Le mot biométrie signifie littéralement « mesure du vivant » et désigne dans un sens très large l'étude quantitative des êtres vivants. Parmi les principaux domaines d'application de la biométrie, on peut citer l'agronomie, l'anthropologie, l'écologie et la médecine.

L'usage de ce terme se rapporte de plus en plus à l'usage de ces techniques à des fins de reconnaissance, d'authentification et d'identification, le sens premier du mot biométrie étant alors repris par le terme biostatistique.

La biométrie est la vérification de l'identité d'un individu par ce qu'il est, c'est-à-dire en utilisant des caractéristiques physiques ou comportementales.

Différentes significations

modifier

Étude quantitative des êtres vivants

modifier

Durant tout le XXe siècle, le mot « biométrie » a été utilisé quasi exclusivement dans le sens très large de l'« étude quantitative des êtres vivants », notamment à l'aide des méthodes statistiques. C'est dans cette optique que la revue Biometrika paraît depuis 1901 et que The International Biometric Society[1] (Société internationale de biométrie) a été fondée en 1947[2],[3].

On peut mentionner aussi les revues Biometrics Bulletin (devenue Biometrics (en)) et Biometrische Zeitschrift (devenue Biometrical Journal), lancées respectivement en 1945 et 1959, ainsi que l'existence d'un nombre important de sociétés et groupes nationaux de biométrie.

Identification des personnes

modifier

Depuis le début du XXIe siècle, le mot « biométrie » est utilisé également dans le sens plus restrictif de l'« identification des personnes » en fonction de caractéristiques biologiques, telles que les empreintes digitales, les traits du visage, etc. ou de caractéristiques comportementales, telles que la reconnaissance vocale, la signature, la démarche, etc.

Informations complémentaires

modifier

En anglais, la distinction entre les deux acceptions du mot « biométrie » est parfois faite en utilisant respectivement « biometry (en) » dans le premier cas et « biometrics (en) » dans le deuxième cas. Dans le premier cas, le mot « biostatistique » (en anglais : « biostatistics ») est aussi considéré dans une certaine mesure comme équivalent de « biométrie », en particulier dans le domaine médical.

On pourrait ajouter qu'au cours du XIXe siècle, le mot « biométrie » avait déjà été utilisé, sans réelles bases scientifiques, dans l'optique de la recherche des « vibrations vitales », en vue de mesurer des degrés de vie, de santé et de maladie[4].

Identification des personnes

modifier

En France, le CLUSIF définit sa propre acception du mot « biométrie » :

« étude mathématique des variations biologiques à l'intérieur d'un groupe déterminé ». Les techniques d'identification par la biométrie servent principalement à des applications dans le domaine de la sécurité, comme le contrôle d'accès automatique, un tel dispositif étant qualifié de « système de contrôle biométrique ». L'État français et d'autres étudient également les applications militaires des nanotechnologies.
« Un système de contrôle biométrique est un système automatique de mesure basé sur la reconnaissance de caractéristiques propres à l'individu » (d'après le CLUSIF).

Ce contrôle des individus aux moyens de technologies mises au service de sociétés privées ou publiques pose cependant des questions éthiques car la Commission nationale de l'informatique et des libertés et les citoyens disposent de peu de moyens pour en contrôler l'utilisation et éviter les éventuels abus.

Analyse morphologique

modifier

L'analyse morphologique peut se pratiquer avec les empreintes digitales, l'iris, le réseau vasculaire de la rétine ou de la paume de la main, la morphologie de la main, le poids, ainsi qu'avec les traits du visage.

Les deux moyens biométriques principaux sont les empreintes digitales et l'iris.

Les empreintes digitales

modifier
Clé USB à reconnaissance biométrique d'empreintes digitales

Une empreinte digitale est le dessin formé par les lignes de la peau des doigts, des paumes des mains, des orteils ou de la plante des pieds. Ce dessin se forme durant la période fœtale. Il existe deux types d’empreintes : l'empreinte directe (qui laisse une marque visible) et l'empreinte latente (saleté, sueur ou autre résidu déposé sur un objet). Elles sont uniques et immuables, elles ne se modifient donc pas au cours du temps (sauf par accident comme une brûlure par exemple). La probabilité de trouver deux empreintes digitales similaires est de 1 sur 1024. Les jumeaux homozygotes auront des empreintes très proches[réf. nécessaire] mais pas identiques.

Elles sont composées, de façon rudimentaire, de terminaisons en crêtes, soit le point où la crête s’arrête, et de bifurcations, soit le point où la crête se divise en deux.

Le noyau est le point intérieur, situé en général au milieu de l’empreinte. Il sert souvent de point de repère pour situer les autres minuties. D’autres termes sont également rencontrés : le lac, l’île, le delta, la vallée, la fin de ligne… Ces caractéristiques peuvent être numérisées. Une empreinte complète contient en moyenne une centaine de points caractéristiques mais les contrôles ne sont effectués qu'à partir de 12 points. Il est quasiment impossible de trouver deux individus présentant 12 points caractéristiques identiques, même dans une population de plusieurs millions de personnes.

Reconnaissance de l’iris

modifier

L’utilisateur doit fixer l’objectif d'une caméra numérique qui balaie l’iris d’une personne d’une distance de 30 à 60 cm, et acquiert directement son dessin. Elle le compare ensuite à un fichier informatisé d’identification personnelle (les systèmes de comparaison en usage aujourd’hui sont en mesure de fouiller une banque de données à la vitesse de plusieurs millions de codes iridiens par seconde).

Or, l'iris est un organe sensible, sa taille est petite et il est obscurci par les cils, les paupières ou les lentilles de contact. De plus, elle est variable et les utilisateurs ont tendance à bouger. Il est donc assez difficile d'avoir une bonne image de l'iris, il faut que ce soit rapide, précis et qu'il n'y ait pas de lumière pouvant se refléter sur l’œil.

La prise de vue de l'iris est effectuée le plus souvent par une caméra (caméra CCD monochrome 640 × 480) employée avec une source de lumière de longueur d’onde comprise entre 700 et 900 nm, invisible pour les humains.

D’autres systèmes emploient une caméra à large vision qui permet la localisation des yeux sur le visage, puis une autre caméra avec une vision étroite prend des images des yeux (il y a une plus grande résolution) avec un capteur classique et un objectif macro. Les différentes contraintes, en particulier de l'éclairage, imposent une proximité entre le capteur et l’œil (30 à 60 cm), car plus l’œil est éloigné plus il y a de problèmes. Il faut également tenir compte des reflets ponctuels, de la non-uniformité de l’éclairage, et des images de l’environnement qui se reflètent sur l’iris. On utilise alors un éclairage artificiel (diodes DEL) infrarouge, tout en atténuant le plus possible l’éclairage ambiant.

Pour le traitement numérique, la méthode employée est celle de John Daugman : après la numérisation de l’image de l’œil, le logiciel détermine le centre de la pupille et le contour de l’iris. Puis sur ces deux données le logiciel établit des bandes de tailles égales (la taille varie selon la dilatation de la pupille) pour former un fichier « gabarit », à partir de l’analyse de la texture de l’iris. Le fichier formé est un code iridien accompli grâce à l'algorithme de Daugman.

Reconnaissance de visage

modifier

On peut identifier un individu en fonction de ses caractéristiques faciales en effectuant des mesures : écartement des yeux, arêtes du nez, commissures des lèvres, oreilles, menton. Ces différentes caractéristiques sont analysées par les systèmes de reconnaissance faciale et comparées à une base de données existante. Cette méthode permet d’identifier une personne ou de vérifier une identité[5].

Le système évolue et l’on peut maintenant reconnaître des visages en mouvement, vu de profil et on peut aussi désormais vieillir un visage.

Reconnaissance veineuse

modifier
Scanner de l'empreinte veineuse pour une identification biométrique

On peut identifier un individu en fonction de ses caractéristiques veineuses en scannant son réseau veineux : doigts ou paume de main. L'individu pose son doigt ou sa paume sur un scanner composé de leds et de caméras ce qui permet d'obtenir une empreinte veineuse unique et propre à chaque individu. Les veines sont uniques et immuables ce qui permet d'avoir une cartographie des veines identique de la naissance au décès. Les veines ne se modifient pas au cours du temps (sauf par accident comme une coupure par exemple). Le Dr Sébastien Marcel de Idiap Research Institut de Martigny, spécialiste en biométrie, a fait le test sur des jumeaux monozygotes et a prouvé qu'elles sont très différentes[6]. Pour identifier et authentifier un individu, il suffit de comparer l'empreinte veineuse à celle enregistrée dans la base de données[7]. Cette méthode permet d’identifier une personne ou de vérifier son identité. La particularité de cette biométrie est qu'elle est cachée donc elle nécessite une action volontaire de l'individu.

Analyse biologique

modifier

Une deuxième technologie biométrique recourt aux analyses biologiques (odeur, groupe sanguin, salive, urine, analyse ADN…)[8].

Analyse comportementale

modifier

Outre les caractéristiques physiques et biologiques, un individu possède également plusieurs éléments liés à son comportement qui lui sont propres :

  • dynamique des frappes au clavier (keystroke-scan) : pour identifier une personne grâce à son style de frappe, la frappologie mesure des paramètres comme le temps de pression sur chaque touche, le temps de relâchement, le temps de vol entre deux touches ou encore le nombre de doigts utilisés, selon Christophe Rosenberger, professeur à l'ENSICAEN et introducteur de cette discipline en France[9]. Les frappes au clavier sont influencées par plusieurs choses ; tout d'abord, selon le texte que l'on tape et, de manière plus générale selon sa nature, on aura tendance à modifier sa façon de taper au clavier. C'est d'ailleurs un des moyens utilisés par certaines attaques (timing attacks) pour essayer d'inférer le contenu ou la nature du texte tapé de façon à remonter jusqu'à un mot de passe par exemple. Cette technique de frappologie est assez satisfaisante mais reste néanmoins statistiques. Ensuite, le facteur comportemental entre en jeu, et ce facteur va être, lui, différent pour chaque individu. Les facteurs sont à peu de chose près identiques à ceux évoqués précédemment : ce sont les durées entre frappes, la fréquence des erreurs, durée de la frappe elle-même, etc. La différence se situe plus au niveau de l'analyse, qui peut être soit statique et basée sur des réseaux neuronaux, soit dynamique et statistique (comparaison continuelle entre l'échantillon et la référence).
  • reconnaissance vocale (voice-scan) : les données utilisées par la reconnaissance vocale proviennent à la fois de facteurs physiologiques et comportementaux. Ils ne sont en général pas imitables.
  • dynamique des signatures (signature-scan) : ce type de biométrie est à l'heure actuelle peu utilisé mais ses défenseurs espèrent l'imposer assez rapidement pour des applications spécifiques (documents électroniques, rapports, contrats…). Le procédé est habituellement combiné à une palette graphique (ou équivalent) munie d'un stylo. Ce dispositif va mesurer plusieurs caractéristiques lors de la signature, tels que la vitesse, l'ordre des frappes, la pression et les accélérations, le temps total, etc. Bref tout ce qui peut permettre d'identifier une personne de la façon la plus sure possible quand on utilise une donnée aussi changeante que la signature.

L'informatique ambiante utilise différents capteurs, dont éventuellement des « capteurs biométriques » pour permettre aux personnes de communiquer de manière plus intuitive avec les personnes (exemple : le projet SixthSense développé par Pranav Mistry au MIT).

Des systèmes informatiques peuvent aussi utiliser la biométrie pour la recherche de visage, de personnes dans une vidéo, des images, une foule, etc., avec des risques potentiels ou avérés pour la protection de la vie privée.

Analyse comportementale et morphologique

modifier

Biométries douces

modifier

Le terme de biométrie douce désigne les éléments que les humains utilisent pour se reconnaître, mais qui ne sont pas uniques et ne peuvent pas permettre une identification exacte. La couleur des yeux, des cheveux, la taille, le poids, font partie des biométries douces.

Problématique juridique attachée à la biométrie

modifier

Positionnement au regard des droits et libertés fondamentaux

modifier

La biométrie regroupe : « l’ensemble des techniques informatiques visant à reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales »[10]. Les données biométriques[11] sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.). Elles se rapprochent ainsi de ce qui pourrait être défini comme un « identificateur unique universel », permettant, de fait, le traçage généralisé des individus.

Il s’agit donc d’une question très sensible au regard des droits et libertés fondamentaux représentant juridiquement l'ensemble des droits primordiaux pour l'individu, assurés dans un État de droit et une démocratie. Ils recouvrent les droits de l'homme au sens large, les libertés publiques mais aussi de nouveaux droits comme les garanties procédurales retenues notamment au sein de la Convention de sauvegarde des droits de l'Homme et des libertés fondamentales (CESDHLF, usuellement appelée CEDH) du 4 novembre 1950.

La contextualisation au regard des enjeux de la biométrie

modifier

« Face au développement inexorable de la biométrie et à l’ouverture du monde sur les nano-technologies, la sensibilisation des individus et des juristes à cette question et la volonté d’agir maintenant apparaissent absolument nécessaires, dans 20 ans il sera trop tard… »

— Alex Türk, maître de conférence en droit public à la faculté de droit de l’université Lille-II, sénateur, membre et président (2004-2011) de la CNIL[12]

Ces propos démontrent clairement les inquiétudes juridiques inhérentes au développement de la biométrie lorsqu’on les contextualise dans le cadre de la théorie des droits et libertés fondamentaux. En effet, la biométrie bénéficie d’un essor rapide conjuguant une meilleure maîtrise des techniques et une forte demande sécuritaire[13]. Au regard du droit et des libertés fondamentaux, la biométrie oppose, à l’évidence, le droit individuel à la protection des données et au respect de la vie privée à l’exigence collective de sûreté. Elle invite donc à trouver un équilibre entre ces droits et intérêts légitimes[14].

Or, en l’absence d’un régime spécifique, l’essor récent de cette technique dans la vie quotidienne, les établissements scolaires, les entreprises et le champ de la sécurité[15] semble montrer que son encadrement juridique aboutit à un déséquilibre préjudiciable aux droits et libertés fondamentaux.

Le traçage électronique de l'individu

modifier

Le traçage électronique à travers le développement de la biométrie bouleverse la sphère des droits et libertés fondamentaux et le régime juridique de leur protection. L’individu contemporain est ainsi plongé dans un « monde de capteurs et de puces qui tracent quotidiennement les faits et gestes de sa vie sociale et personnelle »[16].

Une série de normes juridiques et différents « process » judiciaires et normatifs, étatiques comme européens[17], peuvent s’articuler afin de maîtriser les dérives de la biométrie offrant aux différents acteurs privés comme publics qui interviennent dans ce domaine, une lecture plus aisée et compréhensible des perspectives juridiques qui entourent aujourd’hui la biométrie.

Le champ d’application de la norme juridique

modifier

En raison de son autonomie, la théorie des droits et libertés fondamentaux ayant vocation à s’appliquer à l’ensemble de la science juridique, il ne s’agit d’occulter aucun champ de compétence normatif propre à poser un cadre juridique afférent à la biométrie. Le champ nous amène à considérer la sphère nationale et européenne. Toutefois, il est évident que certaines implications sont d’ordre mondial. Enfin, il convient de noter la mise en place du groupe de travail sur la protection des données dit G29[18] et ce jusqu’à nos jours; sans exclure les études juridiques ou positons historiques antérieures qui trouveraient leur utilité dans l’explication juridique du phénomène biométrique[19].

Critiques

modifier

La généralisation des systèmes de traçage des êtres humains suscite de nombreuses interrogations. Avec la vidéosurveillance, l'utilisation de la biométrie appliquée à l'homme (elle est déjà largement utilisée pour les animaux) pose des questions de bioéthique.

De plus, les technologies d'identification posent des problèmes qui leur sont particuliers, par exemple elles ne sont en général pas révocables : on ne peut pas changer ses empreintes digitales, son iris ou la forme de son visage aussi facilement qu'on change un mot de passe.

La biométrie présente malheureusement un inconvénient majeur ; en effet aucune des mesures utilisées ne se révèle être totalement exacte car il s'agit bien là d'une des caractéristiques majeures de tout organisme vivant : on s'adapte à l'environnement, on vieillit, on subit des traumatismes plus ou moins importants, bref on évolue et les mesures changent.

Les fabricants ne recherchent pas uniquement la sécurité absolue, ils veulent quelque chose qui fonctionne dans la pratique. Ils cherchent donc à diminuer le taux de faux rejets (False Rejection Rate, ou FRR), tout en maintenant un taux relativement bas de fausses acceptations (False Acceptation Rate, ou FAR). Un système fonctionnel aura un FRR le plus bas possible. D'autre part, une FA est le fait d'accepter une personne non autorisée. Cela peut arriver si la personne a falsifié la donnée biométrique ou si la mesure la confond avec une autre personne. Un système sûr aura un FAR le plus bas possible. Dans la vie courante, les industriels cherchent principalement à avoir un compromis entre ces deux taux, FRR et FAR tout en prenant en compte le temps de traitement des données biométriques et leurs stockages.

De manière générale, les faiblesses de ces systèmes ne se situent pas au niveau de la particularité physique sur laquelle ils reposent, mais bien sur la façon avec laquelle ils la mesurent, et la marge d'erreur qu'ils autorisent.

Perspectives de développement et de recherche

modifier

De nombreuses recherches se poursuivent dans le domaine de la biométrie. La mise à jour dynamique des modèles de reconnaissance est l'un de ces axes de recherche. On expérimente ainsi en milieu scolaire des mesures morphologiques de la main qui s'adaptent au développement naturel de l'adolescence sans avoir à effectuer de nouvelles mesures. Des travaux sont également menés sur des systèmes adaptatifs qui prennent en compte l'évolution de la voix.

En matière de capteurs, la reconnaissance du réseau veineux du doigt ou de la paume de la main fait aussi l'objet de recherches. Elle consiste en une analyse du réseau veineux du doigt.

Autre axe, la multimodalité, qui consiste à combiner des reconnaisseurs (voix et visages par exemple) pour améliorer la fiabilité globale d'un système. Il existe à ce jour des lecteurs multimodaux combinant l'empreinte digitale et le réseau veineux du doigt.

De nombreux travaux analysent les passe-partout biométriques, des données réelles ou fictives, comme des empreintes digitales, permettant d'usurper de nombreux individus. Aditi Roy étudie les passe-partout sous forme d'empreintes digitales partielles et non protégées afin d'obtenir un petit ensemble d'empreintes pouvant usurper de nombreux individus inconnus [20]. Tanguy Gernot travaille sur les passe-partout dans le cadre de données biométriques protégées, ce qui lui permet d'être compatible avec de nombreuses modalités biométriques [21]. Ces travaux continuent et permettent d'étudier la sécurité de la biométrie elle-même, qui reste peu prouvée.

Lecteurs biométriques pour le contrôle d'accès

La biométrie pour le contrôle d'accès

modifier

Le but de la biométrie dans le contrôle d'accès est de gérer les accès physiques ou logiques afin d’accroître la sécurisation des accès à des locaux de tous types mais aussi sécuriser l'accès à des stations informatiques et aux dossiers et fichiers présents sur ces dernières. La biométrie commence à être utilisée également afin d'authentifier un utilisateur lors de transactions bancaires pour sécuriser les paiements via des terminaux physiques ou encore pour des paiements en ligne.

Il existe de nombreux systèmes biométriques pour le contrôle d'accès que nous pouvons séparer en deux grandes familles : avec ou sans contact physique.

La biométrie avec contact physique est très répandue. Elle comprend la reconnaissance de l'empreinte digitale, de la morphologie de la main ou encore en mode multimodal avec analyse combinée et simultanée de l'empreinte digitale et du réseau veineux du doigt.

Dans le monde, l'une des technologies les plus utilisées est la biométrie via l'empreinte digitale. Autant au niveau du contrôle des individus (passeport, carte d'identité et permis de conduire biométriques), qu'au niveau du contrôle d'accès.

Au niveau des technologies sans contact, il existe des systèmes à reconnaissance faciale, de l'iris et du réseau veineux de la paume de la main. Également depuis 2009, il existe une technologie capable de capturer et de traiter les empreintes digitales des 4 doigts (hors pouce) sans contact, seulement d'un mouvement[22].

Notes et références

modifier
  1. (en) The International Biometric Society
  2. (en) The roads traveled: our 50 year journey - Lynne Billard (université de Géorgie), 1996, p. 1-20 [PDF].
  3. J.O. Irwin, « Biometric Method, Past, Present, and Future », in Biometrics Vol. 15, no 3, septembre 1959, p. 363-375 [présentation en ligne].
  4. « Les mots "biomètre", "biométrie" et biométrie" au dix-neuvième siècle » - Pierre Dagnelie, Biometric Bulletin 5 (3), 3-4, 1988 [PDF]
  5. « Reconnaissance faciale », sur morpho.com, (consulté le )
  6. (en) « CV Sébastien Marcel », sur idiap.ch
  7. Sarah Bourquenoud, « Un système plus sûr pour vérifier l'identité biométrique, par Lambert Sonna Momo », sur actu.epfl.ch,
  8. CNIL, 21e rapport d'activité 2000, La Documentation française, p. 101
  9. Jean-Marc De Jaeger, « La «frappologie», quand votre clavier en dit beaucoup sur vous », sur lefigaro.fr, .
  10. David Forest, Droit des données personnelles, Gualino, coll. Droit en action, 2011 (ISBN 978-2-2970-1502-8)
  11. Guillaume Desgens-Pasanau et Éric Freyssinet, L'identité à l’ère numérique, Éditions Dalloz, coll. Présage, 2009 (ISBN 978-2-2470-8061-8)
  12. Propos tenus lors de la Conférence du 22 novembre 2011 à la Faculté Alexis de Tocqueville – Douai
  13. Ayse Ceyhan, « La biométrie : une technologie pour gérer les incertitudes de la modernité contemporaine. Applications américaines. », in Cahier de la sécurité no 56, 1er trimestre 2005, [lire en ligne] pp. 61-89 [PDF]
  14. Christian Byk, « Biométrie et Constitution : est-il trop tard pour les libertés publiques ? », in La Semaine juridique, Édition Générale, 18 juin 2008, no 25, p. 19-22
  15. Ayşe Ceyhan (dir.) et Pierre Piazza (dir.), L'identification biométrique champs, acteurs, enjeux et controverses, Paris, Éd. de la Maison des sciences de l'homme, coll. « praTICs » (no 4), , 454 p. (ISBN 978-2-7351-1315-6, OCLC 889877584, présentation en ligne)
  16. Frédéric Ocqueteau et Daniel Ventre, Contrôle et surveillances dans le cyberespace, coll. Problèmes politiques et sociaux no 988, septembre 2011, La Documentation française
  17. Pierre Piazza, « Le choix politique du tout biométrique en Europe. Enjeux et problèmes », in Didier Bigo (dir.), Amandine Scherrer (dir.) et Emmanuel-Pierre Guittet (dir.), Mobilité(s) sous surveillance : perspectives croisées UE-Canada, Outremont, Québec, Athéna éditions, coll. « Sociologie politique de l'international. », , 245 p. (ISBN 978-2-922865-75-2, OCLC 770711517), p. 183-195
  18. Article 29 de la directive 95/45/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation des données.
  19. Ilsen About et Vincent Denis, Histoire de l'identification des personnes, Paris, La Découverte, coll. « Repères » (no 553), , 125 p. (ISBN 978-2-7071-5900-7, OCLC 962502001)
  20. Aditi Roy, Nasir Memon et Arun Ross, « MasterPrint: Exploring the Vulnerability of Partial Fingerprint-Based Authentication Systems », IEEE Transactions on Information Forensics and Security, vol. 12, no 9,‎ , p. 2013–2025 (ISSN 1556-6013 et 1556-6021, DOI 10.1109/TIFS.2017.2691658, lire en ligne, consulté le )
  21. (en) Tanguy Gernot et Patrick Lacharme, « Biometric masterkeys », Computers & Security, vol. 116,‎ , p. 102642 (ISSN 0167-4048, DOI 10.1016/j.cose.2022.102642, lire en ligne, consulté le )
  22. (en) « Biometrics 2009 : Sagem Sécurité crée l’événement avec « Finger on the Fly » », (consulté le )

Voir aussi

modifier

Articles connexes

modifier

Liens externes

modifier