Nouvelles de l'UIT

Pour en savoir plus sur l'évolution des télécommunications

عربي  |  中文  |  English  |  Español  |  Русский  |  download pdf
                     

Biométrie et normes
Un rapport sur la veille technologique
05_01
Photographe: Shutterstock
 
image
Photographe: Shutterstock

D'habitude, c'est à leur visage que nous reconnaissons les gens, mais quelquefois aussi à leur voix ou à leur écriture, ou encore à leur façon de bouger. Autrefois, le regard était la seule façon de vérifier l'identité de voyageurs passant d'un pays à l'autre, de visiteurs cherchant à accéder à un espace privé, ou de commerçants tirant de l'argent à la banque. Cette façon de procéder n'est plus réaliste, vu la multiplication des voyages internationaux, la nécessité d'assurer la sécurité sur les lieux de travail et la progression des opérations bancaires électroniques, parmi tant d'autres changements qui affectent désormais notre quotidien. De nos jours, il existe une nouvelle manière de vérifier l'identité en ayant recours à des méthodes automatisées et aux technologies de l'information et de la communication (TIC) pour reconnaître quelqu'un en fonction de traits physiques ou de comportement — c'est la biométrie, qui fait d'ailleurs l'objet d'un nouveau rapport de l'UIT dans la série Veille technologique: «Biométrie et normes»*.

La biométrie sert désormais à établir les passeports électroniques, à vérifier l'identité aux guichets automatiques bancaires par les veines des doigts et même à empêcher les distributeurs automatiques de vendre des cigarettes aux enfants. Dans chacun de ces exemples, on mesure une combinaison de caractéristiques inhérentes qui sont ensuite comparées automatiquement avec des modèles stockés sur un jeton d'authentification ou une base de données pour assurer qu'il y a bien correspondance. Les caractéristiques mesurées sont souvent physiques mais ont quelquefois également trait au comportement, par exemple, la reconnaissance de la frappe au clavier lorsque quelqu'un tape un mot ou un élément de phrase. A mesure que la biométrie est de plus en plus utilisée pour vérifier l'identité, notamment dans le contexte des réseaux ouverts, les questions ayant trait à la confidentialité, à la fiabilité et à la sécurité des données biométriques se compliquent et posent de multiples problèmes.

Quiconque a fait la queue à l'aéroport pour s'enregistrer comprendra l'importance de la rapidité et de la précision dans la lecture d'un passeport électronique. De même, lorsque vous tirez de l'argent à un guichet automatique, vous vous attendez à être la seule personne à pouvoir accéder à votre compte. Ces utilisations de la biométrie sont la suite logique de l'élaboration de méthodes de mesure répondant à la nécessité de disposer de méthodes d'identification justes dans le domaine de la criminologie et de la police scientifique — ces empreintes digitales et prélèvements d'ADN tellement souvent rencontrés dans les séries policières. Les applications de la biométrie relèvent désormais de trois principales catégories: la police scientifique, les pouvoirs publics (passeports, cartes d'identité, immatriculation des électeurs, etc.) et le domaine commercial (par exemple, systèmes d'accès au réseau, guichets automatiques bancaires, traitement des cartes de crédit et reconnaissance du visage sur les logiciels de photos).

Pour veiller à ce que les systèmes d'identification biométrique soient fiables, sécurisés, interopérables et faciles à utiliser, il est manifestement impératif de mettre au point des normes internationales. Les pouvoirs publics, notamment, ne vont guère accepter un système non normalisé qui serait proposé par un seul fabricant. Tous doivent être d'accord sur les traits biométriques à mesurer et être sûrs que les mesures retenues pourront établir une distinction entre deux individus. Des normes s'imposent également pour protéger les données biométriques, tant pour veiller à la confidentialité que pour empêcher les attaques qui pourraient donner lieu à une utilisation frauduleuse ou à une usurpation d'identité. L'objectif fondamental de la normalisation est de créer des systèmes biométriques dont l'installation sera plus rapide, l'exploitation plus économique et l'utilisation plus fiable.

Les organisations normatives

Alors que les premières normes biométriques ont été établies par les Etats et les organismes de police dans les années 80 pour échanger des données sur les empreintes digitales, l'accélération du rythme de la normalisation n'a commencé qu'en 2002. A l'heure actuelle, plusieurs organisations nationales et internationales procèdent à l'élaboration de ces normes. Parmi ces organisations figurent l'Organisation internationale de normalisation (ISO), la Commission électrotechnique internationale (CEI), le Secteur de la normalisation des télécommunications de l'UIT (UIT–T). Les grands groupes industriels mettent eux aussi au point des normes à l'appui des objectifs de leurs membres, alors que les organismes spécialisés des Nations Unies, tels que l'Organisation de l'aviation civile internationale (OACI) et l'Organisation internationale du travail (OIT), mettent au point des normes relevant de leurs domaines respectifs qui n'auraient pas été prises en compte par d'autres organisations. Plus particulièrement, l'OACI est chargée de la normalisation des titres de voyage à lecture optique, y compris les passeports électroniques, alors que l'OIT a établi des lignes directrices sur les titres d'identité biométriques pour les gens de mer.

Le Comité technique mixte ISO/CEI a mis au point plus de 30 normes internationales relatives à la biométrie depuis la création de son Sous-Comité 37 sur la biométrie en juin 2002. Les travaux du comité mixte sur les normes biométriques sont également menés au sein de son Sous- Comité 27 sur les techniques de sécurité informatiques (concernant la protection des modèles, la sécurité algorithmique et l'évaluation de la sécurité), et du Sous-Comité 17 sur les cartes d'identité et l'identification.

Au sein de l'UIT–T, les travaux sur la biométrie ont commencé en 2001, sous la houlette de la Commission d'études 17 de l'UIT–T qui coordonne l'ensemble de ces travaux pour toutes les commissions d'études. Plus particulièrement, la Commission d'études 17 de l'UIT–T est chargée de réfléchir à la gestion de l'identité, c'està- dire aux méthodes techniques permettant d'identifier les particuliers et de protéger ces identités. Le rythme des travaux s'accélère dans l'optique de répondre au souci actuel de mettre en place une infrastructure, des services et des applications de réseau plus sécurisés. Manifestement, les applications de télécommunications utilisant les terminaux mobiles et les services Internet exigent des méthodes d'authentification non seulement très sécurisés, mais aussi pratiques à utiliser. Plus de 70 recommandations UIT–T relatives à la sécurité ont été publiées.

Les systèmes biométriques

Tous les systèmes biométriques comportent un élément de stockage de données biométriques des particuliers liées à une information sur leur identité. On y trouve également un senseur qui capte les données biométriques de cette personne. L'échantillon des données captées est comparé avec un modèle de référence et une décision intervient alors pour déterminer s'il y a correspondance. En télébiométrie, les voies de communication entre ces différents éléments d'un système biométrique peuvent se faire par télécommunications câblées ou sans fil, ou par des réseaux privés ou publics, y compris l'Internet. Que la caractéristique biométrique mesurée soit physiologique (l'ADN, par exemple) ou qu'elle mesure un comportement (la reconnaissance de la frappe au clavier, par exemple), chaque personne est la seule à laquelle correspond cette caractéristique. De plus, la caractéristique biométrique doit être invariable sur une certaine durée et doit être mesurable.

Quelques méthodes biométriques
2 3 4 5
Empreintes digitales Reconnaissance de l'iris ADN Reconnaissance de la frappe au clavier

La Recommandation UIT–T X.1081, «Le modèle télébiométrique multimodal — Cadre général pour la spécification des aspects de sécurité et d'innocuité de la télébiométrie » est la première norme biométrique à être publiée. Elle offre un modèle qui peut servir de cadre pour identifi er et préciser les aspects de la télébiométrie relatifs à la sécurité et pour classer les technologies biométriques utilisées pour l'identification. Le modèle multimodal englobe les interactions entre les traits tant physiques que comportementales et l'environnement, donnant lieu à une taxonomie de plus de 1 600 combinaisons d'unités de mesure, de modalités et de domaines d'étude. Le modèle s'appuie sur des travaux théoriques antérieurs sur la manière dont les êtres humains dialoguent avec leur environnement et sur la série de normes internationales ISO/CEI 80000, précisant les quantités et unités de toutes les formes connues de mesure de l'ampleur des interactions entre les personnes et leur environnement.

Plus de 50 pays délivrent à leurs ressortissants des passeports à lecture optique stockant des données biométriques pouvant servir à vérifier l'identité à la frontière. Une représentation du visage et éventuellement une représentation numérique des empreintes digitales ou de l'iris sont stockées sur une minuscule puce d'identification par radiofréquence (RFID), information qui peut être comparée avec celle stockée dans une base de données biométriques. Le Groupe mixte d'experts de la photographie (JPEG) — Groupe de travail mixte de l'ISO/CEI et de l'UIT — est responsable des familles JPEG, JPEG2000, JPSearch et JPEG XR de normes relatives à l'image. Il s'agit de méthodes de compression des images, généralement utilisées pour stocker une photo numérique sur la puce d'un passeport électronique. Les normes relatives aux formats JPEG ou JPEG2000 figurent respectivement dans les Recommandations UIT–T T.81 et T.800, mises au point par la Commission d'études 16 de l'UIT–T. JPEG XR (ISO/CEI 29199-2) est désormais une norme internationale que l'on trouve dans la Recommandation UIT–T T 832. C'est la spécification d'un format d'image codée, conçue essentiellement pour le stockage et l'échange d'images à tons continus.

Sécurisation des donnéese

     
6
Plus de 50 pays délivrent désormais des passeports stockant des données biométriques
 

Une clé, ça se perd, ça se vole, ça se copie. Un mot de passe, ça peut s'oublier. On estime généralement que les caractéristiques biométriques ont l'avantage d'être virtuellement impossibles à voler ou à oublier, et difficiles à deviner. Les systèmes biométriques restent pourtant vulnérables face à une attaque. Tout élément du système biométrique peut être la cible d'une attaque: le senseur, l'extracteur de traits, les modèles de référence biométriques stockés, la décision finale. L'attaque peut également viser à contourner le senseur biométrique ou à trafiquer l'extracteur de traits ou le modèle de référence.

On a de plus en plus recours à la biométrie pour compléter ou remplacer les systèmes d'authentification classiques, tels que les numéros d'identification personnelle (NIP) ou le mot de passe. Cela étant, les données biométriques ne peuvent rester confidentielles. Il est facile de photographier un visage, d'enregistrer une voix ou de copier une signature. La biométrie fait intervenir une information personnelle hautement sensible, mais la sécurité du système d'authentification ne peut assurer la confidentialité des données biométriques. Un système doit veiller à l'intégrité et à l'authenticité des données biométriques afin de pouvoir fonctionner efficacement et des mesures de protection additionnelles s'imposent pour assurer la confidentialité.

Pour veiller à la sécurité de l'authentification, les Recommandations UIT–T X.1084 et X.1085 spécifient neuf protocoles d'authentification pour la télébiométrie et décrivent des profils de protection, alors que la Recommandation UIT–T X.1086 donne des directives sur les contre-mesures à mettre en place pour assurer la sécurité de l'environnement et la confidentialité. La Recommandation UIT–T X.1087 établit des procédures de protection des données biométriques multimodales contre toute tentative visant à intercepter, modifier ou remplacer les données. Au nombre des procédures fi- gurent notamment l'encryptage, le filigranage et la transformation des données. Deux autres normes, les Recommandations UIT–T X.1088 et X.1089, fournissent l'une un cadre pour la production et la protection des clés biométriques numériques et l'autre une manière de gérer l'authentification biométrique.

Moteur de la croissance: utilisations commerciales et utilisations par les pouvoirs publics

Les progrès des TIC, l'amélioration des performances et l'existence de matériel à moindre coût ont facilité le recours à la reconnaissance automatisée biométrique. A l'avenir, les services de commerce, de santé et d'administration électroniques pourraient exiger une authentifi cation qui ferait appel à des documents biométriques délivrés par les pouvoirs publics. Certains pays en développement, par exemple, ont déjà commencé à utiliser la biométrie pour établir leurs listes d'électeurs à l'occasion d'une élection, et ce, afin de résoudre le problème des listes périmées et faire échec à la fraude électorale

Les études prévisionnelles des marchés sur les dépenses consacrées à la biométrie sont dans l'ensemble prometteuses. La croissance devrait provenir essentiellement des applications commerciales et de l'utilisation par les pouvoirs publics; les secteurs de la biométrie et des puces intelligentes profiteront en effet des décisions des pouvoirs publics de recourir à la biométrie pour les titres d'identité électroniques. D'un montant estimé à 3 milliards USD en 2008, les études de marché prévoient un investissement de 7,3 milliards USD dans les technologies biométriques d'ici à 2013.

Parallèlement aux empreintes digitales, qui resteront le trait biométrique prédominant, l'on s'attend à l'apparition de systèmes de reconnaissance du visage, de l'iris, de la main et de la parole, qui seront largement adoptés dans des applications biométriques.

Et maintenant?

Dans la mesure où les normes mettent en place des critères communs et donnent des directives pour la protection de la confidentialité, elles permettent le développement efficace de systèmes biométriques. Grâce à des accords concernant le format des données et les interfaces de logiciels, on pourra réduire le coût de l'élaboration des systèmes. De plus, l'établissement de normes régissant l'application de la biométrie et les tests d'exactitude aident à faire le point des vulnérabilités et facilitent la recherche de contre-mesures pour parer aux attaques.

Outre qu'elles sont universelles et uniques en leur genre, les caractéristiques biométriques devraient être raisonnablement permanentes et faciles à recueillir et à mesurer. Un système biométrique se doit de donner des résultats exacts dans des circonstances environnementales variées, et ne pas prêter le flanc aux contrefaçons. Peut-être l'aspect le plus crucial d'un système biométrique est-il son acceptation par le grand public. Pour des raisons évidentes, les méthodes non intrusives sont plus faciles à accepter que les techniques intrusives. Bien que l'ADN soit jugée être le trait biométrique suprême pour l'identification d'une personne (autre qu'un vrai jumeau), l'identification par ADN est trop intrusive pour être d'une utilisation généralisée pour authentifi er l'identité. La thermographie faciale, qui détecte des structures thermales créées par les vaisseaux sanguins et émises par la peau est une méthode certes non intrusive mais elle est bien trop coûteuse. Au nombre des mesures biométriques que l'on envisage actuellement d'exploiter à l'avenir figurent le pouls, l'odorat, la composition de la peau, la structure du lit d'ongle, la démarche et la configuration de l'oreille. Des recherches plus approfondies s'imposent pour déterminer si l'une ou l'autre de ces mesures sera privilégiée.

Quel que soit le système utilisé, celui-ci doit être sécurisé, garantir la confidentialité et donner des résultats exacts. Un système qui ne serait pas sécurisé ou qui serait intrusif ou peu fiable saperait la confiance du public et pourrait aboutir à une méfiance généralisée envers les techniques de reconnaissance biométriques. L'élaboration de normes internationales est une stratégie essentielle pour garantir le bon choix et la bonne utilisation des méthodes biométriques. En moins d'une décennie, d'énormes progrès ont été faits pour améliorer les senseurs biométriques, les algorithmes et les procédures, mais il reste des points vulnérables dont il va falloir s'occuper. Il reste impératif de protéger la confidentialité et de garantir les données biométriques sensibles.

 


* Le présent article s'appuie sur le rapport «Biométrie et normes» publié en décembre dans la série Veille technologique du Secteur de la normalisation des télécommunications (UIT–T). Les rapports de cette série sont établis par la Division chargée de l'élaboration des politiques et de la veille technologique du Secteur UIT–T. Ces rapports font le point des technologies émergentes pour déterminer leurs incidences sur les membres de l'UIT, et notamment les pays en développement, et pour identifier les candidats à la normalisation. Ces rapports peuvent être consultés et téléchargés sur le site www.itu.int/ITU-T/techwatch.

 

  Page précédente Version imprimable Début de page Envoyer ce lien à un ami Page suivante © Droits d'auteur pour les Nouvelles de l'UIT 2019
Deni de responsabilité - Protection des données privées