De la biométrie classique à la biométrie comportementale

L’identification d’une per­sonne grâce à la bio­mé­trie n’est pas un fait récent.  La police a com­men­cé à uti­li­ser les empreintes digi­tales pour iden­ti­fier les cri­mi­nels dès le début du XXème siècle – et elle conti­nue de le faire, notam­ment parce que la bio­mé­trie est propre à chaque indi­vi­du, même dans le cas des jumeaux. Cepen­dant, l’utilisation moderne de l’i­den­ti­fi­ca­tion bio­mé­trique doit beau­coup aux pro­grès réa­li­sés dans le domaine de l’IA, et au gain de puis­sance de trai­te­ment infor­ma­tique sur­ve­nu au cours de la der­nière décennie.

Les algo­rithmes uti­li­sés sont aujourd’hui suf­fi­sam­ment puis­sants pour trai­ter les don­nées bio­mé­triques à l’é­chelle natio­nale, voire inter­na­tio­nale. L’U­nion euro­péenne uti­lise ain­si actuel­le­ment un sys­tème d’ar­chi­vage des empreintes digi­tales pour suivre les migrants à tra­vers l’Eu­rope ¹. L’Inde a elle mis en place un sys­tème de col­lecte de don­nées bio­mé­triques pour son recen­se­ment natio­nal ² – une pre­mière pour un pays dont la popu­la­tion dépasse le mil­liard d’habitants.

Si les don­nées bio­mé­triques peuvent être (et sont) exploi­tées pour recueillir des don­nées démo­gra­phiques, elles res­tent prin­ci­pa­le­ment uti­li­sées dans le domaine de la sécu­ri­té. Un bou­le­ver­se­ment est sur­ve­nu au niveau des logi­ciels de trai­te­ment des don­nées bio­mé­triques (comme celui uti­li­sé par l’Union euro­péenne pour les migrants), avec la numé­ri­sa­tion des empreintes digi­tales. Cepen­dant, les numé­ri­ser ne suf­fit pas : il faut éga­le­ment se doter de pro­grammes capables de les exploi­ter, en effec­tuant des recherches dans la base de don­nées, mais aus­si en réa­li­sant des com­pa­rai­sons sus­cep­tibles de cor­res­pondre aux empreintes digi­tales pré­sentes dans les archives.

Les GAFAM sont à l’o­ri­gine de la démo­cra­ti­sa­tion actuelle de la bio­mé­trie – avec la géné­ra­li­sa­tion sur les smart­phones des sys­tèmes de déver­rouillage par recon­nais­sance faciale ou par empreinte digi­tale. Ces sys­tèmes d’identification repré­sentent pour eux un mar­ché à haut poten­tiel, et ce d’au­tant plus qu’ils sont les seules orga­ni­sa­tions à dis­po­ser des res­sources néces­saires pour prendre en charge les énormes bases de don­nées requises. Nos petits labo­ra­toires ne peuvent pas s’oc­cu­per de ce point, et nous tra­vaillons donc plu­tôt sur la fia­bi­li­té et la sécu­ri­té des sys­tèmes, en lais­sant le côté opé­ra­tion­nel aux géants !

Mais il faut tout de même rap­pe­ler que les enjeux ne sont pas les mêmes pour les GAFAM que pour le sec­teur de la sécu­ri­té. Lors d’une enquête cri­mi­nelle, les empreintes digi­tales peuvent jouer un rôle déci­sif dans l’in­cul­pa­tion d’une per­sonne, et une condam­na­tion pour meurtre se tra­duit en une peine de pri­son à vie. Dans le cas d’un pirate infor­ma­tique s’introduisant dans un télé­phone, le pire serait la perte de don­nées sen­sibles. La fia­bi­li­té des sys­tèmes de recon­nais­sance bio­mé­trique uti­li­sés au quo­ti­dien est donc bien moins grande.

À Télé­com Sud­Pa­ris, nous étu­dions un sec­teur très récent : celui de la bio­mé­trie com­por­te­men­tale. L’objectif est de mettre au point des dis­po­si­tifs capables d’identifier une per­sonne en fonc­tion de sa façon de mar­cher, ou de taper sur son cla­vier d’or­di­na­teur. Les impli­ca­tions concernent là aus­si davan­tage la per­son­na­li­sa­tion de l’en­vi­ron­ne­ment que la sécu­ri­té : ima­gi­nez que votre mai­son soit équi­pée d’un sys­tème de détec­tion capable de recon­naître votre démarche grâce à des cap­teurs pla­cés sous la moquette, qui trans­met­traient auto­ma­ti­que­ment ces infor­ma­tions à un sys­tème char­gé d’ajuster la tem­pé­ra­ture ou l’é­clai­rage en fonc­tion de vos pré­fé­rences per­son­nelles. Nous ima­gi­nons éga­le­ment la dif­fu­sion de cette tech­no­lo­gie dans les éta­blis­se­ments de soins de san­té, afin d’a­mé­lio­rer le confort ou la sécu­ri­té des per­sonnes han­di­ca­pées ou âgées.

Le sec­teur des smart­phones a éga­le­ment pous­sé la détec­tion des empreintes digi­tales pour four­nir aux banques en ligne un sys­tème d’authentification robuste. Puisque les don­nées bio­mé­triques sont pour la plu­part infal­si­fiables, elles sont beau­coup plus sûres pour les tran­sac­tions ban­caires qu’un mot de passe ou un code PIN, qui peuvent être volés ou décou­verts rela­ti­ve­ment faci­le­ment. En outre, une per­sonne emporte avec elle ses infor­ma­tions bio­mé­triques par­tout où elle va.

Après le 11-Sep­tembre, la sécu­ri­té bio­mé­trique a connu un véri­table essor, parce que l’on pen­sait qu’il s’a­gis­sait d’une méthode d’i­den­ti­fi­ca­tion infaillible ; mais en réa­li­té, cer­taines don­nées peuvent tech­ni­que­ment être usur­pées. On peut voler des empreintes digi­tales à par­tir de traces sur une sur­face, ou recons­ti­tuer un visage grâce à des images trou­vées en ligne. Mais dans ce cas, la vic­time est ciblée : il n’est pas encore pos­sible d’imaginer une cybe­rat­taque mas­sive, impli­quant la vio­la­tion des don­nées per­son­nelles de mil­liers de per­sonnes à la fois.

Un sys­tème de double authen­ti­fi­ca­tion per­met de contrer ce phé­no­mène, et c’est pour cela que de nom­breux sys­tèmes uti­lisent à la fois les empreintes digi­tales et le code PIN. Mais il existe en réa­li­té beau­coup d’autres façons de col­lec­ter des traits phy­sio­lo­giques : visage, iris, voix, mou­ve­ments des lèvres… Ils sont plus ou moins fiables, mais ce n’est pas for­cé­ment le fac­teur déter­mi­nant. C’est l’étape de l’acquisition des don­nées qui peut être la plus com­plexe : par exemple, la détec­tion de l’i­ris, qui est l’un de mes domaines d’ex­per­tise, ne peut se faire sans uti­li­ser une camé­ra spéciale. 

L’un des plus grands défis que nous ren­con­trons reste cepen­dant d’arriver à ras­su­rer les popu­la­tions sur la sécu­ri­té de leurs don­nées bio­mé­triques. La ques­tion des don­nées per­son­nelles n’est pas trai­tée de la même manière selon l’en­droit où l’on se trouve dans le monde. En Chine, l’É­tat conserve le dos­sier ADN de chaque citoyen dès la nais­sance. Les États-Unis sont éga­le­ment plus per­mis­sifs que l’Eu­rope, alors qu’en France, et bien que l’i­dée d’une carte d’i­den­ti­té bio­mé­trique revienne sans cesse sur la table, la réti­cence des habi­tants empêche l’adoption du système.

Pour résoudre les pro­blèmes d’ac­cep­ta­bi­li­té, il serait utile d’ex­pli­quer com­ment fonc­tionne réel­le­ment la bio­mé­trie. Empreintes digi­tales et ADN ne four­nissent pas du tout le même type d’information. Votre ADN peut être uti­li­sé pour apprendre des choses sur vous (vos ori­gines ou votre pré­dis­po­si­tion à cer­taines mala­dies, par exemple), alors que votre empreinte digi­tale n’est qu’un fac­teur d’i­den­ti­fi­ca­tion unique qui ne porte en lui-même aucune infor­ma­tion spé­ci­fique sur vous.