Le doigt dans l’œil de la biométrie

Nous vous parlons régulièrement de la biométrie. Comme elle est présente dans de nombreuses circonstances de notre vie (informatique ou pas), il serait grand temps de mettre les points sur les « i » et de vous expliquer ce qu’est vraiment cette technologie. Si on se représente intuitivement bien ce que c’est, on n’appréhende pas forcément les subtilités qui font à la fois son charme et sa dangerosité.

Première surprise en cherchant la définition du terme : il est impropre. La biométrie désignait au départ la partie de la biologie étudiant les phénomènes biologiques de façon quantitative : pour le Littré, il s’agit de la connaissance des lois qui régissent la durée de vie, et le Larousse la définit comme l’étude statistique des dimensions et de la croissance des êtres vivants.

Définissons

L’appellation la plus appropriée serait anthropométrie, qui est la mesure descriptive des caractéristiques du corps humain, terme toujours utilisé en criminologie au sujet de l’identification des personnes. Mais aujourd’hui la biométrie désigne aussi l’analyse des caractéristiques physiques strictement propres à une personne (selon notre ami Robert), et c’est tant mieux pour nos autres amis du marketing qui auraient eu bien du mal à écrire et à vendre de l’anthropométrie.

Pour fixer les choses, reprenons la définition donnée par la CNIL, qui servira de facto de base à toutes les réflexions concernant l’usage de la biométrie dans le domaine technologique :

« La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales.

Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.) ».

Idéalisons

Concrètement, ou plutôt idéalement, un critère biométrique doit présenter certaines propriétés pour être utilisable en tant que tel. Il doit donc être :

• Universel : on doit le retrouver pour chaque être humain ;
• Unique : chaque être humain doit être le seul à posséder la caractéristique mesurée ;
• Mesurable : il faut être capable de mesurer et de décrire avec précision la caractéristique ;
• Permanent : si ça change avec le temps, ça complique la mesure !

Au niveau de l’universalité, on a déjà un problème : par exemple, en 2017, un collège de Toulouse a voulu utiliser le gabarit de la main pour gérer l’entrée des élèves à la cantine. Résultat : « pas de bras, pas de repas », comme soulignait malicieusement le Canard Enchaîné à l'époque.

Pour la petite histoire, les enfants des parents qui refusaient la biométrie pouvaient quand même aller manger à la cantine, mais… en dernier. Or, en plus des anomalies possibles à la naissance, l’être humain est sujet aux accidents et aux maladies pouvant potentiellement affecter les facteurs biométriques. Savez-vous que certaines personnes n’ont pas d’empreinte digitale ? Elles sont atteintes d'une maladie génétique, l'adermatoglyphie.

Pour l’unicité, vous avez tous en tête le problème des individus homozygotes (vrais jumeaux), qui partagent de nombreuses caractéristiques biométriques. Mais il y a d’autres incertitudes sur ce sujet : il n’existe aucune étude assurant que deux individus distincts ne puissent pas également partager des caractéristiques biométriques. On ne peut d’ailleurs qu’en évaluer la probabilité, à moins de disposer des échantillons concernant toute la population concernée.

Si pour l’ADN la probabilité de ressemblance inter-individus est faible, on n’a en revanche aucune certitude sur les empreintes digitales ou la forme de l’iris, par exemple : rien ne dit qu’un autre individu ne puisse pas avoir des caractéristiques très proches des miennes. Pire encore, des chercheurs ont mis au point un modèle d’empreinte digitale générique capable de tromper les capteurs insuffisamment précis. On reparlera du sujet de la précision de la mesure un peu plus bas.

Pour la permanence, il faudrait plutôt comprendre que le critère doit rester cohérent dans le temps, car en réalité le corps humain évolue et change : une caractéristique biométrique n’est pas totalement permanente : la peau se ride sur le visage, une blessure ou une maladie peut modifier (voire supprimer) une caractéristique biométrique, etc. 

À l’inverse, la permanence (ou cohérence) peut devenir une difficulté, car en cas de compromission, il sera difficile de changer son empreinte, sa voix, ou la forme de son iris…

En plus de cela, il faut être capable de la capturer (la mesurer) et qu’elle soit infalsifiable. On verra plus bas que sur ce point, on est loin du compte, contrairement aux idées reçues (et vendues).  

Un critère oublié et un usage détourné

Il y a un petit souci dans l’usage de la biométrie dans la sécurité, et dans la sécurité informatique en particulier : il est en effet plus que recommandé qu’un moyen d’authentification soit maîtrisé par l’utilisateur. Un mot de passe doit en réalité être un code secret : le système en charge de l’authentification n’est pas censé le connaître et doit s’appuyer sur des mécanismes dérivés pour le vérifier (souvent via un hash).

Or la plupart des caractéristiques biométriques sont publiques directement ou indirectement, via les traces qu’on laisse. La pire est peut-être l’empreinte digitale, qui laisse des traces et qu’on peut même prendre en photo ! Ursula von der Leyen, alors ministre allemande de la Défense, a vu une de ses empreintes digitales reconstituées à partir de photos prises en public, et avec du matériel disponible dans le commerce !

Et réfléchissez : vous déverrouillez votre smartphone avec votre empreinte digitale, mais où peut-on en trouver un échantillon très facilement ? La mode est aux coques et écrans brillants...

Vous imaginez que des caractéristiques plus subtiles comme la forme de l’iris vous assureront un meilleur niveau de protection ? Regardez cette vidéo du Chaos Computer Club (grand pourfendeur de la biométrie) piratant un Samsung S8. Le matériel utilisé est tout ce qu’il y a de plus banal : un appareil photo, une imprimante (admirez leur sens de l’humour à 0:28) et une lentille de contact. Ce même groupe est aussi déjà à l’origine de l’empreinte d’Ursula von der Leyen, du hack du touchID de l’iPhone, etc.

On peut également citer cette enquête de Cash Investigation sur « les dessous de ce business qui a le vent en poupe » où « certains industriels sont par exemple prêts à manipuler les statistiques pour faire gonfler leur bénéfices. L'enquête présentée par Elise Lucet montre également les failles de la biométrie, présentée comme la solution miracle ». L’équipe avait floué le contrôle biométrique à l'aéroport, PARAFE (Passage automatisé rapide aux frontières extérieures).

En un mot, on voit que la biométrie est assez bien adaptée pour l’identification, mais que des difficultés apparaissent très vite pour l’authentification car ces données sont difficiles à protéger des curieux ! Vous pensez que l’ADN est plus secret ? Vous en laissez pourtant plein dans tous les coins puisqu’il y en a partout dans nos cellules. De là à ramener un aspirateur quand on va chez le coiffeur…

Une innovation préhistorique

Grâce au marketing (et il est redoutable en informatique), on nous vend la biométrie comme une innovation révolutionnaire. 

Or la biométrie était exploitée dans la préhistoire : de nombreux hominidés utilisaient le contour de leur main peint sur les parois des cavernes pour indiquer leur présence ou signer leurs œuvres.

Gravures rupestres de la grotte d'Altamira (Espagne). Crédits : Lhfage at English Wikipedia

Alors pourquoi nous en vend-on autant aujourd’hui ?

Réponse simple : parce que l’on peut. Sous-entendu : avant on ne pouvait pas car, jusque récemment, les dispositifs biométriques étaient hétérogènes et de fiabilité variable, donc rarement grand public. Et une autorisation CNIL s’avérait indispensable, même pour de petites expérimentations.

Désormais, les dispositifs atteignent le grand public (via les smartphones par exemple), car le coût devient abordable et la miniaturisation est suffisante. Ils génèrent un sentiment de sécurité tout en procurant un confort d’utilisation qu’on ne peut lui reprocher : il n’y a rien à écrire ou à retenir, et il est courant de se balader avec ses doigts et son visage à portée du smartphone.

Du point de vue juridique, un gros changement a également favorisé l’émergence de la biométrie puisqu’on est passé du mode « autorisation CNIL » (qui prenait des mois) à un régime plus simple de « déclaration CNIL ». Pour les smartphones, le secret biométrique est stocké dans le terminal, ce qui est également un point facilitant son usage vis-à-vis de la gestion des risques, notamment avec le RGPD puisque ces données très sensibles restent sous le contrôle de l’utilisateur.

Attention : il s’agit bien du secret biométrique (la donnée informatique) utilisé pour l’authentification qui est sous le contrôle de l’utilisateur, car vous avez vu que nous dispersons nos caractéristiques biométriques à tout vent…

Le passage en mode déclaratif ne signifie toutefois pas qu’il n’y a aucune règle ou rien à faire. Depuis l’entrée en application du RGPD, la CNIL n’intervient plus en tant qu’organisme d’autorisation, mais en tant qu’entité de contrôle et toute entreprise utilisant de la biométrie doit avoir effectué un travail d’analyse d’impact transmis à la CNIL.

Utilisons

Les technologies biométriques adressent de nombreux cas d’usage, grâce à un large panel de technologies. La biométrie peut être :

• Statique : on mesure une caractéristique à un instant précis, comme l’empreinte digitale ou la forme de l’iris, la reconnaissance faciale (en mode « photo »), veineuse, la forme de la main ou de l’oreille (et on s’arrête là pour le moment).
• Dynamique:  on mesure une caractéristique mais dans le temps. Cela peut être la façon dont vous tapotez sur le clavier ou déplacez votre souris. Cela peut aussi être le mouvement de vos yeux, votre façon de signer sur une tablette tactile, votre rythme cardiaque, votre voix, etc.
• Hybride : on combine statique et dynamique, mais pour en obtenir une seule caractéristique. C’est de plus en plus le cas pour la reconnaissance faciale qui vous demande de bouger la tête, parfois de façon imposée « regardez à droite, puis en haut ».

Il arrive qu’on combine plusieurs biométries différentes (solution multimodale) pour n’en faire qu’une seule mesure plus précise, mais il faut que cela reste cohérent sinon on ne fait que superposer deux solutions distinctes. Ainsi, on peut imaginer combiner empreinte digitale et réseau veineux, réseau veineux et rythme cardiaque, voix et visage, etc.

Identification : t’es qui, toi ?

Il s’agit de l’usage historique de la biométrie : l’identification. On donne ainsi une identité à l’objet mesuré. Pensez aux enquêtes de police avec le service d’identification criminelle : on cherche à connaître l’identité d’une personne (victime ou criminel), et pour cela on fait un choix de type « 1:N », à savoir qu’on retient une identité parmi une multitude.

Authentification : es-tu bien qui tu prétends être ?

Cet usage a émergé avec la démocratisation des capteurs biométriques grand public. Il s’agit de prouver son identité : on parle alors d’authentification. C’est un choix de type « 1:1 » : on vérifie que la preuve de l’identité annoncée est conforme à celle qu’on a associée à l’identité.

Cela implique de savoir ce qu’on entend par conforme, mais aussi de disposer d’un référentiel associant l’identité et la mesure de la caractéristique biométrique de l’individu. Dans le cas de la biométrie vocale, on peut demander à l’utilisateur de prononcer une phrase clé (« ma voix est mon mot de passe »), transformer le son en une mesure numérique et la comparer à un gabarit biométrique (terme consacré), qui est une modélisation de la voix, associée à l’utilisateur. Si la phrase prononcée coïncide avec le modèle, l’authentification est valide. Sinon elle est rejetée.

Logique de score

À partir de quel moment peut-on dire qu’un individu est bien celui qu’il prétend être ? Pour commencer, rappelons-nous qu’une caractéristique biométrique est mesurée. Or qui dit mesure, dit incertitude due à une erreur dans la mesure elle-même ou en raison de limitations techniques dans l’appareil de mesure.

Crédits : Next INpact

Pour s’enregistrer dans un système d’authentification biométrique (c’est-à-dire associer son identité avec des caractéristiques biométriques), on présente sa caractéristique à un capteur, qui recueille les données (brutes, en général). Ensuite, on extrait les traits caractéristiques qu’on appelle les « minuties » (par exemple les points caractéristiques sur votre empreinte digitale), qu’on va traiter selon un modèle mathématique qui peut varier d’une biométrie à l’autre : on ne traitera pas la voix de la même façon qu’une empreinte digitale.

Type de points caractéristiques pour les empreintes digitales. Crédits : archives-ouvertes

On en déduit un objet de référence, une représentation de la caractéristique de la personne exprimée (appelée « gabarit » par la CNIL) via le modèle mathématique choisi. Ce modèle, cette référence, doit être stockée convenablement : il ne doit pas être possible de reconstituer l’original à partir de cette référence, et seul l’utilisateur doit en avoir le contrôle, sauf dans les cas particuliers prévus par la loi, comme le FAED, fichier automatisé des empreintes digitales.

Lors de l’authentification, le début du processus est le même : captation de la caractéristique biométrique, traitement et calcul d’un gabarit mesuré. Une fois que c’est fait, on regarde l’écart entre cette mesure et le gabarit de référence : si l’écart est élevé, l’individu est un usurpateur, si l’écart est infime, l’individu est bien celui attendu. Normalement.

En bonus

Les modèles utilisés en biométrie utilisent largement des propriétés statistiques, et il faut souvent plusieurs échantillons pour obtenir le gabarit de référence. Faites l’expérience sur votre smartphone : lors de l’enregistrement d’une empreinte, on vous demandera de présenter plusieurs fois votre doigt. Si vous alternez une fois sur deux avec une autre personne, vos deux empreintes seront probablement reconnues…

Heureusement il y a des erreurs !

Ben oui : heureusement ! Reprenons les caractéristiques idéales de la biométrie : il faut que le critère mesuré soit invariable dans le temps pour éviter les erreurs. Or qui dit biométrie, dit « vivant » : nos organismes changent avec le temps ou le contexte.

Donc si les mesures étaient parfaites, sans marge d’erreur, les systèmes biométriques ne nous reconnaîtraient quasiment jamais : il suffirait d’écraser un peu trop fort son doigt contre le capteur d’empreinte, de s’être coupé ou d’être en sueur pour que l’image captée soit déformée et donc « non conforme ». Idem pour la biométrie faciale : froncer les sourcils, sourire ou fermer les yeux ne doivent pas faire échouer l’authentification, d’où le nécessaire calcul d’un score de ressemblance.

Malheureusement il y a des erreurs !

Fatalement il y a des erreurs ou des approximations. D’abord parce que nous ne sommes pas une statue de marbre (ou de cire), mais aussi parce que les capteurs ont une précision finie. En informatique, on s’est affranchi de la qualité du signal en traitant des informations en mode numérique et non en analogique.

Mais que l’on nous mesure « numériquement » ou « analogiquement », il y aura obligatoirement une marge d’erreur dans la lecture. En numérique, on aplatira des caractéristiques qui ont des variations faibles et continues. En analogique, le capteur aura forcément des limites opérationnelles : vous connaissez beaucoup de capteurs bon marché et portables capables de mesurer une distance au millionième de mètre près ?

Ce n’est pas bon alors ?

Alors il faut de la marge en entrée (puisque nous sommes vivants), et la mesure induira toujours une marge d’erreur. Nous voilà obligés de vivre avec une logique de score, qui nous dira si la mesure est proche de ce qu’on attend ou pas, en tenant compte des marges d’erreur.

Maintenant, prenons une analogie avec un mot de passe. Vous imaginez un système qui vous dirait : « ok, vous avez presque le bon mot de passe, je vous laisse entrer ». Vous trouveriez que c’est sécurisé, vous ? C’est pourtant ce qui se passe avec la biométrie. Et le pire est qu’on a assez peu de marge de manœuvre pour traiter des erreurs.

Comment on gère cela ?

Avec doigté. Toutes les biométries utilisent un capteur (spécifique ou non) : caméra, capteur capacitif, micro, etc. Même pour l’ADN il existe une marge d’erreur (erreur de manipulation, contamination). Mais concentrons-nous sur la biométrie sans prélèvement, c’est-à-dire celle utilisée en authentification informatique. Il serait difficile en effet de demander à un utilisateur de se piquer le doigt pour obtenir une goutte de sang et faire un test ADN à chaque fois qu’il voudrait confirmer un virement bancaire.

Le résultat d’une mesure est un score de ressemblance. On sait d’avance que le capteur peut induire une erreur sur ce score, lors de la mesure.

Système sensible

Si on règle le système d’authentification biométrique pour être très sensible (ou si le capteur est très sensible), de sorte de n’accepter qu’une tolérance très faible, on réduit les chances d’accepter un imposteur. Mais en raison de la précision limitée du capteur, on risque aussi de rejeter l’utilisateur légitime (ce qu’on appelle un faux négatif ou un vrai rejet, mais erroné).

Système pas sensible

Si à l’inverse, on baisse la sensibilité générale, on diminue le risque de rejeter le bon utilisateur. En revanche on augmente le risque d’accepter un imposteur (faux positif ou fausse acceptation).

Arbitrage entre taux de fausses acceptations (FAR) et taux de faux rejets (FRR), crédits : Mohamad El Abed /  Senat

Problème : que veut-on privilégier, ces objectifs étant antinomiques ? Un réglage trop sensible risque de rejeter l’utilisateur légitime (et donc l’énerver) alors qu’un réglage peu sensible risque de laisser passer des fraudeurs. Et rappelons-nous aussi qu’un capteur plus précis ne fera que rendre le système plus sensible (avec le risque de faux négatif et de contrariété chez utilisateur).

Donnée infalsifiable

La non-reproductibilité est une nécessité pour la biométrie : si on arrive à reproduire les empreintes digitales ou la forme du visage, l’attaque devient facile, et la protection apportée s’évapore.

Or, dans l’imaginaire collectif, on pense qu’il est impossible qu’un autre individu puisse reproduire nos caractéristiques. On a déjà vu que l’unicité n’était pas assurée, mais le problème n’est même pas ici.

Un attaquant, dans un scénario d’attaque réel, ne va pas chercher à avoir sur le doigt l’empreinte digitale visée : il va plutôt chercher à présenter au capteur quelque chose qui ressemble suffisamment à l’empreinte visée, et ça fait toute la différence ! Peu importe que ça soit un doigt ou un bout de plastique ! La sécurité fantasmée de la biométrie provient du fait qu’on croit qu’il faut un être humain quasi-clone de la cible pour tromper un capteur biométrique.

Cela serait vrai si les capteurs étaient capables de savoir s’ils mesuraient effectivement la biométrie d’un être humain (ce qu’on appelle la détection du vivant). Or la plupart des capteurs en sont incapables car cette tâche est d’une complexité bien supérieure à celle de simplement mesurer une caractéristique physique.

Plus surprenant, des capteurs qu’on imaginerait plus capables d’effectuer cette détection se font berner par des leurres en cire : le Chaos Computer Club (encore lui) a trompé un capteur biométrique utilisant le réseau veineux de la main, quand bien même le système était vendu comme ayant une détection du vivant. Mais plus généralement, malgré des progrès dans la captation, la détection du vivant reste le talon d’Achille de quasiment tous les systèmes d’authentification biométrique, les laissant vulnérables à la recopie sur un autre support.

De plus, en cas de compromission, il est en général impossible de changer la source d’authentification (l’empreinte, la voix, la forme de la main…). En conséquence :

1. Une fois compromise, une source d’authentification biométrique l’est pour toujours (elle est permanente !)
2. La compromission permettra l’authentification sur le système d’origine (de la compromission), mais aussi sur tous les systèmes utilisant la même biométrie (elle est unique !)
3. La seule parade consisterait en une détection du vivant mais c’est une tâche très complexe, hors de portée d’un capteur qui ne mesure qu’une seule caractéristique (ou deux).
4. Pour achever le tout, la biométrie n’est pas révocable : je ne peux pas changer mes caractéristiques.

Sans oublier d’autres soucis… encore un petit coup de RGPD

Quand on utilise un mot de passe, l’utilisateur choisit lui-même son secret. Donc il est le seul à le connaître (lui et son Post-it) et l’association entre l’utilisateur et le code secret ne pose pas de problème, le seul lien est la connaissance du secret.

Or pour la biométrie, l’identité d’une personne est incluse dans la mesure. Donc l’identité contenue dans la biométrie peut être différente de celle associée en base. Et comme l’identité est incluse, la donnée devient personnelle. Elle est même considérée comme sensible.

Une sécurité politiquement incorrecte

Dernier problème et non des moindres : si tous les êtres humains naissent libres et égaux en droit, ils ne sont en revanche pas égaux face aux capteurs biométriques. Il est fréquent de voir des différences très notables. Les asiatiques et les noirs sont moins bien identifiés dans beaucoup de systèmes, surtout quand on passe d’un algorithme statistique à un algorithme d’intelligence artificielle (de classement automatisé de motifs complexes) dont on a du mal à se débarrasser des biais.

Un rappel utile : l’authentification forte selon l’ANSSI

Lors de la mise à niveau par l’ANSSI de ses recommandations concernant l’authentification forte et les phrases de passe, l’Agence évoque la biométrie. Le moins qu’on puisse dire, c’est qu’ils ne sont pas enthousiastes : « […] l’emploi d’un facteur biométrique présente de nombreux désavantages et limitations ». Et de proposer les règles suivantes :

• Règle 40 : Ne pas utiliser un facteur inhérent (biométrique) comme unique facteur d’authentification
• Règle 41 : Utiliser un facteur inhérent uniquement associé à un facteur d'authentification fort
• Règle 42 : Favoriser une rencontre en présence lors de l'enregistrement d'un facteur inhérent

Au final : un doigt de confort

Aujourd’hui il n’existe pas d’attaque en masse sur la biométrie, ce qui nous protège un peu. Mais en informatique, les données ne disparaissent quasiment jamais. Les bases de données biométriques commencent à être ciblées par de méchants pirates, et ces données restent valides sans limite de temps. Regardez ce que peut donner une société comme ClearView qui aspire tout ce qu’elle peut trouver.

Espérons aussi ne jamais tomber dans les travers des films de science-fiction, avec le méchant qui vous coupe le doigt ou vous arrache un œil pour tromper un système biométrique. Pourtant, en 2015, des individus ont imaginé qu’enlever une fillette pour utiliser son ADN serait la solution à un conflit familial, en trompant les tests de paternité. En 2018, un escroc utilisait le doigt coupé de sa victime pour usurper son identité.

Toute solution d’authentification (biométrique ou pas) reste un compromis entre ergonomie et sécurité. L’usage de la biométrie reste délicat et il faut toujours prévoir une alternative : en France, il est interdit de l’imposer pour le grand public.

• Phrases de passe : l'ANSSI passe en mode 2.0
• Phrases de passe : la CNIL passe elle aussi en mode 2.0

En termes d’expérience utilisateur, certaines biométries sont quasi-imbattables, mais on est donc très loin d’un niveau élevé d’authentification et d’une confiance aveugle. Prenez le cas d’un lecteur d’empreinte sur smartphone : le taux d’erreur annoncé par les constructeurs varie entre 1 sur 50 000 à 1 sur 250 000. À peine mieux qu’un code PIN sur 4 chiffres, avec la limitation qu’on ne peut ni le choisir ni le changer. Pour la biométrie vocale, le taux d’erreur est d’environ 1 pour 100. Idéalement, la biométrie ne devrait être qu’un facteur parmi d’autres dans une solution globale d’authentification.