nécessaire

Enfant ou adolescent

• Biométrie OK pour le quotidien
• Le parent garde le code et l’Apple ID parent
• Contrôle parental activé (voir Contrôle parental enfants en ligne Québec)

Personne âgée

• Touch ID souvent plus pratique que Face ID (taux d’échec avec la reconnaissance faciale augmente avec l’âge selon certaines études)
• Code mémorable mais pas trivial (pas 0000, 1234, année de naissance)
• Proche de confiance qui connaît le code en cas d’urgence médicale

Biométrie ≠ authentification forte

Un malentendu fréquent : la biométrie n’est pas un facteur d’authentification plus fort qu’un mot de passe. C’est un facteur différent.

Les trois catégories classiques :

1. Ce que vous savez : mot de passe, PIN
2. Ce que vous possédez : téléphone, YubiKey
3. Ce que vous êtes : visage, empreinte, iris

La biométrie a des propriétés uniques :

• Elle ne peut pas être oubliée (avantage)
• Elle ne peut pas être changée si compromise (défaut majeur)
• Elle est présente en permanence avec vous (avantage et défaut)

Si votre empreinte est compromise (fuite d’un serveur gouvernemental, par exemple), vous ne pouvez pas vous en faire pousser une nouvelle. C’est pour ça que la biométrie fonctionne mieux en complément d’un facteur qui peut être changé (mot de passe, clé FIDO).

Une YubiKey physique combinée à un mot de passe offre une sécurité cryptographiquement plus forte que la biométrie seule. Voir guide YubiKey.

Le cas particulier des applications qui « demandent » la biométrie

Beaucoup d’apps (Desjardins, Banque Nationale, Instagram, Amazon, Netflix) proposent de stocker votre mot de passe et de le déverrouiller avec Face ID/Touch ID.

Ce que ça fait réellement :

• le mot de passe est stocké dans le Keychain iOS ou Keystore Android (chiffré)
• la biométrie déverrouille l’accès au Keychain pour cette app
• le mot de passe est ensuite envoyé à l’app

C’est commode et raisonnablement sécuritaire pour les apps de tous les jours. Pour votre banque principale ou votre compte Revenu Québec, c’est un compromis acceptable.

Ne l’activez pas pour :

• le gestionnaire de mots de passe maître (à moins que la biométrie soit une couche en plus du mot de passe maître, pas en remplacement)
• les comptes qui donnent accès à des données d’autres personnes (dossiers clients d’avocat, dossiers médicaux)
• les apps qui acceptent d’ouvrir un accès administrateur (AWS, Azure, serveurs)

À lire aussi

• YubiKey et clés FIDO : le guide complet 2026
• Passkeys expliqués : remplacer les mots de passe
• iPhone : checklist complète des réglages confidentialité 2026
• Android : checklist complète des réglages confidentialité 2026
• Téléphone espionné : comment savoir sur iOS et Android

Verdict : utilisez la biométrie, mais pas aveuglément

Face ID et Touch ID d’Apple, et les équivalents Pixel/Samsung, sont des technologies solides. Pour 95 % des gens dans 95 % des situations, activer la biométrie améliore la sécurité en encourageant l’usage systématique d’un écran verrouillé.

La nuance : la biométrie protège contre le vol opportuniste. Elle ne protège pas contre la contrainte physique ou légale. Savoir désactiver rapidement la biométrie avant un passage de frontière ou une interaction policière est la compétence manquante chez la plupart des utilisateurs.

La biométrie n’est jamais un remplacement pour un mot de passe fort. C’est une commodité rapide pour déverrouiller un appareil déjà chiffré par un bon code. Si vous utilisez 1234 ou 0000 comme code et Face ID dessus, votre sécurité équivaut à 1234.

Besoin d’un audit complet de la sécurité de vos appareils iOS, Android, Mac ou Windows, adapté à votre profil (particulier, travailleur autonome, PME québécoise)? ou écrivez via sequr.ca/contact. On vous aide à configurer biométrie + code + 2FA FIDO + chiffrement en une seule séance.