La biométrie au service de l’identification


​​ English version

Face à la fraude documentaire et au vol d'identité, aux nouvelles menaces telles que le terrorisme ou la cybercriminalité, et face à l'évolution logique des réglementations internationales, de nouvelles solutions technologiques sont progressiv​ement mises en œuvre. Parmi ces technologies, la biométrie s'est rapidement distinguée comme la plus pertinente pour identifier et authentifier les personnes de manière fiable et rapide, en fonction de caractéristiques biologiques uniques.

La biométrie au service de l’identification 

Aujourd'hui, de nombreuses applications font appel à cette technologie. Ce qui était autrefois réservé à des applications sensibles telles que la sécurisation de sites militaires est devenu une application grand public en développement rapide.

Qu'est-ce que la biométrie ?

La biométrie est la science qui porte sur l'analyse des caractéristiques physiques ou comportementales propres à chaque individu et permettant l'authentification de son identité. Au sens littéral et de manière plus simplifiée, la biométrie signifie la « mesure du corps humain ».

On distingue deux catégories de technologies biométriques : les mesures physiologiques, et les mesures comportementales.

Les mesures physiologiques peuvent être morphologiques ou biologiques. Ce sont surtout les empreintes digitales, la forme de la main, du doigt, le réseau veineux, l'œil (iris et rétine), ou encore la forme du visage, pour les analyses morphologiques.

En matière d'analyses biologiques, on trouve le plus souvent l'ADN, le sang, a salive, ou l'urine utilisés dans le domaine médical, pour des investigations criminelles ou même dans le domaine du sport pour des contrôles de dopage.

Les mesures comportementales les plus répandues sont la reconnaissance vocale, la dynamique des signatures (vitesse de déplacement du stylo, accélérations, pression exercée, inclinaison), la dynamique de frappe au clavier d'un ordinateur, la façon d'utiliser des objets, la démarche, le bruit des pas, la gestuelle…

Les différentes techniques utilisées font l'objet de recherches régulières, de développements et bien entendu, d'améliorations constantes. Toutefois, les différentes sortes de mesures n'ont pas le même niveau de fiabilité. On estime que les mesures physiologiques ont l'avantage d'être plus stables dans la vie d'un individu. Par exemple, elles ne subissent pas autant les effets du stress, contrairement à l'identification par mesure comportementale.

La biométrie permet l'identification et l'authentification d'une personne à partir de données reconnaissables et vérifiables, qui lui sont propres et qui sont uniques.

L'identification consiste à déterminer l'identité d'une personne. Il s'agit de saisir une donnée biométrique de cette personne, en prenant par exemple une photo de son visage, en enregistrant sa voix, ou en captant l'image de son empreinte digitale. Ces  données sont ensuite comparées aux données biométriques de plusieurs autres personnes qui figurent dans une base. Dans ce mode, on pose une question simple : « qui êtes-vous ? ».

L'authentification, appelée également vérification, est le processus qui consiste à comparer les données caractéristiques provenant  d'une personne, au modèle de référence biométrique de cette dernière (« template »), afin de déterminer la ressemblance. Le modèle de référence est préalablement enregistré et stocké dans une base de données, dans un équipement ou objet personnel sécurisé. On vérifie ici que la personne présentée est bien la personne qu'elle prétend être.. Dans ce mode, on pose la question : « êtes-vous bien Monsieur ou Madame X ? ».

La biométrie : une préoccupation très ancienne

La biométrie répond à une préoccupation très ancienne de prouver son identité, de manière irréfutable, et en utilisant ses différences.

Dès la préhistoire, l'homme pressentait que certaines caractéristiques comme la trace de son doigt suffisaient à l'identifier, et il « signait » de son doigt.

Deux siècles avant Jésus Christ, l'empereur Ts-In-She authentifiait déjà certains scellés avec une empreinte digitale.

Au XIXe, Bertillon en France lance les premiers jalons de la police scientifique. Il utilisait le « relevé métrique » de certains caractères anatomiques pour identifier des criminels récidivistes, une technique souvent couronnée de succès, mais sans véritables garanties.​

Tombée quelque peu en désuétude, la biométrie fut redécouverte au cours du même siècle,  par William James Herschel, officier anglais, pour un tout autre usage. Alors qu'il était chargé de construire des routes au Bengale, il eût l'idée de faire signer les contrats de ses sous-traitants avec leurs empreintes digitales. Un moyen sûr de pouvoir les retrouver plus facilement,  en cas de contrat non honoré…

Le principe de la biométrie était posé : identifier une personne à partir de certaines de ses caractéristiques uniques.​

La biométrie est en pleine croissance, particulièrement dans le domaine des titres d'identité. Elle est généralement associée à d'autres technologies de sécurité comme la carte à microprocesseur.  ​

La biométrie, indissociable de la question de l'identité

​La biométrie, indissociable de la question de l'identité

 On recense trois possibilités de prouver son identité :

  • au travers de ce que l'on possède. Jusque-là, on pouvait assez aisément le faire, qu'il s'agisse de la clé de son véhicule, d'un document, d'une carte, d'un badge.
  • au travers de ce que l'on sait, un nom, un secret ou un mot de passe.
  • au travers de ce que l'on est, son empreinte digitale, sa main, son visage. 

L'utilisation de la biométrie présente de nombreux avantages dont le premier,  le niveau de sécurité et de précision qu'elle garantit*. Contrairement aux mots de passe, aux badges, aux documents, les données biométriques ne peuvent pas être oubliées, échangées, volées, et demeurent infalsifiables.

*La probabilité de trouver deux empreintes digitales semblables, selon les calculs de Sir Francis Galton (cousin de Darwin) est d'une chance sur 64 milliards même chez les vrais jumeaux (homozygotes).

C'est en ce sens qu'elle est devenue indissociable de la question de l'identité.

Les usages civils de la biométrie aujourd'hui

Ce sont principalement des applications mises en place par les autorités nationales, car la capture et la gestion des empreintes digitales de la population reposent souvent sur un cadre juridique et technique étroitement réglementé.

L'application la plus déployée à ce jour est le passeport électronique, notamment avec la seconde génération qui stocke deux empreintes digitales en plus de la photo d'identité. La biométrie permet ainsi de lier de manière irréfutable le document à son porteur.

L'autre avantage de cette solution est de permettre d'accélérer le passage aux frontières par le biais de portiques, et dont le principe est la reconnaissance par comparaison du visage et/ou des empreintes.

Il existe d'autres applications, notamment les cartes nationales d'identité, comme c'est le cas dans de nombreux pays en Europe et au Moyen-Orient ou encore en Afrique pour les cartes d'identité ou les programmes d'assurance maladi​​e, comme au Gabon. Les empreintes servent à identifier l'identité du porteur de la carte avant de lui donner accès à des services gouvernementaux ou de lui prodiguer des soins.

Par ailleurs, de nombreux pays ont mis en place des infrastructures biométriques pour contrôler les flux migratoires sur leurs territoires. Des scanneurs d'empreintes et des caméras installés aux postes frontières capturent un certain nombre d'information qui permettent d'identifier de manière plus précise et fiable  l'ensemble  les voyageurs entrant  sur le territoire national. Dans certains pays le même principe est appliqué dans les consulats dans le cadre d'application ou de renouvellement de visas.
La capture des données nécessite de disposer d'un matériel fiable, qui assure une capture optimale de la photo et des empreintes digitales, gage d'une précision lors de la comparaison et de la vérification.

Biométrie et passeport

Il existe des bases AFIS (Automated Fingerprint Identification System), souvent liées à une base d'état-civil, qui s'assurent de l'identité et de l'unicité du citoyen par rapport au reste de la population de manière fiable, rapide et automatisée. Elles peuvent combiner les empreintes digitales, la photo et l'iris de l'œil pour une fiabilité accrue.

Des technologies de pointe pour concilier sécurité et confort

La biométrie offre un large éventail de techniques et peut servir dans des domaines très variés, allant de la sécurité des Etats au confort des particuliers. Les techniques biométriques sont principalement utilisées dans les secteurs de l'identification judiciaire, la gestion de l'identité, l'administration et le contrôle d'accès, que ce soit dans les établissements privés ou publics. L'efficacité de cette technologie est étroitement liée à l'utilisation de l'informatique. Les données sont en effet enregistrées dans des fichiers pour permettre une identification rapide et sûre, qui garantisse à la fois le confort et la sécurité.

Parmi les techniques les plus connues, on trouve la reconnaissance, digitale, faciale, vocale, palmaire ou celle de l'iris,et l'ADN. La recherche débouche aujourd'hui sur de nouveaux types de biométries, telles que la forme de l'oreille ou la thermographie faciale.

Quoiqu'il en soit, ces techniques biométriques ont en commun la qualité des caractéristiques collectées:

  • universelles, car elles existent chez tous les individus
  • uniques, permettant ainsi de différencier un individu par rapport à un autre
  • permanentes, autorisant l'évolution dans le temps
  • enregistrables, car collecter les caractéristiques d'un individu ne peut se faire sans son accord
  • mesurables, autorisant une comparaison future
  • infalsifiables.

​L'enjeu : le déterminant dans le choix de la technique

La justice par exemple, qui doit prendre le temps nécessaire pour confondre un criminel et ne tolère pas d'erreur, ne s'effrayera pas d'un processus long et coûteux.

Un simple particulier cherchera à protéger ses biens personnels et y accéder facilement, pour un prix raisonnable.

Les gouvernements et administrations publiques sont eux, confrontés à plusieurs problématiques à la fois : fluidifier le passage des frontières tout en maîtrisant l'immigration clandestine, lutter contre le terrorisme ou la cybercriminalité, lutter contre la fraude électorale, émettre des documents conformes aux nouvelles normes et réglementations internationales, garantir le niveau de sécurité des systèmes de production, de délivrance et de contrôle de ces documents, l'interopérabilité des données, tout en respectant des contraintes budgétaires.

A cette échelle, seule une approche innovante de sécurité globale intégrant des solutions technologiques et des processus adaptés aux enjeux, peut permettre de répondre efficacement et de façon durable aux problématiques des Etats et leur fournir les moyens de créer la confiance.

Les risques techniques de la biométrie : la reconnaissance

Dans ce domaine, on parle de « faux rejets » ou de « fausses acceptations ». Dans un cas, la machine ne sait pas reconnaître une donnée biométrique qui pourtant correspond à la personne, et dans l'autre, elle assimile deux données biométriques qui ne proviennent pas de la même personne. Le « faux rejet » ou la « fausse acceptation » sont des symptômes qui concernent toutes les techniques utilisées en biométrie.

Les risques d'erreur sont liés à des facteurs très différents.

Prenons la personne et ses caractéristiques biométriques. Nous avons constaté que des techniques biométriques étaient plus ou moins adaptées à certaines catégories de personnes. Ces difficultés sont liées à des facteurs ergonomiques qui ne sont pas encore très bien compris ni maîtrisés. Un certain système peut fonctionner pour les femmes, moins pour les hommes, pour les personnes jeunes et pas pour les plus âgées, pour les peaux claires, moins pour les peaux foncées.

Certaines autres difficultés se posent plus particulièrement avec la reconnaissance du visage, lorsque la personne se teint ou se coupe les cheveux, modifie la ligne de ses sourcils ou se laisse pousser une barbe. On peut également s'imaginer des cas de « fausse acceptation » lorsque la photo prise modifie les traits de caractère distinctifs de manière à correspondre à une autre donnée biométrique enregistrée.

Des erreurs sont aussi possibles selon les technologies utilisées. Une photo de vérification prise avec un modèle d'appareil photo de mauvaise qualité peut sensiblement augmenter le risque d'erreur. La précision de l'identification repose entièrement sur la fiabilité du matériel utilisé pour la capture des données.

En plus des techniques, le risque d'erreur varie également selon l'environnement et les conditions d'application. La lumière peut être différente d'un endroit à l'autre, même chose pour l'intensité ou la nature du bruit de fond. La position de la personne peut avoir changé. En laboratoire, dans des conditions parfaites, avec un environnement sous contrôle et l'utilisation de technologies adaptées, le taux d'erreur d'une détection de visage varie entre 5 et 10 %.

Par ailleurs dans une solution de contrôle biométrique le taux de rejet et d'acceptation sont intimement liés et peuvent être paramétrés en fonction du niveau de risque acceptable. Il n'est pas possible d'augmenter l'un sans impacter l'autre. Dans le cadre du contrôle d'accès physique à une centrale nucléaire on souhaite limiter au maximum le risque de laisser passer des personnes non autorisées. Des paramètres d'acceptation très stricts seront choisis et par conséquent le taux de faux rejets sera augmenté.

La fiabilité de la biométrie

La biométrie repose sur des algorithmes statistiques. Elle ne peut donc être fiable à 100 % quand elle est mise en œuvre seule.

Depuis plusieurs années, la combinaison de plusieurs biométries entre elles, appelée biométrie multimodale, par exemple le visage et l'iris ou l'iris et les empreintes digitales, permet de réduire considérablement les taux d'erreur.

Mais cette fiabilité repose sur une bonne qualité des outils d'acquisition et des algorithmes. L'identification, bien qu'a priori attrayante, nécessite la mise en place d'un serveur centralisé, dont l'architecture doit être particulièrement sécurisée.

Les tokens et les cartes à microprocesseur pour plus de fiabilité 

La biométrie souffre du fait que les algorithmes de vérification (« matching ») ne sont pas comparables aux mécanismes de condensats (« hash ») de mots de passe.

Ainsi, on ne peut pas comparer deux gabarits biométriques entre eux sans que ces derniers ne soient, à un moment, « en clair » dans la mémoire du dispositif de vérification. La vérification doit donc être réalisée au sein d'un dispositif de confiance, ce qui laisse l'alternative entre un serveur centralisé et maîtrisé, un terminal de confiance, ou un composant de sécurité personnel.

C'est pour cette raison que les tokens et les cartes à micro-processeur sont de plus en plus considérés comme les compagnons idéaux d'un système biométrique.

Biométrie et Carde d'Identité

De nombreuses cartes d'identité nationales, Portugal, Afrique du Sud, Equateur, Mongolie, Algérie…) incorporent des fonctionnalités de sécurité numérique, qui s'appuient sur un algorithme « Match-on-Card » de vérification des empreintes digitales. Contrairement aux processus biométriques conventionnels, cet algorithme permet une vérification locale des empreintes digitales grâce au microprocesseur intégré à la carte sans l'obligation de se connecter à une base de données biométriques centrale (vérification 1 :1). Les identifiants biométriques de référence sont protégés, car ils sont stockés de façon sécurisé dans la carte et ne quittent jamais leur fichier, l'application hébergée dans le microprocesseur va effectuer le calcul nécessaire et transmettra la réponse, positive ou négative. Ainsi, il est possible de procéder à l'authentification en toute sécurité même en l'absence de connexion au serveur.

Identification ou authentification : impact sur la protection des données

La biométrie peut remplir deux fonctions distinctes, l'authentification et l'identification.

L'identification répond à la question « qui êtes-vous ? ». Dans ce cas, la personne est identifiée parmi d'autres (vérification 1 :N) . Ses données personnelles sont comparées aux données d'autres personnes contenues dans la même base de données ou dans d'éventuelles bases de données reliées.

L'authentification répond à la question : « Etes-vous bien celui que vous prétendez être ? ». Dans ce cas, la biométrie permet de certifier l'identité d'une personne en comparant les données qu'elle va présenter avec les données préenregistrées de la personne qu'elle prétend être (vérification 1 :1).

Ces deux procédés font appel à des solutions techniques différentes. L'identification nécessite en général une base de données centralisée qui permet de comparer les données biométriques de plusieurs personnes. L'authentification peut se passer d'une telle base de données centralisée. On peut simplement enregistrer des données sur un support décentralisé, du type de nos cartes à microprocesseur.

Sur le plan de la protection des données, on privilégiera plutôt un procédé d'authentification avec un support décentralisé. Un tel procédé présente moins de risques. Le support décentralisé est en la possession de l'utilisateur lui-même et ses données ne figurent pas nécessairement dans une base de données. A l'inverse, dans l'hypothèse d'un procédé d'identification nécessitant une base de données externe, l'utilisateur n'a pas la maîtrise physique de ses données, avec tous les risques que cela présente.

Nous pouvons identifier deux types de risques : l'usage de données biométriques à d'autres fins que celles initialement consenties par l'utilisateur soit par le fournisseur de service qui les a initialement collectées ou par des fraudeurs.

Le risque concerne aussi bien la base de stockage des éléments biométriques de référence que les données biométriques présentées par l'utilisateur au moment de l'usage du service : ces données peuvent être captées par des hackeurs lors de leur transmission, nécessaire à la comparaison avec le modèle de référence stocké à la base centralisée.

A partir du moment où les données biométriques sont en possession d'un tiers, il y a toujours un risque qu'elles soient utilisées à des fins différentes de ce à quoi la personne concernée a consenti.

Il peut ainsi y avoir un détournement de finalité si ces données sont interconnectées avec d'autres fichiers, ou si elles servent à des traitements autres que ceux qui étaient initialement prévus. Le risque existe également qu'elles soient frauduleusement répliquées.

C'est la perte de contrôle d'une personne sur ses propres données qui comporte des risques majeurs au regard de la protection de la vie privée. En pratique, les autorités de protection des données semblent accorder leur préférence à des solutions qui intègrent des supports de données décentralisés.

Les technologies actuelles qu'il s'agisse ou non de biométrie, permettent au citoyen de garder son identité légale, établie par son pays, sous con contrôle.  Tout en respectant les règles établies sur le territoire national.

Les règles d'utilisation des données biométriques sont dictées dans chaque pays et encadrées par des cadres légaux.

La Biométrie et les cadres légaux

Les cadres légaux

En application du principe de proportionnalité énoncé en particulier dans l'article 5 du traité sur l'Union Européenne, tout traitement de données personnelles doit être proportionné à ses finalités au regard du risque qu'il fait peser sur la vie privée des personnes concernées.

Si dans le monde, les dispositions légales spécifiques aux données biométriques sont quasi inexistantes malgré le caractère très particulier de ces dernières, la loi française de 1978 sur la protection des données, dite « Loi relative à l'informatique, aux fichiers et aux libertés », pose des exigences spécifiques pour les données biométriques.

Les réflexions juridiques reposent donc dans une très large mesure sur les dispositions relatives aux données personnelles au sens large. Mais ces dispositions se révèlent parfois mal adaptées à la biométrie.

On recense également différents textes au plan européen ou international. Citons de manière non exhaustive la « Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel » du 28 janvier 1981, la « Directive Européenne relative à la protection des personnes physiques  à l'égard des traitements des données à caractère personnel et à la libre circulation de ces données » du 24 octobre 1995.

Enfin le 14 avril 2016, le projet de règlement général sur la protection des données a été adopté par le Parlement européen. Ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union Européenne au printemps 2018. Il remplacera alors la directive de 1995. Il met en place un cadre harmonisé dans l'UE, le droit à l'oubli, le consentement « explicite » et « positif » et, en autre, des sanctions importantes pour le non-respect de ces règles.

La « Résolution des Nations Unies » du 14 décembre 1990, qui prévoit des principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, est quant à elle, dépourvue de force contraignante.

Précisons enfin, qu'en dehors de l'Union Européenne, le niveau de protection diffère selon la législation en vigueur. Pour autant qu'il y en ait une … 

Mettre la biométrie au service de la sécurité numérique, en associant les technologies adaptées pour chaque cas

Gemalto possède sa propre technologie, reconnue dans le monde entier, qui, combinée à une position agnostique vis-à-vis de la source de données biométriques, permet d'apporter à tous la confiance dans le monde numérique.

Expert de l'identification forte avec plus de 44 projets gouvernementaux civils intégrant de la biométrie, Gemalto est force de proposition indépendante, et capable de recommander la solution la plus adaptée. Face aux multiples techniques, et avec beaucoup de lucidité sur les marges d'erreurs, Gemalto apprécie d'abord la problématique du client et ses enjeux. Il faut être en effet capable pour un projet spécifique de changer de technologie, si c'est nécessaire et si une autre a pris le pas, pour adapter la solution, avec des paramètres importants, tels que le prix, l'usage, la pérennité, la sécurité et l'environnement. Au final, ce sont les algorithmes de reconnaissance que souhaitent les clients qui sont embarqués dans les logiciels.

Gemalto accorde énormément d'importance à l'évaluation des risques que le grand public ne perçoit pas toujours, et à la capacité des opérateurs privés de les gérer. De même, les implications légales et sociétales sont très importantes.

Le choix de nos partenaires technologiques est évidemment crucial. Un client doit pouvoir procéder à des tests préalables, dans son propre environnement et dans ses propres conditions, pour vérifier le taux d'erreur. Si ce dernier est trop élevé, alors il faut évidemment renoncer à utiliser la solution choisie, et opter pour une autre, plus adaptée. Les gouvernements des pays à qui nous proposons ces solutions, mettent souvent en place des centres pour procéder à des tests plus proches de la réalité.

Si Gemalto reste ouverte en matière de techniques biométriques, elle n'en reste pas moins convaincue que, quel que soit le choix de biométrie, cette technologie présente des avantages majeurs pour garantir l'identité.

 Documents

 Etudes de cas

  • Une nouvelle carte d'identité biométrique pour le Gabon

    Une nouvelle carte d'identité biométrique pour le Gabon

    Le Cameroun et Gemalto relèvent ensemble le défi de l’identité

    En lire plus
  • Des passeports biométriques pour les citoyens colombiens

    Des passeports biométriques pour les citoyens colombiens

    Depuis septembre 2015, le nouveau passeport électronique colombien (ou pasaporte electrónico) intègre les technologies des ePasseports sécurisés Gemalto.

    En lire plus
  • Le nouveau passeport électronique péruvien dévoilé

    Le nouveau passeport électronique péruvien dévoilé

    Le 24 février 2016 les premiers passeports biométriques péruviens ont été livrés à Lima.

    En lire plus
  • Le Gabon ouvre la voie vers les programmes de santé électroniques en Afrique

    Gabon

    Le Gabon ouvre la voie vers les programmes de santé électroniques en Afrique.

    En savoir plus