FLASH INFORMATIQUE FI



Biométrie et documents d’identité




Andrzej DRYGAJLO


Une nouvelle génération de titres d’identité électroniques émerge dans les pays occidentaux. Certains comportent des données biométriques afin d’assurer un meilleur contrôle de l’identité de leur titulaire. D’autres intègrent des fonctions d’authentification et de signature électroniques afin de promouvoir le développement de l’administration et du commerce électroniques. Dans la mesure où ils sont susceptibles de donner lieu à des traitements automatisés de données à caractère personnel, leur développement éventuel doit être entouré de garanties préservant les libertés individuelles.
A la suite des attentats du 11 septembre 2001, l’Organisation de l’Aviation Civile Internationale (OACI), l’Union européenne, la Suisse et de nombreux États, au premier rang desquels les États Unis, ont décidé d’insérer dans les passeports des puces électroniques sécurisées comportant des données biométriques numérisées, notamment la photographie, pour identifier avec certitude leur détenteur et lutter ainsi contre une fraude documentaire qui favorise l’immigration irrégulière, la criminalité organisée et les activités terroristes.
Les technologies biométriques ouvrent de nouvelles possibilités. Sujet de controverse, la biométrie est pourtant déjà une réalité. Elle s’impose d’ores et déjà comme un instrument fort de sécurisation des documents. Toutefois, la plus-value en terme de sécurité reste mal évaluée. La biométrie n’est pas une solution miracle ; son efficacité dépend de nombreux facteurs.

Identité et biométrie

Même si on retrouve le processus d’identification des individus dans toutes les sociétés humaines, sa logique n’a toutefois pas cessé d’évoluer. Les processus d’identification permettant l’assignation à chacun d’une identité reconnaissable sont peu à peu passés de la simple reconnaissance fondée sur les éléments descriptifs, que l’on peut qualifier d’identité sociale (nom, prénoms, date de naissance, sexe, nationalité, filiation, etc.), au développement de techniques d’identification indirecte de plus en plus perfectionnées (documents d’identité sur support papier, documents d’identité sécurisés, et aujourd’hui documents d’identité numériques comportant des identifiants biométriques). Généralement, pour prouver son identité il existe trois moyens :

  1. ce que l’on possède (carte, badge, document),
  2. ce que l’on sait (mot de passe) et
  3. ce que l’on est (biométrie).

La biométrie permet de compléter les deux premiers moyens par des éléments objectifs intrinsèquement liés à la personne, des plus visibles (couleur des yeux et des cheveux, taille) aux moins visibles (empreintes digitales, iris, etc.). L’évolution de nos sociétés conduit de plus en plus à considérer le corps humain comme élément constitutif de l’identité. L’insertion de la biométrie dans les documents d’identité prend en effet tout son sens dans un contexte où l’identité sociale est changeante et où le besoin d’identification sans équivoque se fait pressant. L’identification certaine d’un individu par le biais d’une identité universellement reconnaissable, fixe et inaltérable est devenue une préoccupation majeure.
Le terme biométrie est de plus en plus utilisé pour définir les techniques permettant d’identifier une personne à partir de l’un ou plusieurs de ses caractères biologiques ou comportementaux.
En effet, chaque être humain se distingue de ses semblables par un ensemble de caractéristiques physiques qui rendent son identification possible. Le cerveau humain effectue en permanence des opérations de reconnaissance biométrique, notamment de reconnaissance faciale. Les informations sur les particularités du visage sont comparées à notre mémoire afin d’y associer un nom.
Les technologies biométriques fonctionnent d’une façon similaire. Couplée à des traitements informatisés de plus en plus puissants, la biométrie peut permettre l’identification d’un individu parmi plusieurs millions de manière automatisée. La précision du système varie selon le type et le nombre d’éléments biométriques utilisés.
En effet, les données biométriques sont de plusieurs types, chacune présentant des avantages et des inconvénients en fonction de l’usage qui en est fait. Les principales techniques biométriques sont fondées sur l’analyse morphologique (empreintes digitales ou palmaires, iris de l’oeil, morphologie du visage, géométrie de la main, dessin du réseau veineux de la main), l’analyse de traces biologiques (ADN, sang, salive) et l’analyse d’éléments comportementaux (signature, démarche).
Schématiquement, les systèmes biométriques se proposent de comparer deux (vérification) ou plusieurs (identification) échantillons et de déterminer automatiquement s’il y a ou pas ressemblance des échantillons. À partir de cette ressemblance ou de cette différence, on conclut que les deux échantillons apparentés proviennent de la même personne ou, au contraire, en cas de non-apparentement que les échantillons ne proviennent pas de la même personne.
L’individu est ainsi sollicité à deux reprises, lors du prélèvement du premier échantillon qui servira de référence et lors du prélèvement du second échantillon qui sera comparé au précédent. Il est, en effet, communément admis que le processus des systèmes biométriques comporte deux phases : l’enrôlement au cours duquel l’information biométrique d’une personne est ajoutée au système et la vérification / identification au cours de laquelle une nouvelle information biométrique est comparée à celle(s) déjà enregistrée(s), cette comparaison, automatisée, devant en principe avoir lieu dès la saisie de la seconde information.
La composante biométrique des documents d’identité n’est pas à proprement parler une nouveauté. Les passeports et cartes d’identité comportent en effet déjà des données telles que l’image du visage, la taille, la couleur des yeux ou encore la signature du titulaire. Jusqu’alors toutefois, ces données font rarement l’objet d’une numérisation ou de la constitution d’un fichier. D’autre part, depuis plus de vingt ans, les technologies biométriques automatiques se sont étendues au secteur de la sécurité dans le but de surveillance des sites sensibles et de contrôle des accès.

Le contexte de l’introduction de la biométrie dans les documents d’identité

L’introduction de la biométrie dans les documents d’identité témoigne, outre du besoin croissant d’une identification la moins faillible possible, d’une volonté de contrôler les déplacements des individus en société. La fraude à l’identité est aussi ancienne que le besoin d’identification des individus. Cette fraude peut en pratique revêtir plusieurs formes : l’identité fictive, l’usurpation d’identité, l’échange d’identité ou encore l’utilisation de l’identité d’une personne décédée. La fraude aux titres d’identité est généralement utilisée pour commettre d’autres infractions : ouvrir un compte bancaire, souscrire un emprunt, bénéficier de prestations sociales, quitter le territoire national, échapper aux recherches de la police, etc. Le développement et la mondialisation de la fraude à l’identité posent des difficultés inédites. Les modes traditionnels de preuve de l’identité sont affaiblis. La notion de nom patronymique est de moins en moins pertinente pour s’assurer de l’identité des personnes.
La biométrie offre a priori des réponses à ce défi :

  • d’une part, elle est universelle, chaque être humain pouvant être identifié de la sorte quelle que soit sa culture et quel que soit son âge ;
  • d’autre part, elle garantit l’unicité de la personne en établissant un lien unique entre la donnée biométrique et son porteur, la robustesse de ce lien pouvant résister, à certaines conditions, à la comparaison de plusieurs centaines de millions d’individus entre eux ;
  • surtout, les progrès de l’informatique ouvrent de nouvelles possibilités pour son utilisation.

Le traitement informatisé de la biométrie ouvre la voie à la notion d’identité biométrique. Cette identité ne se substituerait pas à l’identité au sens classique. L’état civil resterait la base de l’identité, mais la biométrie rendrait l’identité indissociable d’un processus technique d’identification.
Toutefois, il ne faut pas confondre identité numérique et identité biométrique. L’identité numérique, c’est-à-dire la numérisation des données relatives à l’identité d’une personne, notamment sur un support tel qu’une puce, peut se concevoir sans biométrie. La biométrie présente des enjeux spécifiques.

Des développements nouveaux que la Suisse ne peut ignorer

Trois contraintes convergentes imposent désormais à la Suisse la mise en place rapide d’un premier document d’identité : passeport biométrique.
En premier lieu, en application d’un règlement du 13 décembre 2004, les états membres de l’Union européenne devront, à partir du 28 août 2006, délivrer des passeports incluant une donnée biométrique sur une puce : la photographie faciale. L’introduction d’une seconde donnée biométrique, les empreintes digitales, interviendra dans un délai de 36 mois à compter de l’adoption des spécifications techniques qui ne sont pas encore arrêtées.
En deuxième lieu, la recommandation adoptée le 9 mai 2003 par l’Organisation de l’Aviation Civile Internationale (OACI) prévoit l’intégration avant 2015 d’au moins une donnée biométrique dans les documents de voyage : la photo numérisée serait obligatoire, mais des données biométriques supplémentaires resteraient optionnelles (empreintes digitales, iris de l’oeil).
En dernier lieu, et c’est sans doute la contrainte la plus importante, les États-Unis imposent aux vingt-sept pays qui bénéficient du programme américain d’exemption de visa, une échéance précise pour la mise aux normes de l’OACI des passeports. Fixée au 26 octobre 2006, cette échéance est sanctionnée par le rétablissement des visas à l’encontre des ressortissants détenteurs d’un passeport, délivré après cette date, ne comportant pas au minimum une donnée biométrique (la photographie faciale). Toutefois, les passeports lisibles en machine délivrés avant cette date continueront d’exempter de la présentation d’un visa.
Une piste pour améliorer la protection de l’identité de nos concitoyens consisterait à ne retenir comme documents valant titre d’identité, que ceux dont les conditions de délivrance sont les plus sûres : le passeport et la carte d’identité. La question de la fusion de ces deux documents mérite également d’être étudiée même si elle soulève des difficultés juridiques et pratiques.

Passeport 06 - le passeport suisse de la nouvelle génération



Il sera possible de demander le passeport 06 au plus tôt le 4 septembre 2006. En apparence, ce dernier ne se différencie pratiquement pas du passeport 03. On le distingue grâce au symbole, reconnu dans le monde entier, figurant sur la page de couverture et indiquant que le passeport contient des données lisibles électroniquement. La couverture du passeport 06 est plus épaisse et plus dure que celle du modèle précédent en raison de la puce très plate et de l’antenne qui y sont intégrées.
La puce contient, outre les données qui sont imprimées dans le passeport, une photo numérisée qui est la même que celle figurant dans le passeport. Ces données peuvent être lues par les appareils de lecture à une courte distance, pour autant que l’appareil dispose de la clé nécessaire à la procédure de contrôle Basic Access Control.
De cette façon, il est possible de comparer électroniquement l’image numérisée du visage à celle de la personne qui présente le passeport, par exemple lors du franchissement de la frontière.
La vérification de l’identité est donc effectuée de façon automatisée. Les falsifications de passeports et les voyages effectués avec un passeport qui n’est pas le sien sont devenus plus difficiles. La protection des données et la sécurité des informations sont garanties grâce à des signatures électroniques et des clés.

La nouvelle génération de passeports munis de données biométriques enregistrées électroniquement est introduite dans le cadre d’un projet pilote. Quelque 100 000 passeports de ce type seront émis chaque année. Afin d’éviter des investissements démesurés, inévitables au vu de l’évolution fulgurante que connaît actuellement la technologie utilisée, le Conseil fédéral a décidé de renoncer à l’introduction immédiate, à l’échelon national, des passeports biométriques et a opté pour ce projet pilote, limité dans le temps et à capacité restreinte. Les développements réalisés et les expériences faites durant le projet pilote pourront ensuite être utilisés lors de l’introduction du passeport biométrique au niveau national.

Les risques relatifs à la fiabilité et l’utilisation des données biométriques

Face à l’impatience des Américains, de plus en plus d’experts n’hésitent pas à mettre en garde contre une intégration trop hâtive des techniques biométriques dans les documents d’identité. Il est vrai que l’utilisation à grande échelle de ces techniques soulève encore un certain nombre d’interrogations. Sur la fiabilité tout d’abord, puisque même la technique de reconnaissance par l’iris, pourtant réputée la plus fiable, ne présente pas un taux de réussite de 100%. Appliqué à des populations de plusieurs dizaines de millions d’individus, un système biométrique doit prendre en compte ses propres faiblesses dès sa conception.
En effet, les études scientifiques et les premiers retours d’expérience à grande échelle évaluent à 2-3% la fraction d’une population inadaptée à l’utilisation d’un type de données biométriques, par exemple, dans le cas des empreintes digitales, il peut s’agir de personnes aux mains coupées, ayant travaillé le ciment ou ayant eu les doigts attaqués par des acides. D’autre part, les empreintes digitales, à la différence d’autres données biométriques, laissent des traces qui peuvent être exploitées pour l’identification des personnes et que dès lors toute base de données d’empreintes digitales est susceptible d’être utilisée à des fins étrangères à sa finalité première.
Assez simples pour les empreintes digitales, les conditions d’acquisition de l’image sont plus contraignantes concernant le visage et l’iris. Dans les deux cas, c’est une caméra qui est chargée de l’opération. Pour le visage, il faut que le sujet soit fixe et les conditions d’environnement standard (fonds uniforme, éclairage suffisant) pour que les systèmes automatiques de reconnaissance donnent de bons résultats. La capture de l’iris nécessite une contrainte supplémentaire : du fait de la petite taille de l’iris, la camera doit en effet se situer à une certaine distance, fixe, de l’oeil. Le dispositif d’acquisition doit donc exploiter un retour d’information visuel pour permettre aux personnes de positionner elles-mêmes leur oeil.
En outre, sur de grandes populations, les risques d’erreur sont statistiquement accrus. La probabilité que deux caractéristiques biométriques soient identiques ou soient si proches que le traitement informatique les confonde est plus importante. En théorie, ce risque met à mal le principe d’unicité qui relie un individu à une donnée biométrique. En pratique, ce problème peut être réglé, la probabilité variant selon la technique utilisée.
Pour ces différentes raisons, l’utilisation d’au moins deux données biométriques semble nécessaire, par exemple, le visage et les empreintes digitales constituent un bon compromis. Ce choix permet de couvrir l’ensemble de la population et de réduire considérablement les erreurs du système (fausse acceptation ou faux rejet). Il convient également d’enrôler les empreintes digitales de plusieurs doigts afin de réduire la probabilité que deux personnes présentent des caractéristiques biométriques très proches.
Autre souci : les industriels tardent à standardiser leurs technologies. Or, il faudra bien à l’avenir qu’une empreinte digitale numérisée par exemple par du matériel français puisse être interprétée aux États-Unis par du matériel américain.
À ces inquiétudes purement techniques viennent enfin s’ajouter des questions d’ordre pratique : temps nécessaire aux phases d’enrôlement et de vérification, coût global du processus, réaction du public, aspects pratiques et éthiques inhérents à la création de grandes bases de données biométriques.
En conclusion, la biométrie offre des solutions nouvelles pour mieux sécuriser les documents d’identité. Elle est toutefois complexe à mettre en oeuvre et nécessite au préalable une réflexion globale pour être performante. Elle ne doit pas non plus être considérée comme une solution miraculeuse. En tout état de cause, sa mise en oeuvre exige de la prudence. Telles sont les raisons pour lesquelles un éventuel recours intensif à la biométrie pourrait faire l’objet d’une introduction progressive, ou être précédé d’une phase de recherche et d’expérimentation.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.