De la biométrie classique à la biométrie comportementale

L’identification d’une per­son­ne grâce à la bio­métrie n’est pas un fait récent.  La police a com­mencé à utilis­er les empreintes dig­i­tales pour iden­ti­fi­er les crim­inels dès le début du XXème siè­cle – et elle con­tin­ue de le faire, notam­ment parce que la bio­métrie est pro­pre à chaque indi­vidu, même dans le cas des jumeaux. Cepen­dant, l’utilisation mod­erne de l’i­den­ti­fi­ca­tion bio­métrique doit beau­coup aux pro­grès réal­isés dans le domaine de l’IA, et au gain de puis­sance de traite­ment infor­ma­tique sur­venu au cours de la dernière décennie.

Les algo­rithmes util­isés sont aujourd’hui suff­isam­ment puis­sants pour traiter les don­nées bio­métriques à l’échelle nationale, voire inter­na­tionale. L’U­nion européenne utilise ain­si actuelle­ment un sys­tème d’archivage des empreintes dig­i­tales pour suiv­re les migrants à tra­vers l’Eu­rope ¹. L’Inde a elle mis en place un sys­tème de col­lecte de don­nées bio­métriques pour son recense­ment nation­al ² – une pre­mière pour un pays dont la pop­u­la­tion dépasse le mil­liard d’habitants.

Si les don­nées bio­métriques peu­vent être (et sont) exploitées pour recueil­lir des don­nées démo­graphiques, elles restent prin­ci­pale­ment util­isées dans le domaine de la sécu­rité. Un boule­verse­ment est sur­venu au niveau des logi­ciels de traite­ment des don­nées bio­métriques (comme celui util­isé par l’Union européenne pour les migrants), avec la numéri­sa­tion des empreintes dig­i­tales. Cepen­dant, les numéris­er ne suf­fit pas : il faut égale­ment se dot­er de pro­grammes capa­bles de les exploiter, en effec­tu­ant des recherch­es dans la base de don­nées, mais aus­si en réal­isant des com­para­isons sus­cep­ti­bles de cor­re­spon­dre aux empreintes dig­i­tales présentes dans les archives.

Les GAFAM sont à l’o­rig­ine de la démoc­ra­ti­sa­tion actuelle de la bio­métrie – avec la général­i­sa­tion sur les smart­phones des sys­tèmes de déver­rouil­lage par recon­nais­sance faciale ou par empreinte dig­i­tale. Ces sys­tèmes d’identification représen­tent pour eux un marché à haut poten­tiel, et ce d’au­tant plus qu’ils sont les seules organ­i­sa­tions à dis­pos­er des ressources néces­saires pour pren­dre en charge les énormes bases de don­nées req­ui­s­es. Nos petits lab­o­ra­toires ne peu­vent pas s’oc­cu­per de ce point, et nous tra­vail­lons donc plutôt sur la fia­bil­ité et la sécu­rité des sys­tèmes, en lais­sant le côté opéra­tionnel aux géants !

Mais il faut tout de même rap­pel­er que les enjeux ne sont pas les mêmes pour les GAFAM que pour le secteur de la sécu­rité. Lors d’une enquête crim­inelle, les empreintes dig­i­tales peu­vent jouer un rôle décisif dans l’in­cul­pa­tion d’une per­son­ne, et une con­damna­tion pour meurtre se traduit en une peine de prison à vie. Dans le cas d’un pirate infor­ma­tique s’introduisant dans un télé­phone, le pire serait la perte de don­nées sen­si­bles. La fia­bil­ité des sys­tèmes de recon­nais­sance bio­métrique util­isés au quo­ti­di­en est donc bien moins grande.

À Télé­com Sud­Paris, nous étu­dions un secteur très récent : celui de la bio­métrie com­porte­men­tale. L’objectif est de met­tre au point des dis­posi­tifs capa­bles d’identifier une per­son­ne en fonc­tion de sa façon de marcher, ou de taper sur son clavier d’or­di­na­teur. Les impli­ca­tions con­cer­nent là aus­si davan­tage la per­son­nal­i­sa­tion de l’en­vi­ron­nement que la sécu­rité : imag­inez que votre mai­son soit équipée d’un sys­tème de détec­tion capa­ble de recon­naître votre démarche grâce à des cap­teurs placés sous la moquette, qui trans­met­traient automa­tique­ment ces infor­ma­tions à un sys­tème chargé d’ajuster la tem­péra­ture ou l’é­clairage en fonc­tion de vos préférences per­son­nelles. Nous imag­i­nons égale­ment la dif­fu­sion de cette tech­nolo­gie dans les étab­lisse­ments de soins de san­té, afin d’amélior­er le con­fort ou la sécu­rité des per­son­nes hand­i­capées ou âgées.

Le secteur des smart­phones a égale­ment poussé la détec­tion des empreintes dig­i­tales pour fournir aux ban­ques en ligne un sys­tème d’authentification robuste. Puisque les don­nées bio­métriques sont pour la plu­part infal­si­fi­ables, elles sont beau­coup plus sûres pour les trans­ac­tions ban­caires qu’un mot de passe ou un code PIN, qui peu­vent être volés ou décou­verts rel­a­tive­ment facile­ment. En out­re, une per­son­ne emporte avec elle ses infor­ma­tions bio­métriques partout où elle va.

Après le 11-Sep­tem­bre, la sécu­rité bio­métrique a con­nu un véri­ta­ble essor, parce que l’on pen­sait qu’il s’agis­sait d’une méth­ode d’i­den­ti­fi­ca­tion infail­li­ble ; mais en réal­ité, cer­taines don­nées peu­vent tech­nique­ment être usurpées. On peut vol­er des empreintes dig­i­tales à par­tir de traces sur une sur­face, ou recon­stituer un vis­age grâce à des images trou­vées en ligne. Mais dans ce cas, la vic­time est ciblée : il n’est pas encore pos­si­ble d’imaginer une cyber­at­taque mas­sive, impli­quant la vio­la­tion des don­nées per­son­nelles de mil­liers de per­son­nes à la fois.

Un sys­tème de dou­ble authen­tifi­ca­tion per­met de con­tr­er ce phénomène, et c’est pour cela que de nom­breux sys­tèmes utilisent à la fois les empreintes dig­i­tales et le code PIN. Mais il existe en réal­ité beau­coup d’autres façons de col­lecter des traits phys­i­ologiques : vis­age, iris, voix, mou­ve­ments des lèvres… Ils sont plus ou moins fiables, mais ce n’est pas for­cé­ment le fac­teur déter­mi­nant. C’est l’étape de l’acquisition des don­nées qui peut être la plus com­plexe : par exem­ple, la détec­tion de l’iris, qui est l’un de mes domaines d’ex­per­tise, ne peut se faire sans utilis­er une caméra spéciale. 

L’un des plus grands défis que nous ren­con­trons reste cepen­dant d’arriver à ras­sur­er les pop­u­la­tions sur la sécu­rité de leurs don­nées bio­métriques. La ques­tion des don­nées per­son­nelles n’est pas traitée de la même manière selon l’en­droit où l’on se trou­ve dans le monde. En Chine, l’É­tat con­serve le dossier ADN de chaque citoyen dès la nais­sance. Les États-Unis sont égale­ment plus per­mis­sifs que l’Eu­rope, alors qu’en France, et bien que l’idée d’une carte d’i­den­tité bio­métrique revi­enne sans cesse sur la table, la réti­cence des habi­tants empêche l’adoption du système.

Pour résoudre les prob­lèmes d’ac­cept­abil­ité, il serait utile d’ex­pli­quer com­ment fonc­tionne réelle­ment la bio­métrie. Empreintes dig­i­tales et ADN ne four­nissent pas du tout le même type d’information. Votre ADN peut être util­isé pour appren­dre des choses sur vous (vos orig­ines ou votre prédis­po­si­tion à cer­taines mal­adies, par exem­ple), alors que votre empreinte dig­i­tale n’est qu’un fac­teur d’i­den­ti­fi­ca­tion unique qui ne porte en lui-même aucune infor­ma­tion spé­ci­fique sur vous.