L’identification du vivant trouve de nombreuses expressions technologiques et on ne doute plus des potentiels de la biométrie en matière de sécurité. À tel point que l’avenir du contrôle d’accès ne semble pas envisageable sans son apport. À condition d’en encadrer l’usage. Et de faire le bon choix...
Du contrôle d’accès en entreprise à la sécurisation des données informatiques, en passant par la lutte contre la fraude aux examens et le démarrage de véhicules, les usages de la biométrie se sont étendus bien au-delà de l’analyse criminologique. Technologie de sécurité autant plébiscitée que décriée, la biométrie permet en effet d’assurer la fiabilité de l’identification, par la prise en compte d’éléments morphologiques et/ou comportementaux uniques à chaque individu. Si la part de la biométrie dans le monde du contrôle d’accès reste minime (5 à 10% du marché global), les applications civiles se sont considérablement multipliées depuis une quinzaine d’années, à mesure que les différentes technologies qui lui sont associées ont trouvé leurs débouchés. Mais quels sont au juste les usages de la biométrie ? Quelles conditions faut-il réunir pour concilier enjeux de sécurité, fiabilité d’exploitation et préservation des libertés individuelles ?
En résumé…
> Le marché de la biométrie demeure un peu bridé par l’influence de la Cnil.
> La biométrie nécessite davantage de rigueur qu’un système de contrôle d’accès traditionnel.
> Un marché qui se caractérise par la diversité des solutions.
> La biométrie est perçue comme une alternative plus confortable à une solution de contrôle d’accès traditionnelle.
> Pour être bien exploité et bien toléré par ses utilisateurs, un système biométrique doit également rester pertinent dans son exploitation.
> Depuis que la CNIL s’est prononcée en sa faveur, le réseau veineux trouve des débouchés intéressants.
> La reconnaissance de l’empreinte digitale s’est imposée comme la technologie biométrique dominante : 50 % de parts de marché.
> D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel
> Plus les données sont concentrées dans un support individuel, plus les droits de l’homme sont respectés, plus la propriété individuelle est respectée.
> Apparaît une tendance à l’emploi simultané de plusieurs technologies biométriques lors du processus d’identification.
Un marché de technologies concurrentes
Encore loin de connaître la croissance exponentielle de la vidéosurveillance, le marché des technologies biométriques se façonne au fil des ans et gagne peu à peu sa place. Globalement, on constate que les apports de la biométrie sont mieux perçus : gains en sécurité, en confort, en simplicité lui sont des notions désormais associées. Malgré cela, le marché de la biométrie demeure un peu « bridé par l’influence de la Cnil et un certain nombre de craintes ou d’a priori, remarque Alain Choukroun (Zalix). Beaucoup d’utilisateurs ont encore une idée confuse de ce qui est autorisé ou non en matière de biométrie. D’où une tendance, sans doute, à mettre ce genre de solutions de côté. Par ailleurs, les solutions biométriques sont encore perçues comme onéreuses, ce qui n’est pas forcément le cas. »
« La biométrie est une technologie qui nécessite davantage de rigueur qu’un système de contrôle d’accès plus traditionnel, enchaîne Patrick Fornas (Easydentic). De fait, les structures qui ont besoin de souplesse d’utilisation et qui veulent disposer d’un contrôle d’accès peu contraignant en matière de sécurité vont considérer la biométrie comme un frein.»
Ajoutons à cela que la diversité des solutions commercialisées ne simplifie pas le panorama : « Le marché de la biométrie est un marché de technologies concurrentes, où coexistent des solutions d’identification très variées, de la reconnaissance du visage à celle de la voix… À l’heure actuelle, le marché est partagé entre un petit nombre de fabricants de capteurs spécialisés : il y en a un pour les veines du doigt, un autre pour les veines de la paume… chacun de ces industriels est spécialisé dans une technologie qu’il pousse naturellement sur le marché. » (Alain Choukroun).
« Les solutions biométriques sont encore perçues comme onéreuses, ce qui n’est pas forcément le cas. »
D’une biométrie l’autre
L’empreinte digitale, l’iris, le visage, la configuration des veines, l’empreinte palmaire, la reconnaissance vocale, la dynamique de frappe du clavier, la signature et peut-être un jour la démarche ou le sourire… le domaine de la biométrie se distingue par la variété des technologies en présence. Sur un marché où la concurrence technologique est forte, comment le choix d’une solution par rapport à une autre est-il motivé ?
La notion de sécurité reste prioritaire dans la majorité des cas, mais la biométrie est aussi perçue comme une alternative plus confortable à une solution de contrôle d’accès traditionnelle. Comme le précise Alain Choukroun (Zalix), « lorsqu’il fait le choix d’un dispositif biométrique, un utilisateur a souvent tendance à privilégier le confort. En d’autres termes, il souhaite s’affranchir de codes, de badges, de clés. Tout ce qu’il veut, c’est se présenter devant un accès et présenter son doigt pour l’ouvrir. La réponse la plus courante consiste donc en une solution d’identification, sans identifiant associé. Seul un nombre restreint de secteurs exprime de fortes exigences en matière de sécurité et demande la mise en place de processus d’authentification forte, par l’association d’un badge, d’un code ou de tout autre identifiant. Mais, étant plus contraignante, l’authentification n’est pas revendiquée par la plupart des utilisateurs. Ou alors, elle est subie, lorsqu’elle est imposée par la technologie : l’identification de la morphologie de la main imposant l’utilisation d’un code, par exemple. »
Pour être bien exploité et bien toléré par ses utilisateurs, un système biométrique doit également rester pertinent dans son exploitation. « Le choix d’une technologie biométrique dépend de son usage et du niveau de sécurité recherché, confirme Luc Devaux (Orcanthus). Si bien qu’il est difficile d’affirmer qu’il exister une véritable concurrence entre l’empreinte digitale et le réseau veineux, l’iris ou encore la face. » Compte tenu de ses caractéristiques, chaque solution est donc dédiée à des applications spécifiques. Bien que très répandue, la reconnaissance de l’empreinte digitale, dont l’efficacité dépend en partie de l’état de l’épiderme, ne se révèle pas une technologie toujours adaptée : « la morphologie de la main est une technologie robuste, plus adaptée aux environnements difficiles que l’empreinte digitale, nuance Alain Choukroun. La reconnaissance de la morphologie de la main se révèle cependant moins satisfaisante pour des besoins de sécurité élevée. Moins fiable, par exemple, que la reconnaissance de l’iris qui, en contrepartie, demeure une « technologie assez complexe, onéreuse, qui semble peu adaptée au monde de la PMI-PME. La reconnaissance de l’iris pose également problème, car c’est une solution qui utilise une caméra et qui, en conséquence, stocke des données pouvant être détournées. » (Patrick Fornas).
Solutions matures et expérimentales coexistent, si bien que certains dispositifs n’autorisent pour le moment qu’une exploitation confidentielle. Alain Choukroun : « Nous commercialisons une solution de signature manuscrite depuis plusieurs années et qui se révèle bien au point. Mais il est vrai que d’autres technologies, comme la reconnaissance vocale, ne sont pas actuellement vouées à la commercialisation.»
Un visage distingué…
> Parmi toutes les solutions recensées sur le marché actuel, la reconnaissance faciale mérite d’être distinguée. C’est en effet une technologie à laquelle on peut associer la notion de surveillance.
« Avec la technologie de reconnaissance faciale, note Luc Devaux, il est possible d’identifier l’individu à son insu, à la volée. Contrairement à tous les autres dispositifs, où l’individu doit exécuter une action pour s’identifier. Précisons toutefois que c’est une technologie qui est loin d’être mature : les processeurs actuels ne sont pas encore assez puissants pour effectuer efficacement un tel type d’identification à la volée. Il y a encore trop de paramètres à maîtriser pour qu’on la revendique comme une technologie suffisamment fiable. Mais à n’en point douter, il faudra compter avec dans les prochaines années, et pour des résultats sans doute très performants. »
La montée en puissance du réseau veineux
Depuis que la CNIL s’est prononcée en sa faveur, le réseau veineux trouve des débouchés intéressants et s’intègre dans un nombre croissant de solutions. à l’issue d’une expertise technique, la CNIL a en effet considéré que le réseau veineux, en l’état actuel de la technologie, est une biométrie sans trace (délibération du 7 mai 2009).
Tel s’écrira vraisemblablement l’avenir des solutions biométriques, en faveur de technologies capables de contourner ou de s’accorder avec les limitations imposées par l’organisme d’état : des technologies ne laissant aucun doute sur la préservation des données personnelles, sur la liberté des utilisateurs.
Pour l’heure, le réseau veineux tente effectivement une percée significative. Certes, « par rapport à l’empreinte digitale et à la morphologie de la main, cette technologie n’est pas encore significative en matière de volumes, admet Alain Choukroun, mais ses caractéristiques en font une solution prometteuse ».
Par ailleurs, rappelle Patrick Fornas, « la technologie de reconnaissance du réseau veineux permet d’écarter toutes les problématiques liées à la lecture sur la peau : doigt coupé, empreinte usée, doigt trop fin ou sale, etc. Ensuite, le système de reconnaissance du réseau veineux fournit des apports en matière de déontologie. En effet, l’identification basée sur la lecture d’empreintes digitales véhicule des connotations négatives, liées au côté intrusif de cette technologie. La reconnaissance du réseau veineux est issue du monde médical et donc plus noble, plus sophistiquée et mieux perçue. »
Mais encore faut-il déterminer de quel réseau veineux il s’agit, en opérant une distinction entre le réseau veineux de la paume et celui du doigt. À ce sujet, les avis divergent. « Le réseau veineux fait l’objet de plusieurs applications, considérées de manière très diverses par la CNIL : autant la CNIL reconnaît le réseau veineux du doigt comme un système fiable, autant le réseau veineux de la main est perçu comme beaucoup moins fiable et d’utilisation plus complexe, confie Patrick Fornas. » Au contraire, selon Alain Choukroun, « la reconnaissance du réseau veineux de la paume de la main est actuellement la technologie la plus fiable (soit un taux de fausse acception de 1/1,38 million), bien plus que la reconnaissance du réseau veineux du doigt. »
« Le réseau veineux permet d’écarter les problématiques liées à la lecture sur la peau . »
Empreintes digitales : ce que veut la CNIL
En France, la biométrie est un domaine particulièrement encadré. Le principal risque associé à l’usage de la biométrie tient aux données personnelles fournies par l’utilisateur, à leur stockage et à leur éventuel détournement. Ce risque est particulièrement associé aux empreintes digitales, type de contrôle identifié comme une biométrie « à trace ». Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d’un pouvoir d’autorisation des dispositifs biométriques. En vertu de ce pouvoir, et afin de clarifier le cadre d’utilisation de la biométrie, l’organisme d’état a précisé qu’un dispositif biométrique doit être fondé sur un fort impératif de sécurité et satisfaire à quatre exigences :
– la finalité du dispositif, laquelle doit être limitée au contrôle d’accès d’un nombre limité de personnes à une zone bien déterminée,
– la proportionnalité du système en fonction de sa finalité,
– la sécurité du dispositif, lequel doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données,
– l’information des utilisateurs, réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.
L’empreinte digitale a encore de beaux jours devant elle
Basée sur l’identification des « minuties » (traits distinctifs de l’épiderme du doigt : crêtes, sillons, « îles », etc.), la reconnaissance de l’empreinte digitale s’est imposée comme la technologie biométrique dominante, avec près de 50% de parts de marché. Son succès s’explique avant tout par son positionnement prix très compétitif et par sa grande simplicité d’utilisation.
« Simple, efficace, rapide et malgré tout conviviale, elle reste une solution des plus valables, confirme Luc Devaux. Seulement, il importe de distinguer les technologies associées à l’identification de l’empreinte digitale. En effet, la plupart des fabricants ont développé des lecteurs sur la base de capteurs statiques, où le doigt doit être simplement posé. La CNIL est en droit de préconiser la prudence quant à l’utilisation de cette technologie : lorsque le doigt se pose sur le capteur, il laisse une trace qui peut être récupérée et utilisée à des fins détournées. À l’inverse, les capteurs dynamiques, où le doigt est obligé de balayer une zone pour procéder à l’identification, autorise un niveau de sécurité bien plus important, dans la mesure où un geste est associé à l’identification de l’empreinte digitale et ne laisse aucune empreinte résiduelle. Ce geste de balayage est unique, il appartient à chaque individu et il est très difficile à reproduire. C’est une technologie qui associe donc deux caractéristiques biométriques : l’empreinte et la dynamique du mouvement. »
Pour une exploitation plus sécurisée
Où doivent être stockées les données biométriques pour assurer un niveau de sécurité vraiment satisfaisant ? D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée. Car l’identité biométrique est irrévocable : un utilisateur dont les données biométriques ont été usurpées ne peut en aucun cas changer d’empreintes digitales, pas plus que d’iris…
C’est pourquoi, en matière de sécurisation, l’authentification forte offre actuellement la meilleure réponse avec le concept « On-Card Comparison » (OCC). Son intérêt, majeur, réside dans la préservation d’un haut niveau de sécurité et de respect de la propriété individuelle, dans la mesure où les données biométriques de l’utilisateur sont contenues dans un support individuel (token, bagde, clé USB, carte ou passeport), associé à une technologie de reconnaissance d’empreinte digitale venant authentifier le document. Ce principe, alternative autrement plus sécurisée à l’usage de base de données, trouve une application plus que pertinente avec le passeport biométrique.
« Le passeport biométrique est l’élément moteur de ce concept de biométrie citoyenne que nous défendons, constate Luc Devaux. Pourquoi ? Parce qu’on ne peut pas se permettre de véhiculer des bases de données dans le monde entier pour faire de l’identification aux frontières, c’est tout simplement impensable. L’OCC est donc devenue une évidence. Aujourd’hui, la solution la plus fonctionnelle et la plus sécurisée est de produire des documents électroniques, sous forme de carte à puce ou de carte RFID, contenant des données relatives à l’individu et associés à une technologie d’authentification biométrique. Rappelons que plus les données sont concentrées dans un support individuel, plus les droits de l’homme sont respectés, plus la propriété individuelle est respectée. Une autre solution, appelée « Match on device », consiste à extraire les données biométriques (le gabarit) d’un support pour faire de l’authentification auprès d’un appareil muni d’un algorithme de comparaison : PC, terminal de paiement, etc. Ceci fait, l’authentification est effectuée par l’utilisateur, le plus souvent en posant ou en balayant son doigt sur un capteur d’empreintes digitales. »
L’avenir semble aussi se construire du côté des technologies sans trace. Comme le souligne Patrick Fornas, « le réseau veineux bénéficie de conditions favorables, la CNIL ayant émis le souhait de voir se développer sur le marché des technologies sans trace. Sachant que la CNIL a une certaine influence en Europe, parions qu’à terme ces technologies s’imposeront. Par ailleurs, les marchés d’État, les projets de sécurisation des frontières, les projets liés à la défense, etc. ont tendance à tirer la technologie vers le haut : ils imposent par exemple l’emploi de solutions bitechnologiques (reconnaissance du visage + réseau veineux, par exemple) ».
En effet, les systèmes multibiométriques risquent fort d’initier un mouvement en faveur de l’emploi simultané de plusieurs technologies biométriques lors du processus d’identification. Tel le nouveau terminal de reconnaissance d’empreintes digitales et de veines (développé par Sagem en partenariat avec Hitachi) et récemment présenté au salon Biometrics de Londres.
Fenwick sécurise l’accès à ses chariots avec le Biomodule d’id3 Semiconductors
> Fenwick a récemment fait appel à la biométrie pour équiper ses chariots d’un dispositif d’anti-démarrage par identification de l’empreinte digitale. Une solution judicieuse permettant de sécuriser totalement l’accès aux machines. Christophe Lacaze, Chef de produit Magasinage chez Fenwick France, témoigne du succès de l’initiative :
« Sur un site d’exploitation, le responsable sécurité doit s’assurer que les chariots de manutention sont utilisés par le personnel habilité, c’est-à-dire des opérateurs formés à la conduite de ce type de véhicules. Il existe donc une nécessité de restreindre l’accès, qui le plus souvent est conditionné par l’usage de clés traditionnelles ou de digicodes. On l’imagine aisément, ce type de restrictions n’empêche en aucun cas un opérateur non habilité à conduire un chariot : à la longue, chacun finit par se prêter les clés des véhicules et quant aux digicodes on les retrouve parfois directement inscrits sur les machines… Cette situation, génératrice de risques, devait trouver une solution dans des moyens de prévention adéquats. La biométrie nous est apparue comme le moyen le plus efficace pour garantir le bon usage de nos chariots. Voilà pourquoi nous avons adopté la mise en place d’un module biométrique, conçu par la société id3/orcanthus. Précisons que ce dispositif, qui équipe notre nouvelle gamme de chariots préparateurs de commandes, ne porte pas atteinte à la liberté de l’utilisateur : aucun enregistrement des accès aux chariots n’est effectué par l’intermédiaire de ce module. Il n’est intégré à nos chariots qu’à des fins de sécurité, de manière à s’assurer que seuls les opérateurs habilités en ont l’usage. Il s’agissait d’offrir une alternative simple : puis-je ou non démarrer le chariot en posant mon doigt sur le capteur du module ? Il s’agit d’une solution d’identification simple, les données fournies par les utilisateurs étant stockées dans le variateur du chariot. Mais nous avons pris soin de choisir une solution très sécurisée, garante de la confidentialité des utilisateurs : le module biométrique se contente simplement de comparer les empreintes, sans retenir d’informations supplémentaires, les refus comme les acceptations n’étant pas enregistrés. Il n’y a donc aucun moyen de savoir qui a conduit un chariot, si bien que la CNIL a fourni son agrément sans problèmes. Ce dispositif, très bien accueilli, est désormais disponible depuis décembre dernier sur toute la gamme de magasinage. À terme, toutes les machines à conducteur porté, nécessitant une formation spécifique, pourront être dotées de ce module biométrique. Compte tenu des enjeux croissants de la sécurité sur le lieu de travail, nous sommes convaincus que cette solution n’a pas fini de rencontrer du succès. D’autant que ce dispositif n’est pas vécu comme une contrainte dans l’exploitation des véhicules. »
Commentez