La biométrie

La biométrie est évoquée depuis plusieurs années et fait l’objet de nombreuses rumeurs, à tort ou à raison. Aujourd’hui, les méthodes et dispositifs biométriques arrivent à maturité grâce à un fort développement technologique. Un grand changement s’annonce avec, probablement d’ici quelques années, une omniprésence et une démocratisation de ces méthodes d’identification et d’authentification, selon les usages.

Fini le temps des expérimentations, Apple a déjà lancé les hostilités à grande échelle et posé les premières briques de cette révolution silencieuse. Eclairage sur ce sujet incontournable qui va apporter une vraie valeur aux paiements.

Qu’est-ce que la biométrie ?

Nous retiendrons ici 2 définitions de la biométrie au vision très similaires.

La CNIL (Commission Nationale de l’Informatique et des Libertés) définit la biométrie de la façon suivante :

La biométrie est l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Le Parlement européen, au travers d’une résolution sur le traitement des données à caractère personnel à des fins de prévention de la criminalité, définit les « données biométriques » par :

Toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent son identification unique, telles que des images faciales ou des données dactyloscopiques.

2 objectifs distincts : identifier ou authentifier

Les techniques biométriques peuvent être appliquées au travers des 2 processus suivants :

  • identification : déduire l’identité d’une personne à partir de données qui lui sont propres (comparaison avec l’ensemble des données présentes dans un référentiel)
  • authentification : vérifier l’identité d’une personne (comparaison avec les seules données de la personne déjà identifiée)

Par quels moyens ?

Les techniques biométriques, de par leur définition, peuvent prendre de multiples formes. Elles peuvent ainsi traiter des aspects physiques, biologiques ou comportementales à des fins de reconnaissance (identification ou authentification) :

  • Analyse morphologique et biologique :
    • Empreinte digitale (exemple d’application : Apple Pay)
    • Iris de l’œil
    • Réseaux veineux de la rétine
    • Réseaux veineux de la paume de la main
    • Morphologie de la main (contour, poids)
    • Traits du visage (exemples d’application : MasterCard et les selfies et retraits en Chine)
    • ADN
    • etc.
  • Analyse comportementale et physiologique :
    • Reconnaissance vocale (exemple d’application : Talk to Pay)
    • Reconnaissance gestuelle
    • Dynamique des frappes au clavier
    • Dynamique des signatures
    • etc.

Aujourd’hui, les plus connues et diffusées portent sur l’empreinte digitale, l’iris et faciale. D’autres éléments recouvrent la biométrie dite douce qui permet non pas d’identifier une personne mais d’apporter des indices supplémentaires confortant la reconnaissance (taille, poids, couleurs des yeux et des cheveux, etc.).

Fonctionnement du dispositif

L’utilisation d’un dispositif biométrique est simple et suit généralement les étapes suivantes :

  • capture des données biométriques relative à une personne à identifier ou dont l’identité est à vérifier (la méthode et le capteur varient suivant les dispositifs utilisées : passer son doigt sur un lecteur d’empreinte, placer son visage devant une caméra, etc.)
  • conversion des données sous forme numérique/digitale et détermination de points caractéristiques utilisés comme données de comparaison (ex : usuellement pour la reconnaissance d’une empreinte digitale, on compare 12 points de l’empreinte)
  • analyse et comparaison de ces données avec celles présentes dans le référentiel
  • détermination d’un résultat en fonction de marges d’erreur pré-définies

Fiabilité et marge d’erreur

La performance du dispositif biométrique est liée à sa capacité d’analyse et de comparaison avec une marge d’erreur faible dans un court laps de temps. Lors de la mise en place et du réglage du dispositif, il convient donc de définir le seuil de tolérance acceptable pour l’usage que l’on en fait. Ainsi, plusieurs caractéristiques peuvent être définies, parmi lesquelles :

  • « False Rejection Rate » (FRR) : le pourcentage de faux négatifs (rejets à tort)
  • « False Acceptance Rate » (FAR) : le pourcentage de faux positifs (acceptation à tort)
  • « Equal Error Rate » (EER) : le seuil pour lequel les taux de rejets et d’acceptation sont égaux

Plus le seuil « Equal Error Rate » est faible, plus le dispositif est précis. Ces caractéristiques permettent de comparer facilement plusieurs dispositifs et ainsi déterminer celui répondant le mieux aux besoins.

A noter que la combinaison de critères renforce la fiabilité et la précision des techniques biométriques réduisant ainsi la marge d’erreur du dispositif.

Avantages et inconvénients

Outre l’introduction de faux positifs et négatifs (ce qui induit une marge d’erreur quasi-absente lors d’une authentification identifiant/mot de passe), la biométrie fait face à 2 inconvénients majeurs :

  • le caractère définitif de la compromission
  • la sécurisation des données de référence et le respect à la vie privée

Malgré cela, l’introduction de dispositifs biométriques permet d’apporter une grande flexibilité et facilité d’utilisation aux usagers. L’avantage principal est que ce dernier peut se passer de mots de passe/codes. Il n’a plus besoin de les retenir car il « utilise » son corps pour prouver son identité.

Ainsi, de par les données manipulées et les impacts potentiels d’une compromission, l’utilisation de techniques biométriques est soumise à des contraintes fortes de la part de la part de la CNIL :

Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales…). Elles se rapprochent ainsi de ce qui pourrait être défini comme un “identificateur unique universel”, permettant de fait le traçage des individus.

Des palliatifs peuvent être envisagés pour réduire les impacts d’une compromission (ex : hachage des données biométriques dès l’acquisition). Cela s’inscrit dans le concept de « biométrie révocable » qui vise à rendre caduc la compromission de données biométriques.

Aspects juridiques

En France, l’utilisation d’un dispositif biométrique à des fins d’identification ou d’authentification est obligatoirement soumis à l’autorisation préalable de la CNIL.

Dans le cadre d’une utilisation de dispositifs biométriques dans le domaine des moyens de paiement, la CNIL n’a pour le moment (août 2015) délivré que des autorisations temporaires d’utilisation de dispositifs biométriques à des fins d’expérimentations.

Pour plus d’informations sur le sujet, je vous invite à consulter les sites suivants :

Enjeux dans les moyens de paiement

L’essor très récent du paiement mobile, via des transactions en proximité sans-contact ou via des applications (in-app payments), combiné à l’introduction progressive de dispositifs biométriques dans notre quotidien (téléphone portable, ordinateur portable, etc.) conduisent à placer la biométrie comme une technologie incontournable dans les années à venir dans le monde des paiements.

La biométrie est et sera exploitée, essentiellement, pour authentifier l’auteur de la transaction en substitution du code PIN actuel. Les modèles d’exploitation sont en cours de définition et d’expérimentation. Pour d’autres usages, on peut aussi imaginer coupler un dispositif biométrique, pour identifier une personne, et un autre mécanisme pour l’authentifier (mot de passe, clé SecurID, etc.).

Des acteurs comme Apple ont déjà investi le marché en proposant par exemple le service Apple Pay, aux Etats-Unis et depuis cet été au Royaume-Uni. Les transactions sont authentifiées via le lecteur d’empreinte Touch ID présent sur les derniers modèles d’iPhone. Samsung, Google préparent des solutions analogues. Les banques françaises travaillent également pour limiter la fraude sur internet, à l’instar de La Banque Postale qui a adopté la technologie Talk To Pay. A suivre aussi l’initiative de la société IDEX d’intégrer d’un lecteur d’empreinte digitale dans les cartes bancaires.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*