3. Des systèmes biométriques différents selon le niveau de sécurité recherché
Un double constat s'impose : la biométrie s'étend rapidement ; il existe une multitude de systèmes biométriques différents répondant à autant de problématiques et d'objectifs.
La technologie permet à peu près tout , comme l'a affirmé M. Bernard Didier, directeur du développement de la SAGEM. Le panel proposé par les industriels offre une gamme très large de solutions techniques.
Du point de vue de la sécurité, les questions essentielles avant de créer un titre d'identité biométrique sont : quel degré de sécurité veut-on atteindre ? Quel type de fraude faut-il éliminer ? Quels autres usages de la biométrie veut-on permettre ou ne pas permettre ? Quelle est la taille de la population concernée ?
En fonction des réponses apportées à ces questions, il est possible de construire un système d'identité biométrique dont l'architecture réponde précisément au cahier des charges.
Toutefois, quelques grands modèles 64 ( * ) peuvent être distingués selon le niveau de sécurisation de l'identité qu'ils garantissent. Ils sont présentés ci-après selon le niveau de sécurité croissant qu'ils sont censés apporter.
Les difficultés que ces modèles peuvent poser au regard des libertés seront présentées séparément.
Les modèles utilisant un fichier central, c'est-à-dire tous à l'exception du premier, sont supposés conçus de la façon suivante. L'approche technique qui permet une très grande flexibilité et un contrôle des usages consiste à répartir les données en deux bases distinctes : une base d'identité qui décrit pour chaque numéro d'identité l'ensemble des attributs retenus (nom, prénom...), une base de données biométriques dont chaque enregistrement est composé d'un numéro biométrique unique suivi des données biométriques proprement dites. Les numéros d'identité et les numéros biométriques permettent d'établir des liens entre l'identité d'une personne et ses données biométriques. Afin d'assurer le contrôle de l'usage, ces liens sont cryptés, les liens de décryptage pouvant être bidirectionnels, unidirectionnels, faibles ou inexistants.
L'existence d'un fichier central présente un intérêt majeur pour la sécurisation de l'identité : elle assure l'unicité de l'identité . Cela signifie qu'un individu n'a qu'une seule identité et qu'une identité n'est utilisée que par un individu. Les usurpations et vols d'identité sont théoriquement impossibles.
a) La biométrie pour authentifier
Traditionnellement, un titre d'identité associe une photographie et un nom. Il permet au porteur du titre de prouver son identité . On parle alors d'« authentification », c'est-à-dire d'une recherche dite « un contre un » .
Avec un titre classique ou un titre électronique sans biométrie, il existe deux niveaux de vérifications : examen visuel et contrôle des sécurités du titre puis, si nécessaire, consultation du fichier de gestion de la carte nationale d'identité pour s'assurer que ce titre a bien été délivré par les autorités habilitées.
Trois solutions intégrant la biométrie permettent d'améliorer la qualité de l'authentification.
• Une carte à puce biométrique sans fichier central
Les données biométriques ne figurent que sur la puce . Cela permet un troisième niveau de sécurité en authentifiant le porteur par comparaison avec les données biométriques contenues dans la puce.
Si seule la photographie est dans la puce, le gain en sécurité est assez faible par rapport à ce que permet un titre classique ou un titre électronique sans biométrie sur lequel figure déjà la photographie.
Si les empreintes digitales ou une autre donnée biométrique performante figurent sur la puce , le gain en sécurité est meilleur . A la différence de la photographie, le « look like » c'est-à-dire l'utilisation de la carte d'un tiers, complice ou non, ressemblant physiquement à la personne usurpant l'identité, devient impossible.
Toutefois, cette utilisation de la biométrie ne permet pas d'assurer l'unicité de l'identité lors de la délivrance du titre .
• Une carte à puce biométrique avec un fichier central unidirectionnel dans le sens identité vers biométrie
Avec ce modèle, il est possible, à partir de l'identité d'une personne, de retrouver ses données biométriques. Toutefois, l'inverse n'est pas possible . Ainsi, la connaissance de l'identité d'une personne permet d'accéder à sa donnée biométrique et de procéder, si nécessaire, à son authentification.
Par rapport au modèle précédent sans fichier, ce modèle présente un triple avantage :
- si la carte à puce est muette (titre imité ou altéré), on peut vérifier l'identité du porteur en sélectionnant son identité dans la base, puis en comparant ses données biométriques avec celles contenues dans la base biométrique correspondant à l'identité affichée ;
- le renouvellement d'une carte est simplifié et sécurisé . On sélectionne par l'identité pour obtenir une caractéristique biométrique que l'on compare à celle du porteur ;
- l' unicité de l'identité est assurée à l'occasion de la délivrance du titre. En effet, si l'individu a un titre sous une autre identité, ses données biométriques auront déjà été enregistrées dans la base de données et le système s'en apercevra. Certes, il n'est pas possible de savoir quelle est cette autre identité. Mais, cela suffit à détecter une tentative d'usurpation d'identité.
• Une carte à puce biométrique avec un fichier central dit à « liens faibles »
Dans la situation précédente, les liens entre les deux bases étaient construits de telle sorte qu'à chaque enregistrement d'identité ne correspondait qu'une seule donnée biométrique. Le nombre de liens est équivalent au nombre de personnes que l'on souhaite gérer. Par exemple, si le système gère dix millions de personnes, il faut dix millions de liens de valeurs différentes, composés de huit chiffres, entre la biométrie et l'identité.
Supposons, maintenant que l'on réduise, pour cette même population, les valeurs de lien de huit chiffres à deux chiffres en gardant par exemple les deux derniers chiffres. Il y a alors cent mille entrées correspondant à chaque valeur de lien. Il n'est alors plus possible de connaître la donnée biométrique d'une personne à partir de son identité 65 ( * ) ; de même, l'identification d'une personne à partir d'une donnée biométrique n'est pas possible .
Toutefois, ce système original breveté par la SAGEM permet d'assurer l'unicité de l'identité tout en garantissant l'anonymat . En effet, la vérification biométrique est possible de la façon suivante : il faut sélectionner par l'identité et obtenir une première valeur du lien, puis sélectionner par la biométrie pour obtenir une seconde valeur du lien. Si les deux valeurs sont identiques, la probabilité que l'association identité-biométrie soit correcte est de 99 %. Ce chiffre de 99 % est donné à titre d'exemple. La probabilité pourrait être de 99,9 %, si les valeurs de lien comportaient trois chiffres au lieu de deux. Dans tous les cas, la probabilité est suffisamment grande pour offrir une assurance quasi-complète sur l'unicité de l'identité et pour dissuader les fraudeurs. En effet, un fraudeur qui tenterait d'usurper une identité aurait une chance sur cent ou sur mille que ses données biométriques se soient vues attribuer la même valeur de lien que celle attribuée aux données biométriques de la personne dont il tente d'usurper l'identité 66 ( * ) .
b) La biométrie pour identifier
Les deux modèles précédents empêchent ou rendent très difficile l'utilisation des données pour d'autres fins que celles pour lesquelles elles ont été collectées.
Les exemples de modèle suivants ne présentent pas la même garantie. Ils permettent d' identifier et non plus seulement d'authentifier . A la différence de l'authentification qui consiste à comparer les données biométriques de la personne avec celles contenues sur la puce ou dans la base et supposées être les siennes (recherche dite « un contre un »), l'identification consiste à comparer des données biométriques anonymes avec celles contenues dans la base afin de retrouver l'identité de la personne (recherche dite « un contre n ») .
Les systèmes d'identification assurent l' unicité de l'identité comme les deux précédents systèmes d'authentification. Mais ils permettent d' autres utilisations , étrangères à la simple gestion de la délivrance d'un titre d'identité.
Un exemple de système de ce type est un système où le lien est bidirectionnel entre la base des données d'identité et la base des données biométriques. On peut retrouver l'identité à partir de la biométrie et inversement. Un système d'identification encore plus abouti consiste en une seule base regroupant toutes les données sans lien crypté entre les différentes données .
Cette fonctionnalité d'identification peut permettre :
- d'identifier un amnésique, un enfant fugueur ou retrouvé, des personnes désorientées (fous, maladie d'Alzheimer), des cadavres, notamment en cas de catastrophe naturelle majeure ;
- d'identifier une personne ayant commis une infraction et refusant de donner son identité ;
- d'identifier une personne à partir de traces retrouvées sur une scène de crime 67 ( * ) .
c) Une sécurisation de l'identité accrue
Tous ces systèmes biométriques, à l'exception du système sans fichier central, procurent une sécurité importante. Ils éliminent l'usurpation d'identité et peuvent justifier a priori le coût supplémentaire lié à la biométrie.
En effet, au regard des seuls critères de la protection de l'identité des personnes et du coût de la fraude à l'identité, un système biométrique ne vaut la peine que s'il représente un réel saut qualitatif et quantitatif.
Le tableau ci-après récapitule les possibilités offertes par ces différents systèmes. Rappelons qu'il ne s'agit que de modèles types, des perfectionnements ou tempéraments pouvant être apportés à chacun d'eux.
Le seul point faible de ces systèmes biométriques se situe au moment de la délivrance du premier titre biométrique.
A ce stade, les données biométriques du fraudeur ne sont pas encore dans le fichier. Il pourrait alors usurper l'identité d'une personne qui ne se serait pas vu délivrer, elle aussi, un premier titre biométrique ou créer une identité fictive. Le fraudeur usurperait de la sorte l'identité de la personne et substituerait ses données biométriques.
Toutefois, il apparaît à votre rapporteur qu'un tel risque est limité .
En effet, le fraudeur en usurpant cette identité l'usurpe définitivement . Il ne peut plus en changer. L'intérêt d'une telle manoeuvre est donc réduit. En outre, elle risque d'attirer l'attention sur lui .
Lorsque la personne dont l'identité a été usurpée désirera se faire délivrer un titre, le système détectera la fraude. Après enquête approfondie, il apparaîtra que le premier titre délivré l'a été indûment et l'identité usurpée sera restituée à son titulaire légitime.
Ces arguments peuvent suffire à dissuader les tentatives de fraude.
|
Modèle 2
|
Modèle 3
|
Pour mémoire :
|
||
|
Association ID-Bio |
ID vers BIO |
Oui, à 99 % |
Oui |
Non |
|
Gestion de l'association |
Fonction cryptographique à sens unique |
Lien faible |
Fonction cryptographique sous contrôle |
Aucune |
|
Entrée = ID
|
Oui |
Non (100.000 candidats proposés) |
Oui |
Non |
|
Entrée = Bio
|
Non |
Non (100.000 candidats proposés) |
Oui |
Non |
|
Unicité
|
Oui |
Oui |
Oui |
Oui |
|
Renouvellement |
Facile par authentification |
Plus lourde par identification |
Facile |
Non sûr |
|
Suppression
|
Facile par l'identité |
Seulement si l'on détient les données biométriques et l'identité |
Oui |
Seulement si l'on détient les données biométriques et l'identité |
|
Authentification sur carte illisible |
Oui |
Par identification sur une base restreinte |
Oui |
Non |
|
Identification (victimes, amnésiques, criminels) |
Non |
Non |
Oui |
Non |
|
Destruction de l'ensemble des liens invasion |
Oui (par destruction des fonctions cryptographiques) |
Par suppression des liens faibles |
Oui (par destruction des fonctions cryptographiques) |
N'existe pas |
|
Contrôle possible par une autorité |
Oui |
Sans objet |
Oui |
Non |
|
Possibilité de rétablir les liens en clair |
Oui |
Non
|
Oui |
Non
|
|
Maturité industrielle |
Prouvée |
Inexistante |
Prouvée |
Non pertinent |
Source : M. Bernard Didier, directeur du développement de la SAGEM
* 64 M. Bernard Didier, directeur du développement à la SAGEM, a présenté à la mission plusieurs systèmes biométriques. Certains d'entre eux, et notamment le modèle dit à « lien faible » présenté ci-après, ont été brevetés par cette société.
* 65 Dans cet exemple, si l'on souhaite comparer une empreinte digitale avec celles contenues dans la base, 100.000 empreintes correspondant à 100.000 individus seront sélectionnées.
* 66 Une technique de fraude pourrait consister à usurper l'identité d'une personne dont on connaît la valeur de lien. Si le fraudeur a la même valeur de lien, il peut passer le test. Ce système requiert donc que la valeur des liens reste secrète.
* 67 Cela exige que les données biométriques utilisées dans la base soient des données qui laissent des traces, comme les empreintes digitales ou l'ADN. En revanche, l'iris ou la photographie ne permet pas une telle utilisation du fichier.
* 68 ID : identité.
* 69 BIO : données biométriques.