La biométrie

La thématique de la biométrie a été l’objet de la plénière EESTEL du 29 avril 2020, et a fait l’objet de trois présentations :

La Biométrie

La biométrie prend une place grandissante dans l’environnement des transactions sécurisées. Elle apporte nombre d’avantages en termes d’identification et d’authentification. Aujourd’hui, les technologies biométriques les plus fréquemment rencontrées sont les empreintes digitales et la reconnaissance faciale, mais nombre d’autres approches sont également utilisées, par exemple : la voix, l’iris et la rétine, la forme de la paume, la démarche, la signature manuscrite, la frappe au clavier, les mouvements de souris, etc….
La biométrie est utilisée dans nombre de domaines : le contrôle d’accès physique et logique, l’identité, le paiement etc…

Le sujet a été couvert par les présentations suivantes

Introduction de Laurent Charpentier, expert EESTEL

 Laurent Charpentier

Laurent Charpentier

président EESTEL

Laurent Charpentier est banquier, et … évangéliste paiement mobile chez BNP Paribas.

Le panorama suivant est dressé :

Sur les smartphones, la biométrie (empreintes ou visage) devient incontournable car elle simplifie la vie de l’utilisateur. Or on ne peut plus qualifier ces nouvelles fonctionnalités : les Banques n’en ont plus le pouvoir, et même au niveau technique, il est difficile de certifier les TFA ou TVR annoncés de dispositifs intégrés dans un objet aussi complexe qu’un smartphone et sans des jeux de tests conséquents. En revanche ces systèmes ne posent pas de problèmes de « privacy » car locaux au smartphone.

 

Quelqu’un y voie une analogie avec des les systèmes OPT/SMS qui bien qu’imparfaits, se sont imposés !

La biométrie vocale ou comportementale (par exemple, rythme de frappe au clavier) n’avance pas. Cependant il faut noter que des sociétés des GAFA, par la connaissance des usages et habitudes des internautes, sont capables de détecter ou soupçonner des attaques et d’alerter les utilisateurs !

On annonce des cartes au format ISO dotées de capteurs d’empreinte, solution sans doute chère mais qui redonnerait peut être une possibilité de contrôle / certification !

Une autre tendance actuelle est que pour l’enrôlement, phase cruciale de l’ouverture d’un nouveau service, les clients préfèrent des solutions évitant le déplacement en agence, donc valorisent plutôt l’enrôlement virtuel, on-line.

Enfin la CNIL n’apprécie guère les systèmes biométriques centralisés, qui seraient justement utiles pour solutionner l’enrôlement on-line.

Présentation de Bernard Morvant, expert EESTEL

Bernard Morvant

Bernard Morvant

expert EESTEL

Bernard Morvant est consultant senior de la société de conseil Sofie et expert reconnu auprès des autorités gouvernementales pour des missions de programmes d’e gouvernement mettant en œuvre le développement de solutions d’identité digitale numérique et d’inclusion financière. Bernard a mené des missions dans différents pays africains tels que le Kenya, le Tchad, la Cote d’Ivoire, le Burkina Faso, le Gabon et le Mali. Présentement, il est conseiller du cabinet du Premier Ministre de l’état de Jamaïque pour leur programme national d’identité et de croissance économique. Après 30 ans d’implication dans les projets de technologies cartes et systèmes transactionnels appliqués au paiement et à l’identité, Bernard est membre « advisory observer »de la the Secure Identity Alliance Organization depuis décembre 2016.

L’expérience indienne (AADHAR)

est intéressante, car elle s’applique à une population nombreuse et qui part de zéro sur ces dispositifs et techniques biométriques. Il s’agit donc de doter plus d’un milliard de personnes d’une identifiant unique avec possibilité d’authentification par exemple par empreinte digitale (ou iris) plutôt dans une approche centralisée : l’identifiant peut être un code 2D sur une carte papier. Ce projet est devenu une référence mondiale pour les banques de développement telle que la Banque Mondiale pour faire progresser les états dans leur gestion de l’identité civile à travers la mise en place d’un identifiant unique de la personne et des services d’identification et d’authentification biométrique.

Un règlement européen de mai 2019 sur le renforcement (en complément d’eIDAS) concerne plutôt les cartes d’identité nationales et une approche commune de l’amélioration de la sécurité de ces documents en utilisant la technologie smart card et la biométrie. Il donnerait la possibilité d’utiliser les données biométriques ayant servies à la validation de l’identité de la personne et stockées de manière sécurisée en utilisant la PKI telle que définie par ICAO dans le chip de la carte pour initialiser des credentials dérivés dans un smartphone pour un enrôlement à une APP smartphone.

Il existe aussi un règlement international sur la privacy des données biométriques proposée par l’association biometrics institute basée à Londres et composé à la fois d’utilisateurs finaux étatiques et de représentants de l’industrie ; le document « privacy guideline comprend 15 principes et des recommendations d’implémentation pour encadrer la mise en place de solutions biométriques .

Voir les travaux de l’ISO sur le thème de la biométrie https://committee.iso.org/home/jtc1sc37

Une question est posée sur les problèmes liés à la biométrie centralisée, et la nécessité dans certains cas de modifier ou révoquer une donnée biométrique : par exemple après un accident, ou la plainte de quelqu’un dont l’empreinte aurait été imitée sur un faux doigt (attaque classique !).

Présentation de Stéphane Mouille

Société CLR Labs, Cabinet d’audit et de certification biométrie basé à La Ciotat et à Bruxelles.

Stéfane Mouille

Stéfane Mouille

Cabinet Louis Reynaud – CLR Labs

Stéfane est un expert senior international dans les domaines de l’identité numérique, de la cybersécurité, des règlementations européennes et des normes dans le monde numérique. Il est membre de groupes de travail de l’AFNOR, du CEN et de l’ETSI sur les méthodologies d’évaluation de la sécurité, la signature digitale, l’identité numérique, la biométrie et la cyber sécurité.
Stéfane Mouille est également le Chairman du comité sur la cyber sécurité et l’identité numérique de l’association Eurosmart, qui représente l’industrie de la sécurité numérique auprès de l’écosystème Européen. Il est aussi expert pour la Commission Européenne la révision de la directive sur la responsabilité produit et pour le groupe d’experts eCall.
Il travaille aujourd’hui pour le Cabinet Louis Reynaud – CLR Labs.

Il est rappelé que les passeports contiennent depuis 2006 la photo du titulaire dans leur puce.

D’une façon générale, concernant la biométrie, il est rappelé que l’approche biométrie > support > service se répand beaucoup plus que l’approche biométrie+ID>service (cf. le cas de l’Inde) et pose beaucoup moins de problèmes de déploiement et de risques d’atteinte à la vie privée.

La FIDO Alliance a défini un moyen de certification des dispositifs biométriques utilisés : https://fidoalliance.org/certification/biometric-component-certification/

La réglementation :

La société CLR LABS travaille sur ces aspects évaluation de la conformité et certification.

Il est rappelé par ailleurs que le problème de la révocabilité des empreintes digitales dans les systèmes où le contrôle est centralisé est un problème bien réel : une base de deux millions d’empreintes aurait été volée aux USA.

Carrefour a réalisé une expérimentation de la reconnaissance faciale depuis juin 2019 à Massy.