La biométrie au service de l’identification et l'authentification

Mise à jour le 14 avril 2021 - Temps de lecture : 10 minutes             

 English version​                           ​​​​​​

Face à la fraude documentaire et au vol d'identité, aux menaces du terrorisme ou de la cybercriminalité, et face à l'évolution logique des réglementations internationales, de nouvelles solutions technologiques sont progressiv​ement mises en œuvre.

Parmi ces technologies, la biométrie s'est rapidement distinguée comme la plus pertinente pour identifier et authentifier les personnes de manière fiable et rapide, en fonction de caractéristiques biologiques uniques.

Aujourd'hui, de nombreuses applications font appel à cette technologie.

Ce qui était autrefois réservé à des applications sensibles telles que la sécurisation de sites militaires est devenu une application grand public en développement rapide.

Qu'est-ce que la biométrie ?

La biométrie​ est la science qui porte sur l'analyse des caractéristiques physiques ou comportementales propres à chaque individu et permettant l'authentification de son identité.

Au sens littéral et de manière plus simplifiée, la biométrie signifie la "mesure du corps humain".

On distingue deux catégories de technologies biométriques : les mesures physiologiques, et les mesures comportementales.

Les mesures physiologiques peuvent être morphologiques ou biologiques.

Ce sont surtout les empreintes digitales, la forme de la main, du doigt, le réseau veineux, l'œil (iris et rétine), ou encore la forme du visage, pour les analyses morphologiques.

En matière d'analyses biologiques, on trouve le plus souvent l'ADN, le sang, la salive, ou l'urine utilisés dans le domaine médical, pour des investigations criminelles ou même dans le domaine du sport pour des contrôles de dopage.

Les mesures comportementales​ les plus répandues sont la reconnaissance vocale, la dynamique des signatures (vitesse de déplacement du stylo, accélérations, pression exercée, inclinaison), la dynamique de frappe au clavier d'un ordinateur, la façon d'utiliser des objets, la démarche, le bruit des pas, la gestuelle…

Les différentes techniques utilisées font l'objet de recherches régulières, de développements et bien entendu, d'améliorations constantes.

Toutefois, les différentes sortes de mesures n'ont pas le même niveau de fiabilité.

On estime que les mesures physiologiques ont l'avantage d'être plus stables dans la vie d'un individu.

Par exemple, elles ne subissent pas autant les effets du stress, contrairement à l'identification par mesure comportementale.

Identification et authentification biométrique

La biométrie permet l'identification et l'authentification d'une personne à partir de données reconnaissables et vérifiables, qui lui sont propres et qui sont uniques.

L'identification consiste à déterminer l'identité d'une personne.

Il s'agit de saisir une donnée biométrique de cette personne, en prenant par exemple une photo de son visage, en enregistrant sa voix, ou en captant l'image de son empreinte digitale. Ces données sont ensuite comparées aux données biométriques de plusieurs autres personnes qui figurent dans une base.

L'authentification, appelée également vérification, est le processus qui consiste à comparer les données caractéristiques provenant d'une personne, au modèle de référence biométrique de cette dernière (« template »), afin de déterminer la ressemblance. Le modèle de référence est préalablement enregistré et stocké dans une base de données, dans un équipement ou objet personnel sécurisé. On vérifie ici que la personne présentée est bien la personne qu'elle prétend être..

La biométrie : une préoccupation très ancienne

La biométrie répond à une préoccupation très ancienne de prouver son identité, de manière irréfutable, et en utilisant ses différences.

Dès la préhistoire, l'homme pressentait que certaines caractéristiques comme la trace de son doigt suffisaient à l'identifier, et il « signait » de son doigt.

Deux siècles avant Jésus Christ, l'empereur Ts-In-She authentifiait déjà certains scellés avec une empreinte digitale.

Au XIXe, Bertillon en France lance les premiers jalons de la police scientifique.

Il utilisait le « relevé métrique » de certains caractères anatomiques pour identifier des criminels récidivistes, une technique souvent couronnée de succès.

Ce relevé métrique se base sur 14 mensurations comme la taille, la longueur du coude, du pied, des oreilles.

En 1894, il fait apposer aux prévenus en bas de la fiche d'identification les empreintes de quatre doigts de la main droite puis les dix doigts (décadactylogramme) en 1904.

Il élabore aussi un protocole stricte pour les photographies signalitiques (face/profil) et la description des signes particuliers du corps comme les cicatrices, brûlures et tatouages.

La biométrie fut redécouverte au cours du même siècle,  par William James Herschel, officier anglais, pour un tout autre usage. Alors qu'il était chargé de construire des routes au Bengale, il eût l'idée de faire signer les contrats de ses sous-traitants avec leurs empreintes digitales.

Un moyen sûr de pouvoir les retrouver plus facilement, en cas de contrat non honoré…

Le principe de la biométrie était posé : identifier une personne à partir de certaines de ses caractéristiques uniques.​

La biométrie est en pleine croissance, particulièrement dans le domaine des titres d'identité. Elle est généralement associée à d'autres technologies de sécurité comme la carte à microprocesseur.  ​

​Identité et biométrie

 On recense trois possibilités de prouver son identité :

• au travers de ce que l'on possède. Jusque-là, on pouvait assez aisément le faire, qu'il s'agisse de la clé de son véhicule, d'un document, d'une carte, d'un badge.
• au travers de ce que l'on sait, un nom, un secret ou un mot de passe.
• au travers de ce que l'on est, son empreinte digitale, sa main, son visage. 

L'utilisation de la biométrie présente de nombreux avantages dont le premier, le niveau de sécurité et de précision qu'elle garantit*. Contrairement aux mots de passe, aux badges, aux documents, les données biométriques ne peuvent pas être oubliées, échangées, volées, et demeurent infalsifiables.

*La probabilité de trouver deux empreintes digitales semblables, selon les calculs de Sir Francis Galton (cousin de Darwin) est d'une chance sur 64 milliards même chez les vrais jumeaux (homozygotes).

C'est en ce sens qu'elle est devenue indissociable de la question de l'identité.

Les usages civils de la biométrie aujourd'hui

Ce sont principalement des applications mises en place par les autorités nationales, car la capture et la gestion des empreintes digitales de la population reposent souvent sur un cadre juridique et technique étroitement réglementé.

L'application la plus déployée à ce jour est le passeport biométrique, notamment avec la seconde génération qui stocke deux empreintes digitales en plus de la photo d'identité sur la puce éléctronique intégrée au passport.

La biométrie permet ainsi de lier de manière irréfutable le document à son porteur.

L'autre avantage de cette solution est de permettre d'accélérer le passage aux frontières par le biais de portiques, et dont le principe est la reconnaissance par comparaison du visage et/ou des empreintes.

​

C'est le cas en particulier du système PARAFE à Roissy Charles de Gaulle et Paris Orly.

Il existe d'autres applications, notamment les cartes nationales d'identité, comme c'est le cas dans de nombreux pays en Europe et au Moyen-Orient ou encore en Afrique pour les cartes d'identité ou les programmes d'assurance maladi​​e, comme au Gabon.

Les empreintes servent à identifier l'identité du porteur de la carte avant de lui donner accès à des services gouvernementaux ou de lui prodiguer des soins.

Par ailleurs, de nombreux pays ont mis en place des infrastructures biométriques pour contrôler les flux migratoires sur leurs territoires.

Des scanneurs d'empreintes et des caméras installés aux postes frontières capturent un certain nombre d'information qui permettent d'identifier de manière plus précise et fiable l'ensembleles voyageurs entrant sur le territoire national.

Dans certains pays le même principe est appliqué dans les consulats dans le cadre d'application ou de renouvellement de visas.

La capture des données nécessite de disposer d'un matériel fiable, qui assure une capture optimale de la photo et des empreintes digitales, gage d'une précision lors de la comparaison et de la vérification.

Il existe des bases AFIS (Automated Fingerprint Identification System), souvent liées à une base d'état-civil, qui s'assurent de l'identité et de l'unicité du citoyen par rapport au reste de la population de manière fiable, rapide et automatisée.

Elles peuvent combiner les empreintes digitales, la photo et l'iris de l'œil pour une fiabilité accrue.

Des technologies de pointe pour concilier sécurité et confort

La biométrie offre un large éventail de techniques et peut servir dans des domaines très variés, allant de la sécurité des Etats au confort des particuliers.

Les techniques biométriques sont principalement utilisées dans les secteurs de l'identification judiciaire, la gestion de l'identité, l'administration et le contrôle d'accès, que ce soit dans les établissements privés ou publics.

L'efficacité de cette technologie est étroitement liée à l'utilisation de l'informatique.

Les données sont en effet enregistrées dans des fichiers pour permettre une identification rapide et sûre, qui garantisse à la fois le confort et la sécurité.

Parmi les techniques les plus connues, on trouve la reconnaissance, digitale (doigt), faciale, vocale, palmaire (paume) ou celle de l'iris, et l'ADN. La recherche débouche aujourd'hui sur de nouveaux types de biométries, telles que la forme de l'oreille ou la thermographie faciale.

Quoiqu'il en soit, ces techniques biométriques ont en commun la qualité des caractéristiques collectées:

• universelles, car elles existent chez tous les individus
• uniques, permettant ainsi de différencier un individu par rapport à un autre
• permanentes, autorisant l'évolution dans le temps
• enregistrables, car collecter les caractéristiques d'un individu ne peut se faire sans son accord
• mesurables, autorisant une comparaison future
• infalsifiables.

 ​

​L'enjeu: le déterminant dans le choix de la technique

La justice par exemple, qui doit prendre le temps nécessaire pour confondre un criminel et ne tolère pas d'erreur, ne s'effrayera pas d'un processus long et coûteux.

Un simple particulier cherchera à protéger ses biens personnels et y accéder facilement, pour un prix raisonnable.

Les gouvernements et administrations publiques sont eux, confrontés à plusieurs problématiques à la fois :

• fluidifier le passage des frontières tout en maîtrisant l'immigration clandestine, lutter contre le terrorisme ou la cybercriminalité,
• lutter contre la fraude électorale,
• émettre des documents conformes aux nouvelles normes et réglementations internationales,
• garantir le niveau de sécurité des systèmes de production, de délivrance et de contrôle de ces documents,
• garantir l'interopérabilité des données, tout en respectant les contraintes budgétaires définies.

A cette échelle, seule une approche innovante de sécurité globale intégrant des solutions technologiques et des processus adaptés aux enjeux, peut permettre de répondre efficacement et de façon durable aux problématiques des Etats et leur fournir les moyens de créer la confiance.

Les risques techniques de la biométrie 

Dans ce domaine, on parle de « faux rejets » ou de « fausses acceptations ».

Dans un cas, la machine ne sait pas reconnaître une donnée biométrique qui pourtant correspond à la personne, et dans l'autre, elle assimile deux données biométriques qui ne proviennent pas de la même personne.

Le « faux rejet » ou la « fausse acceptation » sont des symptômes qui concernent toutes les techniques utilisées en biométrie.

Les risques d'erreur sont liés à des facteurs très différents.

Prenons la personne et ses caractéristiques biométriques.

Nous avons constaté que des techniques biométriques étaient plus ou moins adaptées à certaines catégories de personnes. Ces difficultés sont liées à des facteurs ergonomiques qui ne sont pas encore totalement maîtrisés.

Un certain système peut fonctionner pour les femmes, moins pour les hommes, pour les personnes jeunes et pas pour les plus âgées, pour les peaux claires, moins pour les peaux foncées.

Certaines autres difficultés se posent plus particulièrement avec la reconnaissance faciale, lorsque la personne se teint ou se coupe les cheveux, modifie la ligne de ses sourcils ou se laisse pousser une barbe.

On peut également s'imaginer des cas de « fausse acceptation » lorsque la photo prise modifie les traits de caractère distinctifs de manière à correspondre à une autre photo enregistrée.

Des erreurs sont aussi possibles selon les technologies utilisées.

Une photo de vérification prise avec un modèle d'appareil photo de mauvaise qualité peut sensiblement augmenter le risque d'erreur. La précision de l'identification repose entièrement sur la fiabilité du matériel utilisé pour la capture des données.

En plus des techniques, le risque d'erreur varie également selon l'environnement et les conditions d'application.

La lumière peut être différente d'un endroit à l'autre, même chose pour l'intensité ou la nature du bruit de fond. La position de la personne peut avoir changé.

Par ailleurs dans une solution de contrôle biométrique le taux de rejet et d'acceptation sont intimement liés et peuvent être paramétrés en fonction du niveau de risque acceptable. Il n'est pas possible d'augmenter l'un sans impacter l'autre.

Dans le cadre du contrôle d'accès physique à une centrale nucléaire on souhaite limiter au maximum le risque de laisser passer des personnes non autorisées. Des paramètres d'acceptation très stricts seront choisis et par conséquent le taux de faux rejets sera augmenté.

La fiabilité de la biométrie

La biométrie repose sur des algorithmes statistiques. Elle ne peut donc être fiable à 100 % quand elle est mise en œuvre seule.

Depuis plusieurs années, la combinaison de plusieurs biométries entre elles, appelée biométrie multimodale, par exemple le visage et l'iris ou l'iris et les empreintes digitales, permet de réduire considérablement les taux d'erreur.

L'identification, bien qu'a priori attrayante, nécessite la mise en place d'un serveur centralisé, dont l'architecture doit être particulièrement sécurisée.

Les tokens et les cartes à microprocesseur pour plus de fiabilité 

La biométrie souffre du fait que les algorithmes de vérification (« matching ») ne sont pas comparables aux mécanismes de condensats (« hash ») de mots de passe.

Ainsi, on ne peut pas comparer deux gabarits biométriques entre eux sans que ces derniers ne soient, à un moment, « en clair » dans la mémoire du dispositif de vérification.

La vérification doit donc être réalisée au sein d'un dispositif de confiance, ce qui laisse l'alternative entre un serveur centralisé et maîtrisé, un terminal de confiance, ou un composant de sécurité personnel.

C'est pour cette raison que les tokens et les cartes à micro-processeur sont de plus en plus considérés comme les compagnons idéaux d'un système biométrique.

De nombreuses cartes d'identité nationales (Portugal, Afrique du Sud, Equateur, Mongolie, Algérie…) incorporent des fonctionnalités de sécurité numérique, qui s'appuient sur un algorithme « Match-on-Card » de vérification des empreintes digitales.

Contrairement aux processus biométriques conventionnels, cet algorithme permet une vérification locale des empreintes digitales grâce au microprocesseur intégré à la carte sans l'obligation de se connecter à une base de données biométriques centrale (vérification 1 :1).

Les identifiants biométriques de référence sont protégés, car ils sont stockés de façon sécurisé dans la carte et ne quittent jamais leur fichier, l'application hébergée dans le microprocesseur va effectuer le calcul nécessaire et transmettra la réponse, positive ou négative.

Ainsi, il est possible de procéder à l'authentification en toute sécurité même en l'absence de connexion au serveur.

Identification ou authentification : impact sur la protection des données

La biométrie peut remplir deux fonctions distinctes, l'authentification et l'identification, nous l'avons vu.

L'identification répond à la question « qui êtes-vous ? ». Dans ce cas, la personne est identifiée parmi d'autres (vérification 1 :N) . Ses données personnelles sont comparées aux données d'autres personnes contenues dans la même base de données ou dans d'éventuelles bases de données reliées.

L'authentification répond à la question : « Etes-vous bien celui que vous prétendez être ? ». Dans ce cas, la biométrie permet de certifier l'identité d'une personne en comparant les données qu'elle va présenter avec les données préenregistrées de la personne qu'elle prétend être (vérification 1 :1).

Ces deux procédés font appel à des solutions techniques différentes.

• L'identification nécessite en général une base de données centralisée qui permet de comparer les données biométriques de plusieurs personnes.
• L'authentification peut se passer d'une telle base de données centralisée. On peut simplement enregistrer des données sur un support décentralisé, du type de nos cartes à microprocesseur.

Sur le plan de la protection des données, on privilégiera plutôt un procédé d'authentification avec un support décentralisé. Un tel procédé présente moins de risques. Le support décentralisé est en la possession de l'utilisateur lui-même et ses données ne figurent pas nécessairement dans une base de données.

A l'inverse, dans l'hypothèse d'un procédé d'identification nécessitant une base de données externe, l'utilisateur n'a pas la maîtrise physique de ses données, avec tous les risques que cela présente.

A partir du moment où les données biométriques sont en possession d'un tiers, il y a toujours un risque qu'elles soient utilisées à des fins différentes de ce à quoi la personne concernée a consenti.

Le risque concerne aussi bien la base de stockage des éléments biométriques de référence que les données biométriques présentées par l'utilisateur au moment de l'usage du service : ces données peuvent être captées par des hackers lors de leur transmission, nécessaire à la comparaison avec le modèle de référence stocké à la base centralisée.

Données biométriques: risques et protection

Il peut ainsi y avoir un détournement de finalité si ces données biométriques sont interconnectées avec d'autres fichiers, ou si elles servent à des traitements autres que ceux qui étaient initialement prévus.

Le risque existe également qu'elles soient frauduleusement répliquées.

En pratique, les autorités de protection des données semblent accorder leur préférence à des solutions qui intègrent des supports de données décentralisés.

Les technologies actuelles qu'il s'agisse ou non de biométrie, permettent au citoyen de garder son identité légale, établie par son pays, sous contrôle.  Tout en respectant les règles établies sur le territoire national.

Les règles d'utilisation des données biométriques sont dictées dans chaque pays et encadrées par des cadres légaux.

Les cadres légaux

En application du principe de proportionnalité énoncé en particulier dans l'article 5 du traité sur l'Union Européenne, tout traitement de données personnelles doit être proportionné à ses finalités au regard du risque qu'il fait peser sur la vie privée des personnes concernées.

Si dans le monde, les dispositions légales spécifiques aux données biométriques sont quasi inexistantes malgré le caractère très particulier de ces dernières, la loi française de 1978 sur la protection des données, dite « Loi relative à l'informatique, aux fichiers et aux libertés », pose des exigences spécifiques pour les données biométriques.

Les réflexions juridiques reposent donc dans une très large mesure sur les dispositions relatives aux données personnelles au sens large. Mais ces dispositions se révèlent parfois mal adaptées à la biométrie.

On recense également différents textes au plan européen ou international. Citons de manière non exhaustive la « Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel » du 28 janvier 1981, la « Directive Européenne relative à la protection des personnes physiques  à l'égard des traitements des données à caractère personnel et à la libre circulation de ces données » du 24 octobre 1995.

Enfin le 14 avril 2016, le projet de règlement général sur la protection des données (RGDP) a été adopté par le Parlement européen. Ses dispositions sont directement applicables dans l'ensemble des 27 États membres de l'Union Européenne et le Royaume-Uni depuis mai 2018.

Le RGDP s'applique donc à 500 millions de personnes en Europe. 

Le RGDP  met en place un cadre harmonisé dans l'UE, le droit à l'oubli, le consentement « explicite » et « positif » et, en autre, des sanctions importantes pour le non-respect de ces règles.

En revanche, il n'existe pas aux Etats-Unis, une législation fédérale unique qui protège les données personnelles biométriques. 

Les initiatives sont locales au niveau des états et, parfois, des villes.

Cinq états ont un cadre de loi spécifique: New York (depuis mars 2020), la Californie (depuis janvier 2020 avec la CCPA et son complément la CPRA votée en novembre 2020), Washington, l'Illinois et le Texas.

La « Résolution des Nations Unies » du 14 décembre 1990, qui prévoit des principes directeurs pour la réglementation des fichiers informatisés contenant des données à caractère personnel, est quant à elle, dépourvue de force contraignante.

Précisons enfin, qu'en dehors de l'Union Européenne, le niveau de protection diffère selon la législation en vigueur. Pour autant qu'il y en ait une … 

Sécurité numérique et biométrie

Thales possède sa propre technologie, reconnue dans le monde entier, qui, combinée à une position agnostique vis-à-vis de la source de données biométriques, permet d'apporter à tous la confiance dans le monde numérique.

Expert de l'identification forte avec plus de 44 projets gouvernementaux civils intégrant de la biométrie, et plus de 100 dans le domaine de la police scientifique et judiciaire, Thales est force de proposition indépendante, et capable de recommander la solution la plus adaptée. 

Face aux multiples techniques, et avec beaucoup de lucidité sur les marges d'erreurs, Thales apprécie d'abord la problématique du client et ses enjeux.

Il faut être en effet capable pour un projet spécifique de changer de technologie, si c'est nécessaire et si une autre a pris le pas, pour adapter la solution, avec des paramètres importants, tels que le prix, l'usage, la pérennité, la sécurité et l'environnement. Au final, ce sont les algorithmes de reconnaissance que souhaitent les clients qui sont embarqués dans les logiciels.

Thales accorde énormément d'importance à l'évaluation des risques que le grand public ne perçoit pas toujours, et à la capacité des opérateurs privés de les gérer.

De même, les implications légales et sociétales sont très importantes.​

Si Thales reste ouverte en matière de techniques biométriques, elle n'en reste pas moins convaincue que, quel que soit le choix de biométrie, cette technologie présente des avantages majeurs pour garantir l'identité.​​