Passer au contenu

Une technologie très immature

La biométrie n’est pas une technologie comme les autres : reposant sur des probabilités, elle est susceptible d’erreurs.

Avertissement : la biométrie étant associée par presque tout le monde à la carte à puce, on parlera dans ce papier de PORTEUR (de la carte), et non pas d’usager, de sujet ou de client.Rappelons les techniques en présenceGroupe A


– reconnaissance faciale


– reconnaissance de l’iris (variante : rétine)


– empreinte digitale


– empreinte péridactyle (profil de la main grand ouverte)


– oreille (pavillon)


– veines du poignet


– voixGroupe B


signature/vitesse (paramètres dynamiques de la signature – vitesse et accélération du stylo -), rendant celle-ci invulnérable à la simple imitation.)


– code PINLes sept premières techniques ne révèlent que des données liées à ce qu’il faut bien appeler notre enveloppe charnelle : main, visage, cordes vocales, etc.Les deux dernières font appel à la volonté – on pourrait aussi dire l’esprit – du porteur : ça se passe dans les circonvolutions de son cerveau, plus particulièrement de sa mémoire.Une première façon d’aborder le problème : peut-on identifier un porteur victime d’une perte de conscience (évanoui, par exemple) ?


– OUI avec les six premières techniques du groupe A (sauf évidemment la voix) ;


– NON avec le groupe B.On doit donc considérer les techniques du groupe A, en large majorité (6/7) comme indépendantes de l’état de conscience du porteur, a fortiori de sa volonté.Au contraire, signature et code confidentiel exigent pour être pratiquées la conscience, et même la volonté du porteur.Autre différenciation A/B, la tentative de revêtir une autre identité que la sienne :


– la volonté n’y peut rien : groupe A ;


– la volonté peut tout : groupe B.

Le gag de la reconnaissance faciale

La reconnaissance faciale suppose le terminal équipé d’une caméra pointée sur le visage du porteur).Deux processus doivent être envisagés :


a) l’image captée par la caméra est comparée électroniquement à l’image de référence stockée dans le fichier central (ou, mieux, dans la carte) ;


b) le terminal est doté d’un écran graphique qui affiche le visage de référence, tel que stocké dans le fichier central (ou, mieux, dans la carte) : le caissier (ou le douanier) compare lui-même, visuellement, cette image avec le
visage du porteur.Autre trait susceptible de caractériser l’une ou l’autre de ces techniques : la transmissibilité de l’identité numérique (transmission à un complice, s’entend).Avec le code PIN, la transmissibilité est certaine. Au contraire, ce risque est (ou semble être) nul avec la reconnaissance de l’iris, de la main, des doigts, des veines, de l’oreille ou de la signature.Même observation pour la main (empreinte péridactyle) et pour le visage (‘ empreinte faciale ‘), à ceci près que l’empreinte faciale présente le risque majeur d’un malfaiteur grimé.S’agissant des empreintes digitales, on entend souvent, même parmi les plus raisonnables des orateurs, des objections péremptoires quant au risque de fraude par amputation de l’index de la victime, et tout ce qui s’en suivrait.Sérieusement parlant, il faut négliger un tel risque dans l’immense majorité des scénarios. Et sauf, bien sûr dans le cas de figure World Trade Center.De façon générale, à l’exclusion du code PIN, les cinq premières techniques font appel à des processus de reconnaissance de forme (PR pour pattern recognition), domaine extrêmement délicat (et même hasardeux), à la fiabilité très
incertaine. (Voir plus loin l’exemple de la locomotive).Certes, la reconnaissance de signature est également un travail de reconnaissance de forme, qui sera d’ailleurs rendu encore plus difficile par l’analyse de la cinématique propre au porteur. La ‘ signature
dynamique ‘ prendrait en compte la vitesse du tracé, dans ses différentes composantes, ainsi que l’accélération du moyen d’écriture (stylo, stylet, etc).

Reconnaissance sévère et reconnaissance molle

Globalement, pour les 8 procédés faisant appel à la reconnaissance de forme, les choix suivants s’offriront aux opérateurs du système :


reconnaissance sévère : risque de refuser l’opération à un porteur de bonne foi ;


reconnaissance molle : risque de valider un porteur malhonnête.Dans une publicité Sony, on peut ainsi lire en toutes lettres cette phrase extraordinaire : ‘ taux réglable d’acceptation d’erreur. ‘Un aspect essentiel ne doit pas être négligé : celui qui caractérise la maturité fonctionnelle et industrielle de toutes ces techniques.- groupe A : huit techniques très récentes, aucune d’entre elles n’a encore fait l’objet d’applications massives ;


groupe B :


* code PIN : environ quarante années d’âge et plusieurs milliards de transactions exécutées à ce jour ;


* signature : de toute éternité , pour ce qui concerne le geste du porteur ; mais tout à fait futuriste pour ce qui concerne le décodage dynamique ; aucune application connue par moi, à ce jour
(septembre 2006)…La problématique de la biométrie est par nature liée à son caractère massif : il s’agit de millions de voyageurs débarquant dans un aéroport, pour prendre l’exemple de ce qui, après le 11 septembre, justifie le recours à des
techniques d’identification plus sévères que le simple support papier du passeport.

Identification : le mot est lâché

Et justement, l’identification a de tous temps été un souci, que ce soit dans un contexte militaire ou civil.Une solution satisfaisante a été mise en oeuvre avec la carte, initialement à piste magnétique puis, plus récemment, avec la carte à puce.Il ne s’agit pas, dans les applications actuelles de cette carte, d’identifier le porteur, mais plutôt de le valider : avant d’exploiter les précieuses données enregistrées dans la mémoire de la puce (données sans rapport avec un
mécanisme d’identification), un mot de passe est testé. S’agissant d’un mot de quatre chiffres (10 000 codes possibles), il est clair que ce ‘ code PIN ‘ (ou code confidentiel) n’est pas propre au porteur, puisque
des milliers d’autres porteurs utilisent le même.En rien, donc, l’usage du code confidentiel ne peut être assimilé à un mécanisme d’identification. On pourrait parler, à propos du code confidentiel, d’identification relative. Une identification absolue aurait pour propriété
d’identifier le porteur, et lui seul. Celui-ci serait identifié non pas par rapport à la carte, mais par rapport à l’ensemble de la population : new-yorkaise, française, terrestre, etc. Une identification absolue (dix milliards d’hommes)
rendrait nécessaire un code PIN à dix chiffres, ce qui peut paraître extravagant. Pourtant, nos numéros de téléphone sont précisément à dix chiffres, et on n’entend personne se plaindre.À ce stade, le code PIN doit bien sûr être éliminé, du seul fait de sa transmissibilité.Il en va de même pour l’empreinte faciale, en raison du risque de maquillage (postiches, colorants, etc.), que le travail de reconnaissance soit électronique ou bien délégué au servant du terminal (caissier, douanier, etc.).Il faut se mettre dans la tête que la biométrie n’est pas une technique comme les autres : reposant sur des probabilités, elle est susceptible d’erreurs.Dans l’ensemble, il est choquant d’entendre dire comme maintenant tous les jours : ‘ la future carte d’identité sera biométrique ‘, ou encore ‘ le système pourra
être sécurisé avec la biométrie ‘,
exactement comme on dirait :


‘ aucun risque de cambriolage avec ce digicode ‘ ;


‘ aucun risque d’incendie d’origine électrique, on a mis des fusibles. ‘

Comme si la biométrie existait !

Mais justement, elle n’existe pas, la biométrie. Sur la planète cohabitent une demi-douzaine de principes, et peut-être une centaine d’applications en service. Qu’est-ce qui est vraiment utilisé aujourd’hui et où ?


– l’iris : nulle part ;


– la reconnaissance faciale (humaine ou électronique) : nulle part ;


– la reconnaissance dynamique de la signature : nulle part ;


– la reconnaissance des veines du poignet, nulle part ;


– la reconnaissance du pavillon de l’oreille : nulle part ;


– la reconnaissance des veines : nulle part ;


– la reconnaissance de la voix : nulle part ;


– quelques sites à contrôle d’accès par empreinte péridactyle ;


– quelques sites et quelques ordinateurs portables dotés d’une reconnaissance d’empreinte digitale…Ont été volontairement omis dans cette liste les expérimentations et autres tests, qui par nature portent sur de petits échantillons, et par conséquent laissent de côté méfaire les grands nombres.Rigoureusement incompatibles entre eux, ces procédés ne sont en rien interopérables. L’empreinte digitale française n’est d’aucune utilité à un système basé sur la reconnaissance de l’oeil. Ni de la main, ni des veines, ni de la
signature.

La locomotive

La reconnaissance de forme est pierre angulaire de tous les systèmes biométriques. Un chercheur en informatique, Yves Kodratoff, travaille sur cette reconnaissance des formes. Voici comment il exemplifie ses recherches :


1/ Sur une tablette graphique, il dessine grossièrement une locomotive à vapeur, et apprend à l’ordinateur à reconnaître cette forme.


2/ (idem) un visage, que l’ordinateur doit aussi reconnaître.


3/ fusion des deux dessins.


À partir de cette étape, l’ordinateur doit déterminer s’il s’agit un visage, d’une locomotive, ou autre chose (mais quoi ?) :


– une locomotive taggée ?…


– un visage ornementé ?…


– ?

On devine aisément l’immensité du problème : même un humain s’arrache les cheveux.Bien sûr, le programme tourne sous le contrôle de très nombreux paramètres : l’un deux, crucial, détermine la sévérité de la fonction.Réglé à 9/10, par exemple, il donne la priorité au nombre de formes élémentaires dont le dessin est constitué : préférence pour la locomotive.Réglé à 2/10, résultat inverse.Ceci, pour la différentiation entre deux formes très (vraiment très) distinctes l’une de l’autre.Et voilà, le mot est lâché : la différentiation c’est le sens. Or, nous connaissons bien la maladresse de l’électronique à traiter le sens. Voir par exemple les consternantes performances des logiciels de traduction.Or la biométrie va exiger la comparaison de formes extrêmement proches les unes des autres.

Deux empreintes digitales, par exemple.Mais aussi veines des poignets, pavillon de l’oreille, empreinte de la main, forme de l’iris.Autre exemple d’abus : ci-contre, la publicité d’un très grand industriel de l’électronique :


– ‘ 100 % de fiabilité et de sécurité ‘ : un mensonge commercial comme tant d’autres ;


– ‘ 1 000 paramètres ‘ ;


– ‘ Taux réglable d’acceptation d’erreur ‘…

Le projet de ‘ passeport biométrique ‘ ne tient décidément pas la route sauf à ce que, comme d’habitude, les Etats-Unis imposent un standard. Destination privilégiée entre toutes, l’Amérique du Nord déterminera
par son seul charisme les voies et moyens de l’identification moderne (lire l’encadré ‘ Le diktat des autorités américaines ‘)Depuis 1974 (invention de la carte à puce, première présentation à des banquiers), il aura fallu seize ans pour que les établissements bancaires français se mettent d’accord, en 1990, sur des spécifications communes et que tous les
titulaires d’un compte de chèques puissent utiliser au quotidien le même objet industriel.Qu’on me permette d’insister : ce ne furent pas seize ans d’hésitations. Enthousiastes dès le premier jour (22 février 1974), les banquiers ont immédiatement voulu :


– assurer l’interopérabilité des futures cartes, de banque à banque ;


– lancer un test en grandeur réelle de cet objet jusqu’alors inexistant, dans les mêmes conditions opératoires que la future carte interbancaire : ce fut la télécarte, lancée en 1983 et exploitée depuis lors, soit presque
25 ans. Imaginez ! Un semi-conducteur (une ‘ puce ‘) en circuit ouvert, dans les poches des gens tout seuls dans la rue sous la pluie et la neige, bref les pires conditions opératoires !Pendant sept ans, à partir de 1983, la carte à puce confirmera la confiance qu’on peut lui faire.Ont été analysés sur des centaines de millions d’échantillons :


– l’usure mécanique ;


– le bon fonctionnement de la piste magnétique ;


– le bon fonctionnement de la puce ;


– l’intégrité de certaines données spécifiquement secrètes, dans la puce ;


– les tentatives de violation de la carte ET du terminal ;


– les difficultés ergonomiques ;


– toutes les maladresses des porteurs ;


– toutes les formes d’erreurs ;


(etc.)Pourquoi en irait-il autrement trente ans plus tard, sur une question autrement épineuse : l’identification électronique de chaque être humain ?Et ce, alors qu’aucune expérience n’a été organisée par quiconque sur ce matériau si délicat à mettre entre les mains de tout le monde sur la planète.‘ Le catalyseur pour les industriels de la biométrie a été le 11 septembre ‘ estime un expert du cabinet Frost & Sullivan. Avant, ces industriels n’avaient pas de force
d’attraction. Tous les ans ils disaient ‘ C’est cette année que la biométrie va devenir un courant dominant ‘. Et chaque année, ça ne s’est pas produit. L’homme basique ne savait pas ce qu’était
la biométrie. Maintenant on en parle à la télévision, dans les journaux : l’attaque a fait un formidable travail de relations publiques en faveur de l’industrie.Pourtant, il reste de nombreuses interrogations :


1/ On ne sait pas quelle technique choisir, parmi neuf possibles.


2/ On ne sait pas comment de grandes quantités d’individus (de cas, de situations, etc.) intégreront cet instrument. Songez à la petite locomotive !


3/ À ce jour, il n’a été déterminé par personne si les clés seront stockées dans la carte ou bien – plus probablement – dans une base de données centrale.


4/ Sérieusement, on ne sait rien de l’arrière-plan industriel sur lequel il faudra compter :


– à l’échelle de la planète ;


– pour des centaines de millions d’individus ;


– pour des dizaines et des dizaines d’années.

Que recommanderais-je si le gouvernement américain me demandait mon avis ?

* Sur la faisabilité et, incidemment, le respect de la vie privée (la fameuse privacy) : que les données d’identification soient formatées pour pouvoir être contenues dans les cartes.* Sur le principe d’identification : les paramètres dynamiques de la signature. Depuis plusieurs dizaines de siècles, on s’identifie en signant : follement prétentieux sont ceux qui trouvent le moment venu de changer un
geste aussi important pour la vie en société, tout cela en faveur de procédés qui n’ont quasiment pas dépassé à ce jour (septembre 2006) le stade du laboratoire.* Sur l’échelle : mondiale, forcément mondiale.* Sur l’industrialisation : produire des milliards de cartes et des millions de terminaux suppose un important dispositif industriel, qui sera d’autant plus difficile à désigner que sont déjà appâtés des dizaines et même des
centaines d’industriels.* Sur le calendrier : création d’une Agence, un à deux ans de brainstorming, un an d’expérimentation interne à l’Agence, deux ans d’expérimentation in vivo, un an d’amendements logiciels, tels que suscités par
l’expérimentation.Après quoi, il restera encore une ou deux années consacrées à régler le processus : je veux parler ici des paramètres de sévérité (le fameux ‘ taux réglable d’acceptation des erreurs ‘ de la publicité
Sony), ces paramètres qui, finalement, constitueront le coeur de ce système biométrique qu’on invoque, à tort où à raison, comme outil de prévention du terrorisme.Soit huit à neuf années, en comptant deux ans pour la plupart des tâches ou un an pour certaines d’entre elles. Ce qui nous mène à 2015.De cette échéance il se déduit au moins une chose : les annonces de lancement d’un ‘ passeport biométrique ‘ américain, qui fleurissent en cet année 2006, sont très,très largement prématurées. Qu’aura-t-il
de ‘ biométrique ‘, ce passeport ? La photo ? L’administration américaine n’a pas, que l’on sache, tranché parmi les neuf principes du groupe A et du groupe B. Or, on ne peut sérieusement faire cohabiter plusieurs
systèmes sur la carte du même porteur, sur les épaules du même porteur.Entendons-nous : il n’y a pas là une difficulté d’ordre électronique, informatique, bref technique. La carte à puce pourrait, si elle était correctement programmée, traiter les huit principaux modes de reconnaissance : elle
l’espace mémoire et la puissance de calcul suffisant, chaque trimestre apportant son lot de progrès, sur chacun des deux critères.C’est ce qu’on appelle le ‘ back-office ‘ qui ne suivrait pas. Bref, le logiciel.

Une solution multimodale ?

La ‘ multimodalité ‘ résoudrait-elle cette difficulté ? Plus coûteuse, elle associe plusieurs indicateurs biométriques afin, dit-on, de réduire les risques d’erreurs, ce qui la justifierait
d’avance.Puisqu’on mentionne souvent, à propos de biométrie, l’image de l’iris, imaginons pour l’exemple que ce soit le choix des Britanniques. Imaginons encore que l’empreinte de la main soit retenue par les Allemands. Et que les veines du
poignet soit le choix espagnol. Quant aux Turcs, ils auront choisi le pavillon de l’oreille. Pour la Belgique, les empreintes digitales.Pour la France, la signature dynamique. (etc.)…On invoque en fait cette multimodalité pour dissimuler le problème d’interopérabilité, comme si le guichet électronique du douanier à Kennedy Airport pouvait facilement être équipé :


– du matériel propre à capter les empreintes digitales ;


– du matériel (une caméra) propre à saisir l’image de l’iris ;


– du matériel (une sorte de bracelet, on suppose) capable de capter les empreintes veineuses ;


– du matériel destiné à recevoir la main grand ouverte ;


– du matériel (presque certainement, ce sera une autre caméra) relevant l’empreinte faciale ;


– du matériel (microphone) captant le son de notre voix.Et comme si, bien plus grave, le terminal universel dont il est question pouvait être piloté par un logiciel réunissant toutes ces fonctions.Avec, pour chacune d’entre elles, le fameux et indispensable ‘ taux réglable d’acceptation d’erreurs ‘… Cette ‘ multimodalité ‘ est décidément un
leurre !

Les identificateurs, réels ou attendus

Il faut pour en critiquer la liste considérer les deux angles suivants :


– le type des données d’identification : image de l’iris, cliché du visage, vitesse du stylo (dans le cas de la signature), données administratives, etc.


– le réceptacle des données de référence : la mémoire de la carte à puce, ou bien une base de données centrale.‘ Une bonne police, c’est d’abord une bonne mémoire ‘ a-t-on coutume de dire depuis Javert.Que les données soient dans la carte à puce ou dans une base de données centrale, elles sont mémorisées. Et pourront servir plus tard, estime la plus paranoïaque de nos rumeurs.Sur la carte d’identité française, celle de l’avant-dernière génération) : tout est clair, il n’est pas question de flicage, en tous cas personne n’en parle.Sur la nouvelle carte d’identité française, dite ‘ infalsifiable ‘, presque tout est clair aussi, et en tous cas lisible par l’homme, porteur ou douanier.Mais il y a un mais :

– la dernière ligne (040475F001754ROLAND<<<<<<<<4506119M3) n'est visiblement pas à l'usage du porteur de cette carte, même si JE peux deviner MON année et MON mois de naissance (4506)

– au début de cette ligne, le 040475F001754, et, à la fin de cette même ligne, le 119M3 semblent bien destinés à un usage technicien, administratif ou autre (policier ?).040475F001754 et 119M3 : au total, ces 18 caractères sont lisibles par l’homme, certes, sans être pour autant recevables par lui. Bref, c’est codé.Cette ‘ carte nationale d’identité française ‘ présente les deux traits qui caractériseront, dit-on, le passeport biométrique américain, tel que commandé fin août à Infineon [nouveau nom de Siemens] :


– lecture électronique des informations : les caractères sont conçus pour la lecture optique et spécialement dessinés pour l’OCR (Optical Character Recognition.


– photographie du visage.Unanimement, cette carte est présentée (par les attachés de presse, qui mâchent le travail des médias) comme biométrique. La biométrie résidant, on suppose, dans la photographie du visage.Certes, elle comporte des éléments liés à la personnalité physique de son porteur : son cou, son menton, sa bouche, son nez, ses yeux (?), ses oreilles, ses cheveux, ses lunettes, – et même la couleur de sa peau.Mais l’incroyable facilité de sa mise en échec (moustache, barbe, cheveux courts ou longs, lunettes, fond de teint, colorants etc. ) laisse terriblement sceptique quant à son efficacité attendue : un Ben Laden glabre, avec cheveux
clairs et lunettes cerclées de noir massif, frauderait sans crainte les deux types d’interrogateurs attendus : douanier, gendarme ou commerçant ; logiciel de reconnaissance de forme intégré au terminal d’identification.Les jugements que je me permets de porter ici sont peu ou prou validés par mon CV, et je sais donc bien que j’écris en tant qu’expert.Mais justement !Il n’y a pas besoin d’être expert en quoi que ce soit pour démolir comme ci-dessus la carte d’identité à ‘ photo biométrique ‘.De même que le code PIN a été éliminé, il faut maintenant éliminer la reconnaissance faciale.

Que reste-t-il ?

Certaines pistes sont résolument trop immatures pour servir de socle à l’identification mondiale pendant au moins deux ou trois dizaines d’années : profil de la main, pavillon de l’oreille, veines du poignet.Il reste alors les empreintes digitales, l’iris, la signature dynamique.On peut sans parti pris ignorer l’iris :


– ergonomie délicate, sans doute peu opérable par certains porteurs ;


– problèmes posés par les lunettes (claires, sombres ou teintées), par les lentilles de contact, etc.Tout cela, pour tout dire, nous projetterait en pleine science-fiction.Les techniques les plus proches de nos habitudes ancestrales (oui : ancestrales) restent la signature et les empreintes digitales.Ces dernières ont acquis au cours des dernières années une légitimité incontestable, mais le nombre minuscule de sites contrôlés par empreintes digitales ne peut suffire à qualifier cette technique de massive. Et, bien sûr, toutes les
difficultés liées à la reconnaissance de formes (cf. plus haut) se poseront légitimement, y compris et surtout le fameux ‘ taux réglable d’acceptation des erreurs ‘ !Reste, enfin, la signature : le plus ancestral de tous nos moyens d’identification.Rien que sur ce critère, la priorité devrait lui être accordée, malgré deux inconvénients gravissimes (surtout le premier) :


– c’est la plus immature (industriellement, fonctionnellement) de toutes les techniques ;


– elle pose toute la problématique liée à la reconnaissance de formes.On aura compris que je récuse toute approche PLANÉTAIRE d’un identifiant ‘ biométrique ‘ pour ces trois raisons :


– problèmes posés par la reconnaissance de formes ;


– immaturité fonctionnelle ;


– immaturité industrielle.Pourquoi des majuscules à PLANÉTAIRE ?


– parce que le projet a été initié par les Etats-Unis ;


– parce que les Etats-Unis sont la plus importante destination des voyageurs, de par le monde ;


– parce que l’Administration américaine veut depuis le 11 septembre 2001 donner l’impression qu’elle fait quelque chose de précis et concret contre le terrorisme.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Roland Moreno