N° 0938 - Rapport de l'Office parlementaire d'évaluation des choix scientifiques et technlogiques sur les méthodes scientifiques d'identification des personnes (M. Christian Cabal)

N° 938	N° 355
____	___
ASSEMBLÉE NATIONALE	SÉNAT
CONSTITUTION DU 4 OCTOBRE 1958
DOUZIÈME LÉGISLATURE	SESSION ORDINAIRE DE 2002 - 2003
____________________________________	____________________________________
Enregistré à la présidence de l'Assemblée nationale	Annexe au procès-verbal
Le 16 juin 2003	de la séance du 12 juin 2003

________________________

OFFICE PARLEMENTAIRE D'ÉVALUATION

DES CHOIX SCIENTIFIQUES ET TECHNOLOGIQUES

________________________

RAPPORT (1^ère partie)

sur

les méthodes scientifiques d'identification des personnes

à partir de données biométriques et les techniques de mise en oeuvre

Par M. Christian CABAL,

Député

__________	__________

Déposé sur le Bureau de l'Assemblée nationale par M. Claude BIRRAUX,	Déposé sur le Bureau du Sénat par M. Henri REVOL,
Président de l'Office	Premier Vice-Président de l'Office

__________________________________________________________________________________

Recherche

SAISINE

TABLE DES MATIERES

PREMIERE PARTIE DU RAPPORT

INTRODUCTION 7

PREMIERE PARTIE : EVITER LES EXCÈS DE CONFIANCE OU DE DÉFIANCE : POUR UNE ANALYSE RAISONNÉE DES TECHNIQUES D'IDENTIFICATION DES PERSONNES À PARTIR DES DONNÉES BIOMÉTRIQUES 11

I - Certitudes et doutes sur les performances des techniques biométriques d'identification 13

1- Analyse des progrès techniques enregistrés et à venir. 13

a) Les caractéristiques communes aux divers systèmes de biométrie 14

b) Une vaste palette d'outils 15

2 - Analyse des défaillances techniques des systèmes biométriques. 26

a) La composante humaine des systèmes biométriques. 27

b) La composante statistique des systèmes biométriques : les taux d'erreurs. 31

3 - Comparaison des systèmes biométriques 36

a) La variété des critères de comparaison. 37

b) Le caractère déterminant des finalités et la préférence actuelle pour une démarche empirique et expérimentale 40

II - Espoirs et craintes à l'égard de l'usage des techniques biométriques d'identification 45

1 - Une sécurité garantie ? 46

a) Les atouts des systèmes biométriques 46

b) Les réserves émises à ce sujet 51

2 - Des libertés compromises ? 54

a) Les critiques formulées à l'encontre des systèmes biométriques 54

b) Les contre arguments présentés sur ce point 57

3 - Panorama des domaines opérationnels d'application des techniques biométriques 61

a) Le domaine de l'identification judiciaire 62

b) Le domaine de la gestion des titres délivrés par la puissance publique 65

c) Le domaine de la gestion des accès physiques ou logiques 67

DEUXIEME PARTIE DU RAPPORT

DEUXIEME PARTIE : SORTIR DES ATERMOIEMENTS ACTUELS : LA NÉCESSITÉ DE DÉFINIR RAPIDEMENT UN CADRE JURIDIQUE ADAPTÉ

I - Garanties et incertitudes juridiques relatives à l'utilisation des systèmes biométriques

II - Les évolutions perceptibles à l'échelle européenne et internationale

CONCLUSION

RECOMMANDATIONS

EXAMEN DU RAPPORT PAR L'OFFICE

ANNEXES

Liste des personnes auditionnées

Compte rendu de l'audition publique du 15 mai 2003

Biométrie et médecine légale

Avis rendus par la CNIL sur le recours aux techniques biométriques

La biométrie au Québec

Conseil JAI du 27 février 2003 Déclaration commune franco-allemande sur l'utilisation de la biométrie

INTRODUCTION

« La biométrie a la renommée d'une science aride. Son armature technique est incompatible avec les découvertes qui frappent l'imagination ».

Tel était le constat établi par Eugène SCHREIDER¹ en 1960, alors qu'une dizaine d'années plus tard la « révolution biométrique » était annoncée sans véritablement prendre corps² et qu'à l'aube du vingt-et-unième siècle, un commissaire à la protection des données personnelles a pu observer que la biométrie suscite aujourd'hui « fascination et inquiétude »³.

Pour expliquer ces différences d'appréciation, plusieurs facteurs peuvent être évoqués qui permettront de mieux circonscrire le champ et la portée de l'étude confiée par le Bureau de l'Assemblée nationale à l'Office parlementaire d'évaluation des choix scientifiques et technologiques et qui porte sur « les méthodes scientifiques d'identification des personnes à partir des données biométriques et les techniques de mise en œuvre »⁴.

Il y a tout d'abord certainement un glissement sémantique.

Le terme « biométrie » est de plus en plus utilisé pour définir des techniques permettant d'identifier une personne à partir de l'un ou plusieurs de ses caractères biologiques ou comportementaux alors même que la biométrie recouvre un champ scientifique beaucoup plus vaste⁵. Même dans le seul domaine de l'identification humaine, l'utilisation du mot biométrie est, dans le langage courant, de plus en plus limitée à l'identification de personnes vivantes, excluant ainsi les travaux conduits en matière d'identification post mortem. Réduite à cette acception, la notion d'identification s'est par ailleurs appauvrie puisqu'elle ne tient pas compte des éléments constitutifs de l'identité d'un individu tels que l'âge par exemple, alors que divers travaux permettent désormais à partir d'examens radiologiques des os ou maxillo-dentaires d'établir à peu près de manière certaine l'âge d'une personne.

Les méthodes scientifiques utilisées reposent-elles cependant sur les mêmes principes? Selon Eugène SCHREIDER, la biométrie se fonde sur la mensuration et le dénombrement et utilise les statistiques et les probabilités afin de donner aux phénomènes biologiques une « expression quantitative plausible », ce qui le conduisait à affirmer que si la biométrie apporte un peu de précision, elle le fait au détriment de la certitude.

Or, les techniques se sont nettement perfectionnées et modifient à la fois les méthodes d'observation et de traitement.

Grâce à elles, les données biométriques susceptibles de servir à une identification se diversifient. En 1960, Eugène SCHREIDER considérait ainsi que la topographie du système pileux, la couleur des cheveux, la pigmentation des yeux ne constituait pas des caractères « mesurables ». Aujourd'hui, aucun caractère ne semble a priori exclu. Les données biométriques ne sont plus nécessairement anatomiques, la voix, le geste, l'odeur, la chaleur sont désormais aussi pris en compte et les photographies numérisées sont maintenant utilisées pour la reconnaissance faciale.

L'automatisation permet par ailleurs d'effectuer des traitements de masse rapidement, voire presque instantanément, dans des domaines où le patient et minutieux travail d'expertise semblait réservé à « l'homme de l'art ». Si les technologies biométriques sont définies comme des systèmes de reconnaissance « automatiques »⁶, le degré d'automaticité est lui-même devenu un critère de distinction. Ainsi, par exemple, l'analyse d'ADN sera tantôt classée dans la catégorie des techniques biométriques⁷, tantôt elle en sera exclue⁸ en raison des conditions dans lesquelles la comparaison d'ADN est habituellement pratiquée.

Le troisième facteur est lié à l'élargissement des domaines d'application des systèmes biométriques d'identification.

L'utilisation des procédés d'identification humaine a été longtemps cantonnée aux applications militaires et policières : « l'identification humaine, celle des récidivistes d'abord, celle des malfaiteurs ensuite grâce aux traces abandonnées par eux sur les lieux d'infraction, a été dès l'origine la préoccupation majeure des services de police technique ou scientifique »⁹. Dans ce domaine d'ailleurs, les besoins d'identification ne se limitent plus à la seule répression des atteintes à la sécurité publique, mais s'étendent à leur prévention.

En marge de l'état civil et de la signature manuscrite, pour répondre aux autres besoins d'identification et d'authentification dans le monde physique comme électronique, divers moyens ont été mis en œuvre (codes, mots de passe, numéros d'identification, cartes, signature numérique...) que des procédés biométriques sont susceptibles de remplacer ou de « sécuriser ».

Ces besoins d'identification s'inscrivent dans un cadre spatial plus ou moins large ; ils peuvent être circonscrits à un bâtiment ou un réseau restreint comme prendre une dimension internationale par l'effet de l'intensification de la circulation transfrontalière des hommes et la mondialisation des échanges de biens et de services. Ils doivent, par ailleurs, se concilier avec d'autres besoins, tels que le respect de la vie privée, la protection des données personnelles, les libertés individuelles au premier rang desquelles celle d'aller et venir.

Parce qu'aujourd'hui les systèmes biométriques d'identification des personnes suscitent un intérêt certain et des craintes multiples, il y a débat.

Ce débat est tout d'abord de nature technique. Les systèmes biométriques d'identification sont-ils fiables ? Sont-ils plus performants que les méthodes d'identification habituellement pratiquées ? Parmi les différentes techniques, quelles sont celles qui semblent les plus sûres et les plus pratiques au regard de l'usage que l'on veut en faire ?

Il est aussi politique et le Parlement français a déjà eu l'occasion de délibérer à plusieurs reprises, en premier lieu lors de la création du fichier national d'empreintes génétiques, l'Office parlementaire d'évaluation des choix scientifiques et technologiques ayant publié un rapport sur « la valeur scientifique de l'utilisation des empreintes génétiques dans le domaine judiciaire »¹⁰ et, plus récemment, lors de l'adoption de la loi du 29 août 2002 d'orientation et de programmation pour la sécurité intérieure¹¹ et de la loi du 18 mars 2003 sur la sécurité intérieure. Cette évolution n'est pas propre à la France. Dans beaucoup d'autres pays européens, au sein du G8, de l'Union européenne, aux Etats-Unis, au Canada et ailleurs ce débat a lieu.

Dans les instances scientifiques, techniques, administratives et politiques un consensus est actuellement recherché. Aussi est-il normal que le Parlement soit lui-même associé à ce débat, même si les décisions qui seront finalement prises débordent le cadre de ses compétences strictement législatives.

Votre rapporteur, face aux excès d'enthousiasme ou de défiance à l'égard des techniques biométriques d'identification, a jugé opportun, tout d'abord, de dresser une sorte d'état des lieux des opinions exprimées à ce sujet, en ce qui concerne les performances des systèmes, mais aussi les risques liés à un développement incontrôlé de ces derniers.

Dans une large mesure ces excès et l'absence de consensus expliquent les blocages que l'on a pu constater, les applications biométriques restant de fait relativement limitées. Il convient dès lors de s'interroger sur les conditions dans lesquelles il paraît possible d'assurer un développement maîtrisé des techniques biométriques, eu égard au cadre juridique actuel et aux rapports de force existants en particulier au plan international.

PREMIERE PARTIE :

Eviter les excès de confiance ou de défiance :
pour une analyse raisonnée des techniques d'identification des personnes à partir des données biométriques

L'analyse des différents documents consacrés aux systèmes biométriques d'identification des personnes révèle l'existence de fortes oppositions tant en ce qui concerne l'évaluation de leurs performances respectives que l'appréciation des effets de leur utilisation.

I - Certitudes et doutes sur les performances des techniques biométriques d'identification

Il existe incontestablement une mode des systèmes biométriques d'identification qui sont souvent perçus comme une panacée : les utilisateurs en attendent une fiabilité à toute épreuve permettant de supprimer l'intervention humaine des opérations de contrôle. Certes, ces systèmes ont réalisé beaucoup de progrès, mais ils ne correspondent pas toujours aux besoins et les utilisateurs potentiels ont beaucoup de mal à analyser leurs performances faute de critères de certification. En outre, ces techniques sont pour certaines en cours de développement et les résultats parfois prometteurs obtenus en laboratoire ne doivent pas être confondus avec les performances de systèmes opérationnels, pour lesquels les paramètres de réussite sont très divers.

1- Analyse des progrès techniques enregistrés et à venir.

Reconnaissance faciale ou vocale, identification d'empreintes, numérisation de l'iris, analyse comportementale... Les technologies d'identification n'ont pas attendu les attentats du 11 septembre 2001 aux Etats-Unis pour émerger. Depuis cette date, le marché se développe de manière considérable, notamment dans les aéroports où, pour des raisons évidentes de sécurité, il est indispensable d'identifier rapidement les personnes et de s'assurer de la validité des titres présentés.

L'analyse de certaines données du corps humain pour identifier un individu n'est pas récente : l'empreinte digitale n'est pas une technique neuve à proprement parler. Ce qui constitue une évolution majeure est le couplage de ces techniques avec l'informatique.

a) Les caractéristiques communes aux divers systèmes de biométrie

La biométrie est un système d'identification des individus utilisant des caractéristiques mesurables comme les empreintes digitales, l'iris, la rétine, la forme du visage, de la main, la voix voire la démarche ou le système veineux . Lors de la mission qu'il a conduite au Japon, votre Rapporteur a été impressionné par la variété des systèmes qu'il a pu voir fonctionner. Quasiment tout, dans l'anatomie ou le comportement d'un individu, peut être transformé en un code informatique permettant de l'identifier.

A partir d'un élément biométrique propre à un individu on détermine un gabarit, c'est-à-dire une suite numérique qui caractérise l'élément biométrique et c'est le gabarit qui est conservé et non l'image de l'élément biométrique à proprement parler. La technique d'élaboration du gabarit est propre à chaque éditeur de logiciel biométrique.

Pour reconnaître un individu, on extrait des paramètres de l'image photographiée (empreinte, face, iris...) puis on compare le gabarit obtenu avec tous les paramètres précédemment extraits et sauvegardés.

La novation de ce système de reconnaissance à partir d'éléments de biométrie est son caractère automatisé par le recours à l'informatique.

Jusqu'à présent l'identification se faisait à partir de trois moyens principaux :

_ Sur la reconnaissance visuelle des individus. Mais il existe deux problèmes principaux ; le coût de l'immobilisation d'une personne (gardien), qui limite les points de contrôle et souvent impose des horaires d'ouverture et de fermeture ; en outre, ce type de contrôle est lié au sérieux du contrôleur qui peut se laisser abuser par des ressemblances et être sensible à des éléments tels que la fatigue.

_ Sur une possession : clé, carte à puce... mais il y a un risque de perte.

_ Sur une connaissance : code carte bleue, code pin, mot de passe... mais il y a un risque d'oubli.

Avec la biométrie, nous disposons de systèmes automatisés permettant de reconnaître les personnes avec une grande précision sans avoir besoin de carte ni de mot de passe. Sa palette d'utilisation est très large :

- elle peut être utilisée dans des documents d'identification tels que par exemple une carte d'identité, un passeport, un permis de conduire, etc...

- pour le contrôle de prestations sociales, votre Rapporteur ayant pu constater que cet usage était particulièrement important aux Etats-Unis.

- pour restreindre l'accès à des appareils privés : PC, téléphones portables....

- pour restreindre l'accès à des pièces sécurisées : coffres, salles de produits dangereux...

- pour permettre l'identification d'une personne sur un réseau : e-commerce.

Si aujourd'hui la biométrie peut se développer, elle le doit d'abord à un confort d'utilisation accru.

La vitesse d'acquisition constitue un autre facteur très important. Une vitesse de 6 à 10 secondes par personne est en général considérée comme acceptable, et ce n'est que récemment que les systèmes biométriques ont pu atteindre ces vitesses.

La combinaison de l'optronique et de l'informatique permet aujourd'hui de développer des systèmes qui présentent un grand confort d'utilisation qui à terme pourra être accru par de nouvelles puces qui ont fait leur apparition sur le marché. Elles peuvent intégrer les données biométriques et être interrogées par des ondes radio cryptées ce qui autorise un passage sans avoir à sortir un document de sa poche.

Ce mouvement n'est d'ailleurs pas achevé. Des constructeurs développent des outils numériques d'identification biométrique destinés aux ordinateurs de demain, ceux qui auront assez de puissance pour faire tourner des applications complexes de calculs géométriques en 3D en temps réel.

Ces fonctions réclament une puissance de calcul que les processeurs actuels ont du mal à fournir pour peu que les besoins en reconnaissance soient un peu élevés.

La reconnaissance faciale a encore de gros progrès à faire avant d'être fiable dans les aéroports ; l'arrivée de nouveaux processeurs, la baisse des tarifs des caméras et d'autres technologies permettront de traiter mieux et plus vite les algorithmes temps réels.

La mise sur le marché de systèmes automatisés et fiables n'exclut pourtant pas toute présence humaine. Celle-ci demeure nécessaire pour contrôler l'enregistrement des données, du moins pour l'accès aux zones sécurisées et surtout pour gérer les résultats erronés.

b) Une vaste palette d'outils

Au cours de ses visites et missions, votre Rapporteur a pu tester la quasi-totalité de la palette des produits existants sur le marché ou en cours de développement dans des laboratoires. Certains industriels ont tendance à présenter leur système comme le meilleur, car le plus sûr et le plus facile d'emploi, mais il est essentiel de considérer que les différents outils obéissent à des finalités variées et à des objectifs différents.

Aussi passerons-nous en revue les différents produits disponibles à l'aide d'une grille d'analyse relativement simple prenant en compte le confort d'utilisation, la précision, puis le rapport qualité-prix et, enfin, le degré de sécurité, point fondamental même s'il est plus difficile à appréhender, comme nous le verrons dans la partie suivante.

Certains systèmes tels que la reconnaissance à partir de la démarche, que votre Rapporteur a pu voir fonctionner en laboratoire, sont encore loin d'être opérationnels et les recherches effectuées dans ce domaine sont extrêmement diverses et fragmentées.

Un recensement exhaustif s'avère ainsi irréaliste.

L'analyse des systèmes commercialisés ou en voie de l'être permet toutefois de prendre la mesure de la variété des solutions proposées et de « diagnostiquer » une diversification croissante des produits qui seront mis sur le marché dans les prochaines années.

Les outils de reconnaissance anatomique

- L'empreinte digitale : Un système éprouvé d'un bon rapport qualité prix

Il s'agit de la technique la plus ancienne¹² et la plus répandue, car très nettement dominante parmi les « grands systèmes » traitant plusieurs millions de données biométriques.

Dès 1901 cette méthode d'identification a été adoptée par Scotland Yard et dès 1903 par la Préfecture de police, ce qui explique sa très forte connotation policière.

Le fonctionnement repose sur les principes suivants : un capteur prend une image du doigt, un logiciel repère les emplacements remarquables sillons avec crêtes et vallées, minuties (arche, boucle et tourbillon) et les transforme en un code informatique. Les systèmes haut de gamme ayant un grand nombre de points sont très précis et sont aussi capables de vérifier que l'empreinte appartient bien à un doigt et non à un moulage.

Suivant le niveau de sécurité recherché, les logiciels examineront entre une dizaine de minuties pour des systèmes peu discriminants et plus de quatre-vingts pour des systèmes de haute sécurité.

Le dispositif d'authentification de l'empreinte digitale est composé de trois éléments:

- un lecteur (prise d'image des empreintes digitales);

- un logiciel de traitement (algorithmes d'extraction des minuties de comparaison) ;

- une électronique de traitement (en général un ordinateur).

Des progrès très marquants ont été réalisés ces dernières années en matière de capture d'images.

Il existe, en effet, diverses méthodes pour l'acquisition de l'empreinte :

- Optique : un appareil photo numérique peut être utilisé pour prendre une image de l'empreinte digitale. Le doigt est placé sur une vitre suffisamment éclairée avec une lentille en dessous. Deux inconvénients sont cependant à regretter : une image reste sur le verre qui peut être réutilisée et il est très difficile de distinguer les vrais doigts et les bonnes imitations.

- Capacitive : Le doigt est placé sur un maillage de pixels sensibles aux différences de charges, qui captent la variation locale de capacitance entre les crêtes (majoritairement constituées d'eau) et les vallées (air). Une image peut alors être construite à partir de la forme des crêtes et des vallées. Même si cette méthode est très sensible aux décharges électrostatiques (ESD) et aux champs électriques parasites et même si elle peut être facilement trompée par une empreinte digitale artificielle, elle est le plus largement utilisée pour la prise d'empreintes digitales.

- Radio : Une onde radio de faible intensité est transmise au doigt, et agit comme un transmetteur, la variation de distance introduite par les crêtes et les vallées pouvant être détectée par des pixels agissant comme des antennes. Cela nécessite que le doigt soit en contact avec la région émettrice du détecteur (souvent en périphérie). Cette technologie reposant sur une propriété de la peau, il est difficile de tromper un détecteur radio avec une empreinte artificielle. Le seul point faible de cette technique est la nécessité d'une bonne qualité de contact entre le doigt et l'anneau transmetteur et le risque de surchauffe désagréable.

- Pression : Avec des piézo-électriques, une surface sensible à la pression peut être élaborée qui détermine l'empreinte digitale quand l'utilisateur appuie un doigt dessus. Certaines entreprises développent des produits avec cette technologie, malgré les nombreux inconvénients qu'elle comporte : peu de sensibilité, incapacité à distinguer un faux moulage d'empreinte et risque de dommage si une pression trop forte est appliquée.

- MEMS : un ensemble de détecteurs type MEMS (micro-electro-mechanical systems ) a été construit en laboratoire. Il permet de repérer les crêtes et les vallées d'une empreinte digitale. Toutefois, ce composant n'est pas très robuste et il ne permet pas de distinguer un vrai doigt d'un faux.

- Thermique : des pyro-électriques qui convertissent une différence de température en une différence de tension sont utilisés. La différence de température entre les crêtes en contact avec le détecteur et les vallées donne un dessin de l'empreinte. Cette méthode présente de nombreux avantages : pas de signal transmis au doigt, bonne immunité aux décharges électrostatiques, fonctionnement à des températures extrêmes comme à température ambiante et, enfin, impossibilité de berner le système avec un moulage. Il y a néanmoins un désavantage de taille : l'image thermique disparaît très vite. Au début il y a une grosse différence de température entre le doigt et le détecteur, mais en 1/10^ème de seconde les deux atteignent la même température et l'image disparaît.

Enfin, il existe d'autres technologies telles que les ultrasons pour capturer l'image d'une empreinte digitale. Toutefois, elles sont moins adaptées aux applications impliquant des productions importantes.

Lors de la prise de ces images, par l'une ou l'autre de ces techniques, deux procédés peuvent être utilisés : soit le doigt est statique et posé sur une surface qui englobe toute l'empreinte à photographier pendant tout le temps nécessaire, soit le doigt glisse sur un petit rectangle suffisamment large, mais long seulement de quelques pixels. Avec la première méthode, l'image est obtenue d'un seul coup, mais cela nécessite une grande surface active et une image rémanente reste sur la surface. Pour la seconde méthode, l'empreinte est scannée et reconstituée après informatiquement et, dans ce cas, il n'existe pas de risque d'image résiduelle, et la fabrication s'effectue à un moindre coût, car la surface active est plus petite.

Une fois l'empreinte digitale de l'utilisateur stockée dans un fichier, il faut vérifier la concordance entre la personne contrôlée et celle dont l'identité est stockée.

Le demandeur d'accès est invité à placer son doigt sur le lecteur. L'image est digitalisée et analysée afin d'en extraire les éléments caractéristiques.

La "signature" de l'empreinte est comparée avec le fichier préalablement enregistré sous la même identité.

Le système autorise ou refuse l'accès, en fonction du résultat de la comparaison des deux fichiers "signature".

Une fois l'image saisie, elle est comparée à l'image de référence stockée ou, plus exactement, aux points remarquables transformés en code informatique.

Le système calcule un facteur de qualité qui permet d'établir un critère automatique de fiabilité de la "signature" de l'empreinte.

Le système de vérification d'identité est basé sur la comparaison de deux ensembles de minuties (fichier "signature"), correspondants respectivement à deux doigts à comparer. Pour déterminer si deux ensembles de minuties extraits de deux images correspondent à des empreintes du même doigt, il est nécessaire d'adopter un système de comparaison qui soit insensible à d'éventuelles interprétations, rotations et déformations qui affectent systématiquement les empreintes digitales.

A partir de deux ensembles de minuties extraites, le système est capable de donner un indice de similitude ou de correspondance qui vaut :

0 % si les empreintes sont totalement différentes ;

100 % si les empreintes viennent de la même image.

Deux fichiers "signature" calculés à partir de la même empreinte ne donneront jamais 100 % de ressemblance du fait des différences qui existent lors de l'acquisition de deux images (petites déformations ou déplacements), ils donneront cependant toujours un niveau élevé de similitude.

Déterminer, à partir de cet indice de similitude, si deux empreintes sont issues du même doigt est une question purement statistique. Pour décider d'accepter la similitude entre deux "signatures", il faut établir un seuil d'acceptation.

Avec un petit nombre de minuties (15 ou 20) correctement localisées, il est possible d'identifier une empreinte parmi plusieurs millions d'exemplaires.

Généralement, chaque minutie occupe environ un espace de 16 octets sans compactage ni compression. Ceci explique la taille de chaque fichier signature, 240 octets pour 15 minuties et 1600 octets pour 100 minuties.

En matière d'empreintes digitales, des progrès significatifs sont enregistrés dans le domaine de la miniaturisation et autorisent aujourd'hui le recours aux empreintes digitales par l'intégration des capteurs dans la majorité des applications (téléphones, récepteur FSE).

Aujourd'hui, les matériels retenus présentent un certain nombre d'avantages tels que le faible coût des lecteurs grâce aux nouveaux capteurs de type "Chip silicium", et la rapidité des traitements.

- L'authentification par la géométrie de la main

Cette technique de reconnaissance, bien que basée sur la même partie du corps, est moins contraignante que la reconnaissance d'empreintes digitales, la saleté et les petites coupures n'empêchant pas l'identification.

La forme de la main est acquise par un scanner spécialisé, généralement à infrarouge. Des paramètres tels que la longueur des doigts, leur épaisseur et leur position relative sont extraits de l'image et comparés à la base de donnée. Cette biométrie est toutefois sujette aux modifications de la forme de la main liées notamment au vieillissement.

Le système prend une photographie de la main et examine 90 caractéristiques, y compris la forme tridimensionnelle de la main, de la longueur et de la largeur des doigts et de la forme des articulations.

Pour utiliser la géométrie de la main, l'utilisateur place sa main sur une platine possédant des guides pour positionner les doigts.

Les lecteurs de géométrie de la main sont de grande taille.

Très simple à utiliser, cette technologie rencontre cependant des limites : elle est trop encombrante pour un usage sur un bureau (par exemple pour ouvrir un ordinateur). De plus, le coût des lecteurs est sensiblement plus élevé que pour l'empreinte digitale.

- La reconnaissance par l'iris : un système sûr mais « fermé »

L'utilisation de l'iris pour l'identification remonte aux années 50, mais ce n'est qu'à partir des années 80 que J. Daugman conçoit une méthode basée sur les ondes de Gabor. L'identification par l'iris utilise plus de paramètres que la plupart des autres méthodes d'identification et la fiabilité qui en résulte permet le passage de l'identification à l'authentification. Par contre, cette méthode est protégée par des brevets qui limitent son développement.

L'iris est la zone colorée visible entre le blanc de l'oeil et la pupille. Les stries qui forment la base des muscles ciliaires du cristallin sont stables durant toute la vie de l'individu. La forme de l'iris, c'est-à-dire l'enchevêtrement des tubes, est fixe et ne varie que très peu durant la vie de l'individu.

Par contre, la couleur (des tubes) varie un peu avec le temps (5 à 10 ans) et sous l'impact de certaines maladies.

L'iris n'est pas lié à l'ADN : les deux iris d'un individu ont a peu près la même couleur mais leur forme (enchevêtrement des tubes) est aussi différente que celle de l'iris d'une autre personne. Ainsi, deux vrais jumeaux ont quatre iris autant différenciés que ceux de deux personnes aléatoirement sélectionnées.

L'iris contient une quantité d'informations particulièrement importante, que certains n'hésitent pas à comparer à la quantité d'informations contenues dans l'ADN. Cela est probablement exagéré, mais la crainte que des informations relatives à la santé puissent être obtenues à partir de l'iris est réelle. L'iris n'occupe qu'une surface très faible. L'observation pratique à travers un système optique ne permet de déceler que des contours macroscopiques et non de descendre au niveau des tubes élémentaires. Toutefois, ceci évolue avec la précision des capteurs. Les iris sont néanmoins suffisamment variés pour qu'une approximation de l'information totale suffise à certifier l'identité d'un individu.

Les systèmes performants, en contrôlant que l'iris change de taille avec l'intensité de la lumière, ne sont même pas bernés par une image ou une lentille reproduisant le dessin de l'iris d'une personne. Cette technique couvre seulement 6% du marché de la biométrie car elle reste chère à mettre en œuvre et elle oblige à scanner l'œil, ce qui rebute beaucoup les utilisateurs. Cependant, votre Rapporteur a testé ces systèmes au Japon et il a pu constater leur facilité d'usage et leur absence de caractère intrusif, car il suffit de fixer à distance une caméra qui est moins exposée qu'un capteur avec contact comme pour le capteur d'empreintes.

Toutefois, l'éclairage de l'iris pose un problème de reflets car le nombre de questions à résoudre augmente presque proportionnellement avec la distance Oeil-Caméra, ce que votre Rapporteur a pu constater à l'aéroport de Tokyo-Narita.

- La rétine :

La lecture des caractéristiques de la rétine est une technologie plus ancienne que la lecture de l'iris. L'image rétinienne est capturée à l'aide d'un éclairage infra-rouge non visible et en intensité inoffensive entrant et ressortant de la pupille.

La rétine est la couche sensorielle de l'œil qui permet la vision. Cette zone est parcourue par des vaisseaux sanguins qui émergent au niveau de la papille optique, où l'on distingue l'artère et la veine centrale de la rétine qui se divisent elles-mêmes en artères et veines de diamètre plus faible pour vasculariser les cellules qui permettent la vision. La grande variété de configuration des vaisseaux sanguins présenterait la même diversité que les empreintes digitales. L'aspect des vaisseaux peut être modifié par l'âge ou la maladie, mais la position respective des vaisseaux reste inchangée durant toute la vie de l'individu et cette carte vasculaire est propre à chaque individu, elle diffère entre 2 jumeaux.

Une caméra est utilisée pour capturer la cartographie des vaisseaux, pour cela il est nécessaire d'illuminer le fond de l'œil.

Aussi, cette technologie, très précise, s'avère-t-elle bien contraignante puisqu'il faut scanner la rétine avec une lumière infrarouge intense. Une fois que les yeux sont illuminés, un balayage est réalisé pour capturer les caractéristiques de la rétine. Le procédé est donc non seulement invasif, mais aussi difficile à mettre en œuvre. De ce fait, cette technique n'a pas reçu une bonne acceptation par le grand public en raison de la nécessité de placer ses yeux à proximité de la tête de lecture du système (à moins de 4 centimètres).

Réputé comme étant l'un des plus fiables moyens biométriques, car les lecteurs de rétine identifient jusqu'à 192 points de repères, ce système souffre d'une réticence psychologique de l'usager.

- La reconnaissance faciale

Les premières études théoriques remontent au début des années 1970 et les premiers systèmes industriels ont vu le jour au milieu des années 1990.

Cette technologie a de plus en plus d'adeptes avec 15% de parts de marché. Elle s'appuie sur deux méthodes :

- la recherche des caractéristiques principales du visage comme l'écart entre les deux yeux, l'écartement des narines ou encore la largeur de la bouche, ce qui permet de construire une carte du faciès ;

- l'analyse globale de l'image du visage par des techniques statistiques.

Il existe deux moyens d'investigation. Soit le sujet est fixe et bien éclairé et la technologie est alors très au point. Soit le visage est reconnu en mouvement, sur une vidéo mais avec un fort taux d'échec.

La plupart des systèmes d'identification du visage utilisent du matériel standard, un ordinateur et une caméra pour capturer l'image.

L'image est enregistrée dans une base de données exigeant approximativement 100 à 200 octets de mémoire par image. Ces systèmes utilisent des mesures de distances entre divers éléments du visage comme moyen de vérification. Très simple à utiliser, le lecteur (caméra) est cependant coûteux.

L'authentification faciale est une biométrie relativement peu sûre. En effet, le signal acquis est sujet à des variations beaucoup plus élevées que d'autres caractéristiques. Celles-ci peuvent être causées, entre autres, par le maquillage, la pilosité, la présence ou l'absence de lunettes, le vieillissement et l'expression d'une émotion. La méthode d'authentification du visage est sensible à la variation de l'éclairage et au changement de la position du visage lors de l'acquisition de l'image. Ces variables (lunettes de soleil, moustaches et barbes, expressions faciales anormales, inclinaison importante de la tête) peuvent causer des anomalies avec des systèmes d'identification du visage.

- Le réseau veineux

Cette technique récente semble prometteuse. Elle sonde par infrarouge le dessin du réseau veineux, soit du doigt, soit de la main. Les premiers produits viennent d'être mis sur le marché.

Des espoirs peuvent être fondés sur cette technologie qui présente de nombreux avantages, car elle permet de prendre une empreinte sans contact et sans laisser de trace, elle est en outre très difficile à déjouer par un imposteur.

- La thermographie du visage

Cette technique, proche de la précédente, avec les mêmes avantages et inconvénients, utilise une caméra infra rouge pour faire apparaître une répartition de chaleur du visage unique à chaque individu.

Cette technique est encore trop expérimentale pour susciter de longs développements. Il en va de même pour le recours à la dentition, l'odeur, la pression sanguine, la forme de l'oreille....

Les outils de reconnaissance dynamique

Il s'agit des techniques d'authentification à partir de la capacité à reproduire un geste. On emploie en général le terme de technique par apprentissage. Actuellement les recherches portent principalement sur trois techniques : la reconnaissance vocale, la reconnaissance dynamique des signatures et l'authentification par la frappe sur un clavier Ces techniques paraissent aujourd'hui plus adaptées à la sécurisation d'outils personnels (de type ordinateur ou au commerce électronique) qu'à l'accès à des zones sécurisées.

- La reconnaissance vocale :

Les recherches remontent à l'apparition du téléphone, mais l'explosion du téléphone mobile et d'internet ont fait progresser les recherches.

La vérification vocale consiste à reconnaître automatiquement l'identité d'une personne prononçant une ou plusieurs phrases en déterminant si un locuteur est bien celui qu'il prétend être, comme un auditeur humain identifie son interlocuteur au cours d'une conversation. Pour cela, le système dispose, en entrée, d'un échantillon de parole et d'une identité proclamée. Une mesure de ressemblance est calculée entre l'échantillon et la référence du locuteur correspondant à l'identité proclamée. Si cette mesure est en-dessous d'un certain seuil, le système accepte le locuteur ; dans le cas contraire, le locuteur est considéré comme un imposteur et rejeté.

Il existe plusieurs types d'applications :

- les applications «sur site» : serrures vocales pour contrôle d'accès, cabines bancaires en libre service,

- les applications liées aux télécommunications : ces applications concernent l'identification du locuteur à travers le réseau téléphonique pour accéder à un service ou pour identifier un interlocuteur ,

- les applications judiciaires : recherche de suspects, orientations d'enquêtes, preuves lors d'un jugement.

Dans le cas des applications « sur site », l'environnement de prononciation de la phrase ou du mot de passe est plus facilement contrôlé que dans le cas des applications via le réseau téléphonique (distorsions dues au canal, différences entre les combinés téléphoniques, bande passante limitée). A cela s'ajoute le fait que le locuteur peut être non-coopératif.

Le principal avantage de cette technique est d'autoriser une reconnaissance à distance. Cette technique a une bonne acceptabilité, mais présente, à l'évidence, un niveau de sécurité inférieur aux autres techniques. Il est relativement facile d'enregistrer et de reproduire une voix. Il est possible de s'affranchir de ce problème en faisant varier la phrase à prononcer, ou en couplant cette technique avec la prononciation d'un mot de passe. Mais la reconnaissance vocale nécessite aussi une excellente qualité audio, il est impossible de l'installer dans un lieu avec des bruits de fond. Enfin la technique reste assez peu fiable : deux voix ne diffèrent que d'assez peu et une même voix est sujette à variation du fait de maladies...

De fait, ces systèmes peuvent présenter un intérêt pour l'accès d'un petit nombre de personnes à une pièce peu sécurisée ou dans des applications grand public pour utiliser, par exemple, un téléphone portable.

L'identification de la voix est considérée par les utilisateurs comme une des formes les plus normales de la technologie biométrique, car elle n'est pas intrusive et n'exige aucun contact physique avec le lecteur du système.

Les systèmes d'identification de la voix se concentrent sur les seules caractéristiques de voix qui sont uniques à la configuration de la parole d'un individu. Ces configurations de la parole sont constituées par une combinaison des facteurs comportementaux et physiologiques.

La plupart des systèmes d'identification de la voix utilisent l'affichage d'un texte : des mots spécifiques doivent être lus puis parlés afin de vérifier que la personne à authentifier est bien présente et qu'il ne s'agit pas d'un enregistrement.

Il n'est pas possible d'imiter la voix d'une personne inscrite dans la base de données. La variabilité d'une personne à une autre démontre les différences du signal de parole en fonction du locuteur. Cette variabilité, utile pour différencier les locuteurs, est également mélangée à d'autres types de variabilité - variabilité due au contenu linguistique, variabilité intra-locuteur (qui fait que la voix dépend aussi de l'état physique et émotionnel d'un individu), variabilité due aux conditions d'enregistrement du signal de parole (bruit ambiant, microphone utilisé, lignes de transmission) - qui peuvent rendre l'identification du locuteur plus difficile.

Malgré toutes ces difficultés apparentes, la voix reste un moyen biométrique intéressant à exploiter, car pratique et disponible via le réseau téléphonique pour un bon niveau de fiabilité, contrairement à ses concurrents.

Toutefois, la fatigue, le stress ou un rhume peuvent provoquer des variations de la voix et générer des perturbations. La fraude est également possible avec certains dispositifs en enregistrant, à son insu, la voix d'une personne autorisée.

Une dégradation croissante des performances a été observée au fur et à mesure que le temps qui sépare la session d'enregistrement de la session de test augmente. De plus, le comportement des locuteurs se modifie lorsque ceux-ci s'habituent au système. Les modèles des locuteurs doivent donc être régulièrement mis à jour avec les nouvelles données d'exploitation du système. Les altérations de la voix dues à l'état physique (fatigue, rhume) ou émotionnel (stress), lorsqu'ils sont importants, peuvent mettre aussi en échec l'efficacité de certains systèmes.

La plupart des problèmes rencontrés en vérification vocale sont dus à une inégalité entre les conditions d'apprentissage et les conditions de test : variabilité due au locuteur, au canal de transmission ou aux conditions d'enregistrement.

Pour des raisons pratiques, les modèles doivent être mis à jour en utilisant les données d'exploitation. On peut soit ré-estimer les modèles des locuteurs en utilisant les données d'apprentissage initiales et les nouvelles données d'exploitation, soit adapter le modèle initial du locuteur avec les données d'exploitation. Cette deuxième alternative ne nécessite aucun stockage des données de sessions précédentes puisque l'adaptation se fait « en ligne ». L'adaptation des modèles est particulièrement nécessaire sur de la parole téléphonique pour prendre en compte les différentes conditions d'appel (combiné, canal, ...). Une première solution consiste à créer le modèle d'un locuteur à partir de différents environnements d'appel.

- La signature dynamique

Cette solution peut présenter un intérêt en particulier dans le commerce électronique, mais il s'agit plus d'une méthode d'authentification que d'identification et, malgré les progrès techniques, le risque de contre-façon est loin d'être négligeable.

- La frappe sur un clavier

Cette technique repose sur les particularités de chaque individu lorsqu'il frappe sur un clavier, en particulier, la force avec laquelle il frappe. En l'état actuel des techniques, cette méthode peut difficilement être regardée comme une technique de haute sécurité, mais plus comme une technique de substitution à un code pour ouvrir un appareil électronique.

2 - Analyse des défaillances techniques des systèmes biométriques.

Une analyse objective des performances techniques des systèmes biométriques et de leurs faiblesses éventuelles se heurte à diverses difficultés.

D'une part, il est malaisé d'isoler dans les systèmes biométriques les défaillances imputables aux dispositifs eux-mêmes de celles liées à l'environnement technique, physique, voire juridique dans lequel ils sont implantés. C'est ainsi que beaucoup d'études se proposant d'analyser les performances des systèmes biométriques reposent sur une confusion irréductible entre les critères permettant d'apprécier la fiabilité des produits et les contraintes devant être prises en compte lorsqu'il est envisagé de les implanter et qui déterminent largement l'opportunité d'une telle implantation eu égard aux finalités recherchées¹³.

D'autre part, la diversité des techniques biométriques, dont certaines sont éprouvées dans des domaines d'application plus ou moins spécialisés et d'autres sont encore « émergentes », rend les analyses plus compliquées encore. Celles-ci privilégient en effet tantôt les résultats empiriques d'applications opérationnelles, tantôt les résultats de tests effectués dans des laboratoires, voire parfois mêlent les uns et les autres. Or ces résultats diffèrent sensiblement selon la nature de l'application, la taille des bases utilisées et l'environnement. Les conclusions peuvent ainsi diverger selon que sont retenues les performances « réelles » ou les performances « virtuelles » d'un système déterminé.

Enfin, les mesures de performance issues des tests sont elles-mêmes controversées. La qualité technique des tests effectués est souvent débattue et l'impartialité des organismes généralement mise en doute.

En dépit de ces difficultés, il est possible d'identifier deux faiblesses essentielles habituellement évoquées pour mettre en doute la fiabilité des systèmes biométriques. L'une découle de la composante humaine des systèmes biométriques, l'autre provient de leur assise statistique.

a) La composante humaine des systèmes biométriques.

Schématiquement, les systèmes biométriques se proposent de comparer deux (vérification /« one to one comparison ») ou plusieurs (identification / « one to many comparison ») échantillons et de déterminer automatiquement s'il y a ou pas ressemblance des échantillons. A partir de cette ressemblance (« match ») ou de cette différence (« non-match »), on conclut que les deux échantillons apparentés proviennent de la même personne ou, au contraire, en cas de non apparentement que les échantillons ne proviennent pas de la même personne.

L'individu est ainsi sollicité à deux reprises, lors du prélèvement du premier échantillon qui servira de référence et lors du prélèvement du second échantillon qui sera comparé au précédent.

Il est, en effet, communément admis que le processus des systèmes biométriques comporte deux phases : l'enrôlement au cours duquel l'information biométrique d'une personne est ajoutée au système et la vérification / identification au cours de laquelle une nouvelle information biométrique (« live biometric ») est comparée à celle(s) déjà enregistrée(s), cette comparaison, automatisée, devant en principe avoir lieu dès la saisie de la seconde information (en temps réel).

Un certain nombre de procédures utilisant des données biométriques ne répondent pas à ces prescriptions. Les enquêtes menées dans le domaine de la médecine légale ou dans le cadre d'investigations policières sont, par exemple, plus sophistiquées et il revient à l'expert de prendre en compte un ensemble de données relatives notamment aux circonstances dans lesquelles les échantillons ont été collectés et d'analyser les résultats observés¹⁴. De même, le processus précédemment décrit se distingue de celui, également automatisé, qui consisterait à comparer deux enregistrements identiques d'un même échantillon, mais issus d'une duplication, situation qui pourrait se produire dans le cas où la même image biométrique serait stockée sur deux supports différents (carte et base de données par exemple), le contrôle ne portant pas alors sur le détenteur de la carte, mais seulement sur l'identité des données biométriques contenues sur chacun des supports.

Toutes les études insistent sur le caractère crucial de la phase de prélèvement des échantillons (« enrôlement »). Lors de la capture des échantillons (« samples »), certaines caractéristiques (« features ») sont en effet extraites pour former le gabarit (« template ») qui sera utilisé pour la comparaison et la qualité du gabarit détermine largement la performance du système.

Les critiques formulées à l'encontre des systèmes biométriques portent ainsi souvent sur la difficulté à gérer la relation homme-machine¹⁵ .

La contrainte psychologique est ainsi fréquemment analysée : les systèmes biométriques seraient d'autant plus efficaces que la personne coopérerait au processus. Cette notion de coopération recouvre deux caractères comportementaux, l'un relatif à l'acceptabilité du processus mis en œuvre, l'autre afférent à l'apprentissage du processus par la personne qui s'y soumet.

Sur le premier point (l'acceptabilité), les études prennent généralement en compte les réticences telles que la peur de la technique, la crainte d'une atteinte à la vie privée, l'aversion du contact physique avec un objet¹⁶ (certaines techniques telles que la reconnaissance rétinienne sont ainsi jugées trop « intrusives ») ou l'image négative que peut avoir telle technique dans l'opinion publique (l'empreinte digitale est à cet égard souvent mentionnée).

Les difficultés d'adaptation des personnes aux exigences techniques des procédés utilisés sont aussi mises en évidence. Certaines techniques sont plus faciles à mettre en œuvre que d'autres. On a pu aussi constater¹⁷ que l'âge, le sexe ou l'origine ethnique voire sociale (les hommes d'affaires présenteraient ainsi une meilleure aptitude pour se soumettre à un contrôle de l'iris) pouvaient affecter la performance de certaines techniques et les « faux rejets » seraient plus nombreux chez les jeunes et les personnes âgées. Le Face Recognition Vendor Test 2002 (FRVT 2002) a ainsi révélé que, pour la reconnaissance faciale, les hommes sont plus facilement identifiables que les femmes et qu'il est plus aisé de reconnaître une personne âgée qu'un jeune individu.

Cependant, si ce genre de considérations méritent d'être prises en compte pour étudier l'opportunité de l'implantation d'un système donné, elles ne paraissent pas devoir constituer un critère de performance technique. On peut remarquer d'ailleurs que, d'une part, les analyses psychologiques n'aboutissent pas toujours à des conclusions identiques¹⁸, en raison notamment de l'imprécision des notions utilisées¹⁹ et, d'autre part, que les appréciations formulées sur un plan général ne se trouvent pas nécessairement vérifiées in concreto, lorsqu'une application particulière est implantée²⁰.

Sur le plan technique - mais nous verrons ultérieurement que la dimension humaine de la biométrie ne doit pas être prise en compte exclusivement sur ce plan -, deux observations peuvent être formulées.

En premier lieu, le caractère contraignant de la technique utilisée qui oblige la personne à se plier aux exigences techniques du procédé constitue généralement, à l'heure actuelle, un gage d'efficacité²¹. Les techniques de reconnaissance vocale ou faciale sont plus performantes dans un environnement contraint isolant la personne des effets perturbateurs du bruit ambiant ou des différences de luminosité. Le balayage rétinien est « invasif » mais d'une grande sécurité. En général d'ailleurs, une gamme de produits plus ou moins sophistiqués permet de tenir compte de la variété des situations et des populations concernées. Ainsi dans le domaine de l'empreinte digitale, le système peut fonctionner avec un seul doigt posé (applications civiles) ou exiger l'empreinte roulée des dix doigts (applications policières). Cette diversité de produits vise à couvrir la multiplicité des finalités des systèmes mis en place et donc des contextes d'utilisation.

En second lieu, afin de réduire les incertitudes inhérentes à la phase de capture, des paramètres de correction peuvent être intégrés. La reconnaissance faciale à partir d'images prises par des caméras de vidéosurveillance montre que la coopération des personnes n'est pas toujours nécessaire et certaines techniques contrôlent les effets de nombreux problèmes susceptibles d'affecter la qualité de l'échantillon. Les techniques de traitement d'images de plus en plus sophistiquées facilitent ainsi la lecture d'images distordues.

Plus convaincantes sont apparemment les considérations démographiques portant sur la généralité et la permanence d'une donnée biométrique déterminée et mettant l'accent sur la diversité, notamment dans le temps, de la personne humaine, sur les changements inévitables qui l'affectent et qui sont liés à l'âge, la maladie ou l'accident.

S'agissant de la généralité, le GAO²² a ainsi fortement insisté sur le fait que 1 à 3% des personnes ne présentent pas la donnée biométrique souhaitée (doigts coupés, mains amputées, borgnes, muets...) et en a conclu que la reconnaissance faciale constituait de ce point de vue la technique la plus sûre²³ !

En ce qui concerne la permanence, le BWG britannique a pour sa part pris soin de préciser que cette notion couvrait une période indéfinie, mais non pas infinie. Même la technique de l'empreinte digitale dont le caractère permanent a pourtant été démontré peut se trouver altérée : le vieillissement qui rend les doigts plus secs, le travail manuel et l'usage de détergents, une blessure peuvent compromettre sa fiabilité. Le BWG a ainsi recensé divers maux affectant la performance de systèmes biométriques et aucun système n'est épargné.

Ces remarques sont certainement pertinentes. Elles révèlent qu'aucun système n'est à l'abri d'impondérables. Mais ces difficultés ne semblent pas insurmontables ; tout au plus créent-elles des sujétions techniques supplémentaires lorsqu'une application est mise en œuvre (contrôle des enrôlements, mise en place de solutions alternatives ou « multimodales » pour les personnes insusceptibles de se faire enrôler, mise à jour des données biométriques enregistrées en procédant à un nouvel enrôlement).

La composante statistique des systèmes biométriques constitue une autre limite souvent évoquée pour contester la fiabilité des systèmes biométriques.

b) La composante statistique des systèmes biométriques : les taux d'erreurs.

Il est courant de trouver dans la « littérature » consacrée aux systèmes biométriques l'assertion suivante : les systèmes biométriques ne sont pas sûrs à 100% et il est irréaliste d'espérer de tels systèmes un taux nul d'erreur.

Une telle affirmation exprime une vérité, une réalité que l'on ne saurait contester. Néanmoins, l'insistance avec laquelle cette vérité est assénée mérite d'être analysée.

Quelle technique peut en effet se prétendre infaillible et apporter la preuve d'une performance à 100% en toutes circonstances ? Pourtant, on reproche communément aux systèmes biométriques de ne pas pouvoir atteindre la perfection. L'enjeu d'un tel débat n'est pas exclusivement technique et, en fait, derrière l'argument technique, se cachent souvent des intérêts politiques et économiques visant soit à empêcher l'application des techniques biométriques, soit à en retarder le développement. En effet, le déploiement des techniques biométriques non seulement effraie pour des raisons qui seront examinées ultérieurement, mais est aussi susceptible de remettre en cause des positions économiques acquises ou en voie d'être consolidées (producteurs de cartes, sécurité informatique notamment). La concurrence qui s'exerce sur le marché des techniques biométriques lui-même a fait de la performance un critère d'arbitrage, de choix entre les différentes techniques proposées. Alors que certains produits sont depuis plusieurs années opérationnels, la plupart des technologies en sont encore aux stades de la recherche et de l'expérimentation et plus les techniques seront testées, plus elles seront performantes.

Si la question des taux d'erreurs est essentielle, on assiste actuellement à une véritable « guerre des taux » qui ne peut que nuire à un examen serein des enjeux en présence.

Trois approches peuvent être identifiées dans ce domaine, l'une mettant en doute l'unicité d'une donnée biométrique déterminée, l'autre insistant sur le caractère approximatif des systèmes de vérification ou d'identification fondés sur une donnée biométrique, la troisième visant à comparer les taux d'erreurs des différents systèmes.

La question de l'unicité est importante puisque les systèmes biométriques prétendent relier une donnée à une personne. Elle recouvre en fait deux problèmes : l'unicité du caractère biométrique choisi et l'unicité de la mesure ou de la représentation graphique de ce caractère, l'un comme l'autre devant être propres à une seule personne.

Parce que l'unicité d'une donnée biométrique n'a jamais été scientifiquement démontrée, la biométrie repose sur des méthodes statistiques destinées à déterminer la probabilité que deux personnes présentent la même donnée.

Le GAO²⁴, dans l'annexe consacrée à l'empreinte digitale qui pourtant avec la rétine constitue l'une des données biométriques ayant fait l'objet de travaux scientifiques les plus sérieux depuis longtemps²⁵, a émis de nombreuses réserves. Après avoir noté que l'inspection manuelle de millions d'empreintes digitales avait conduit à reconnaître le principe de leur unicité, le GAO a rappelé que cette unicité n'avait jamais été formellement établie par des procédés scientifiques. Après avoir indiqué que le fichier du FBI était le plus étendu au monde avec 400 millions d'empreintes digitales et que le FBI n'avait jamais constaté deux empreintes digitales identiques provenant de deux personnes distinctes, le GAO a observé qu'aucun test n'avait été mené pour vérifier si les empreintes digitales enregistrées dans ce fichier étaient véritablement uniques, remarquant de surcroît qu'en mars 2000 le National Institute of Justice avait lancé une étude scientifique pour démontrer rigoureusement l'unicité des empreintes digitales.

Sur un plan pratique, la pertinence des interrogations portant sur l'unicité peut être considérée comme relative. Tout dépend en effet du taux de probabilité qu'une personne ait la même donnée qu'une autre. Cette probabilité varie selon la technique utilisée. Ainsi, pour dix points de comparaison, la probabilité de trouver les mêmes points disposés de façon identique sur les empreintes digitales de deux personnes différentes serait d'une chance sur un million et, pour 14 à 17 points, d'une chance sur 17 milliards²⁶ . En revanche aucun test n'aurait été réalisé pour déterminer la probabilité que deux personnes puissent avoir la même voix ou le même visage²⁷

Par ailleurs, la performance technique d'un système biométrique est mesurée sur la base de différents taux d'erreurs, la tolérance zéro étant irréaliste²⁸. Comme l'a souligné une étude émanant du gouvernement canadien, les techniques biométriques ne sont pas exactes à 100% ; elles restent approximatives, même si les caractéristiques humaines prises en compte étaient uniques. Cette approximation résulte des imprécisions des techniques appliquées et des différentes circonstances dans lesquelles les caractéristiques humaines sont présentées et mesurées²⁹.

Une étude consacrée à l'analyse statistique des performances des systèmes utilisant l'empreinte digitale³⁰ notait ainsi que la probabilité que quelqu'un d'autre ait une configuration identique était suffisamment faible pour écarter une fausse acceptation, mais que celle-ci demeurait, car l'utilisation de systèmes automatiques comportant des paramètres destinés à introduire une plus grande flexibilité pour détecter les caractères distordus et donc réduire le nombre de faux rejets, conduisait à augmenter la probabilité de fausses acceptations.

- FMR (" False Match Rate") et FAR ("False Acceptation Rate")

Ces taux déterminent la probabilité pour un système de « reconnaître » une personne qui normalement n'aurait pas dû être reconnue.

Le FMR, parfois appelé « false positive rate », indique la probabilité pour un système d'apparenter de façon erronée une personne à une donnée biométrique enregistrée.

Dans un système d'authentification ou d'identification positive, un apparentement erroné revient à autoriser l'accès à une personne qui n'était pas autorisée à y accéder. Dans un système d'identification négative où il s'agit de vérifier que la personne n'est pas déjà référencée dans le système pour lui accorder l'accès, l'apparentement erroné conduira à lui refuser l'accès alors qu'elle remplit les conditions pour y accéder.

Le taux de fausses acceptations est, quant à lui, le ratio entre le nombre de personnes qui ont été acceptées alors qu'elles n'auraient pas dû l'être et le nombre total de personnes non autorisées qui ont tenté de se faire accepter. Il se réfère généralement à la notion d'imposteur (rapport entre le nombre d'imposteurs qui sont de façon erronée acceptés et le nombre total d'imposteurs s'étant présentés)³¹.

- FNMR (« False Non-match Rate ») et FRR (« False Rejection Rate")

Ces taux déterminent la probabilité pour un système donné de ne pas « reconnaître » une personne qui normalement aurait dû être reconnue.

Le FNMR, parfois appelé « false negative rate » mesure la probabilité pour un système de ne pas apparenter une personne à sa donnée biométrique enregistrée. Dans un système d'authentification ou d'identification positive, un faux apparentement conduit à refuser l'accès à une personne pourtant autorisée à y accéder et dans un système d'identification négative, à permettre l'accès à une personne qui aurait dû être rejetée.

Le taux de faux rejets (FRR) est le ratio entre le nombre de personnes autorisées dont l'accès a été refusé et le nombre total de personnes autorisées s'étant présentées.

Les deux types de taux (FMR et FNMR ou FAR et FRR) sont reliés de façon inverse. A l'extrême, un FMR nul aboutit à ce que le FNMR soit égal à 1 et inversement un FNMR nul aboutit à porter le FMR à 1. Cela signifie que l'excès de rigueur dans la comparaison, en exigeant une similitude totale des éléments comparés, conduit à rejeter tout le monde ou, ce qui revient au même à n'accepter personne (aucun apparentement) et qu'à l'inverse un laxisme excessif dans la comparaison aboutit à accepter tout le monde ou, ce qui revient au même, à ne rejeter personne (aucun non apparentement).

Il existe, en effet, forcément une zone d'incertitude où il est difficile d'arbitrer parce que les éléments que l'on compare sont très ressemblants bien que provenant de deux personnes différentes ou qu'ils présentent des différences bien qu'issus de la même personne. Les systèmes définissent donc un seuil permettant de gérer les écarts entre le gabarit enregistré et l'échantillon réel et généralement les producteurs fournissent les moyens de contrôler ce seuil pour leur système. Par exemple, pour une application visant à contrôler l'accès de personnes autorisées à une zone hautement sécurisée, le FAR devra être le plus bas possible au risque d'augmenter le taux des rejets erronés.

D'autres taux sont utilisés, tels que l'EER (« Equal Error Rate ») qui définit un compromis généralement retenu pour les applications civiles consistant à obtenir une égalité entre le FFR et le FAR ou entre le FMR et le FNMR ou encore le FTER (« Failure To Enrol Rate ») qui mesure la probabilité qu'une personne ne puisse être enrôlée pour des raisons physiques tenant à la personne ou techniques liées au dispositif de capture. Mais l'augmentation du taux d'échec à l'enrôlement, lorsqu'elle est délibérée et destinée à éliminer les images de mauvaise qualité ne pouvant servir de référence pour les comparaisons futures peut permettre une diminution des taux d'erreurs (FM ou FNM).

Si ces différents taux permettent de donner une mesure objective de la performance d'un système donné, ils ne peuvent à l'heure actuelle servir de critères de comparaison.

D'une part en effet, actuellement, seuls certains systèmes, dans un nombre limité d'environnements par application, ont été testés³² et les méthodes de test en sont elles-mêmes à un stade d'essai. Des paramètres de performance ont été définis en laboratoire mais n'ont pas été vérifiés dans un environnement réel.

Les résultats théoriques paraissent prometteurs puisque des FMR de 1 sur 100 000, 1 sur 1 000 000 000, voire 1 sur 10⁷⁸et des FNMR de 1%, 0,1% ou 0,01% sont affichés.

Mais une certaine suspicion demeure. On assiste en effet aujourd'hui à une véritable « guerre des taux » qui reflète la concurrence s'exerçant sur le marché, voire des segments de celui-ci, et les comparaisons ne paraissent pas toujours impartiales, ni très sérieuses³³, faute d'organisme agréé de certification.

Néanmoins plusieurs bases de données biométriques ont été constituées pour les tests (NIST, NBTC National Biometrics Test Center de San José en Californie, Programme AFIS Automated Fingerprint Identification System, le projet ESPRIT dans le cadre du National Physical Laboratory au Royaume Uni ou encore le projet BIOTEST engagé dans le cadre européen).

A titre d'exemple, le National Physical Laboratory britannique a publié récemment ³⁴ un test comparatif de huit techniques réalisé sur la base de 200 volontaires s'étant soumis trois fois, à trois occasions, à la procédure de test, lequel a ainsi porté sur 1 800 gabarits pour chaque technique et 2 millions de combinaisons. Les résultats sont présentés dans le tableau suivant qui révèle, pour le FAR, un écart de 1 à 10 entre le deuxième algorithme et le premier algorithme utilisés pour la reconnaissance des empreintes digitales :

*Techniques testées*	*FAR*	*FRR*	*FER*
Iris	0,0001 %	0,25 %	~ 0,5 %
Empreintes digitales (2)*	0,008 %	2,5 %	~1 %
Voix	0,03 %	2 %	~ 0
Empreintes digitales (1)*	0,08 %	6 %	~1 %
Géométrie de la main	0,70 %	0,5 %	~0
Empreintes digitales (optique)	0,45 %	11 %	~2 %
Face	0,45 %	17 %	~ 0

* Algorithmes différents

Des travaux sont par ailleurs en voie de réalisation pour définir de « bonnes pratiques » dans le domaine des tests de performance des produits biométriques. Telle est notamment la fonction du Biometric Working Group britannique.

3 - Comparaison des systèmes biométriques

L'analyse comparée des performances respectives des différentes techniques biométriques constitue un élément essentiel pour les décideurs publics ou privés et, depuis quelques années, les travaux de comparaison se sont multipliés. La perspective d'un développement de ces techniques dans le domaine civil notamment et l'apparition de nouvelles technologies biométriques expliquent en grande partie l'intensification des recherches dans ce domaine.

Néanmoins, la décision s'avère particulièrement difficile pour diverses raisons. D'une part, les comparaisons ne sont pas encore établies sur des bases réellement consensuelles. Elles prennent par ailleurs en compte une multiplicité de critères, ce qui semble plus dérouter les décideurs que les aider dans leur choix. D'autre part, alors que la décision devrait reposer sur deux choix successifs, le premier portant sur le principe de l'implantation d'un système biométrique et le second sélectionnant la technique biométrique qui sera utilisée, en l'occurrence, les deux choix paraissent intrinsèquement liés et dépendent de l'objectif poursuivi comme du contexte dans lequel le projet s'inscrit.

Le BWG a ainsi pris soin de préciser qu'aucune technique biométrique ne peut seule répondre à toutes les exigences et que, de surcroît, une solution biométrique n'est pas forcément adaptée à un besoin déterminé³⁵ pour lequel d'autres solutions peuvent sembler plus adéquates.

Ce flou constitue un frein certain à la diffusion des techniques biométriques, l'investissement dans une technique déterminée impliquant le risque de choisir la mauvaise technique³⁶ .

Aussi assiste-t-on actuellement à diverses expériences visant à tester dans un environnement réel la performance de systèmes biométriques préalablement sélectionnés.

a) La variété des critères de comparaison.

Au Canada, l'EWA (Electronic Warfare Associates)³⁷ a entrepris une étude sur l'évaluation des systèmes biométriques d'authentification et d'identification. Dans cette étude sont distingués deux niveaux d'analyse : les tests de performance destinés à apprécier les unes par rapport aux autres les différentes applications et les tests de sécurité visant à déterminer les conditions de conformité d'un dispositif aux exigences de sécurité fonctionnelle et d'assurance, dans la perspective d'aider les consommateurs à choisir le produit qui leur convient le mieux.

Selon cet organisme, du point de vue de la sécurité, trois caractéristiques sont jugées essentielles : la robustesse, définissant le degré de stabilité de l'élément biométrique pendant une période donnée, la capacité de discrimination (unicité), la fiabilité des tests conduisant à déterminer le niveau de robustesse et d'unicité (« evidence »). Sur la base de ces trois critères, un « potentiel biométrique » est défini permettant d'apprécier la sécurité donnée par les différents systèmes.

Le tableau suivant, issu du rapport de l'EWA, synthétise les résultats provenant de différentes sources et concernant les paramètres ci-dessus énoncés :

Biométrie	Robustesse	Unicité	Fiabilité*	Potentiel
Empreintes digitales	Moyen - Haut	Haut	Très haut	Haut
Géométrie de la main	Moyen - Haut	Haut	Moyen	Moyen - Haut
Iris	Haut	Très haut	Haut	Haut - Très haut
Rétine	Haut	Très haut	Haut	Haut - Très haut
Face	Moyen	Haut	Bas	Moyen
Signature	Bas - Moyen