Biométrie multimodale : sécuriser l’identification, limiter les rejets

La personne qui se présente est-elle bien celle qu’elle prétend être ? Une question à laquelle doivent répondre quotidiennement les responsables de sécurité qu’ils aient en charge le contrôle de la frontière d’un état, les grilles d’une société, l’accès au poste de travail ou… au restaurant d’entreprise ! Des solutions biométriques performantes existent, mais les entreprises qui les utilisent doivent montrer, sous l’œil vigilant de la CNIL, qu’elles en ont un usage approprié tout en respectant les libertés individuelles.

Comment véritablement sécuriser l’accès qu’il soit physique ou logique ? Les clés se reproduisent, les badges s’échangent et les mots de passe se mémorisent ! Partant de ce constat, de nombreuses technologies dites biométriques reposant sur les caractères morphologiques ou comportementaux uniques des individus ont vu le jour : Lecteur d’empreintes digitales, du volume de main, ou du réseau veineux, frappe du clavier, reconnaissance de l’iris… Ces techniques de biométrie sont globalement sûres, mais on peut améliorer la fiabilité et la rapidité des réponses en les combinant entre elles, (biométrie multimodale).

Diminuer les problèmes à l’enrôlement et à la lecture

À l’heure actuelle, en entreprise, seule la biométrie qui associe lecture des empreintes digitales et du réseau veineux est disponible sur le marché français. Deux lecteurs dominent le marché, le Morpho Smart Finger du géant Morpho (groupe Safran) qui par a ailleurs fourni le logiciel du fichier d’automatisation des empreintes digitales de la police, et Le vein ® de Be Metrics petite entreprise nancéenne. Le principe des deux lecteurs est similaire comme l’explique Rémi Toussaint directeur commercial chez Be Metrics : « La technologie de lecture de l’empreinte est associée à celles de reconnaissance du réseau veineux. L’intérêt est de diminuer les problèmes à l’enrôlement et à la lecture : dans les cas où une donnée est peu lisible, elle est compensée par l’autre. À l’usage, l’authentification de l’utilisateur est beaucoup plus rapide, avec un taux d’erreurs infime. »

Des œuvres d’art aux patients d’un hôpital, des applications variées de la multimodalité

Un argument qui a su convaincre cette prestigieuse maison de ventes aux enchères située sur les Champs-Elysées qui fait figure de précurseur dans le domaine de la biométrie « Cela fait 10 ans que nous utilisons le biométrique pour le contrôle d’accès de notre personnel ! explique le responsable. Nous avons récemment changé pour une solution bimodale (empreintes et veines) associée à une clé, ce qui nous permet une triple vérification. Compte-tenu des valeurs inestimables qui transitent dans nos locaux, les impératifs de sécurité sont prioritaires dans le choix d’une solution de contrôle. » Authentifier avec certitude, c’est aussi une préoccupation majeure des centres hospitaliers : l’erreur de patient, même rarissime, peut avoir des conséquences dramatiques. Le centre Oscar Lambret est actuellement en phase d’évaluation d’un système bimodal dans son service de radiothérapie (voir encadré). Une expérimentation suivie de près par de nombreux services (chirurgie, chimiothérapie…) et qui si elle est concluante devrait s’étendre à d’autres hôpitaux.

Pour en finir avec les cartes, perdues, volées et démagnétisées…

Si l’argument sécuritaire arrive en tête, dans le choix d’un système bimodal, il n’est pas le seul ! En effet, comme le souligne Rémi Toussaint, « le système empreintes + veines, sous réserve d’une demande d’autorisation fondée, est acceptée par la CNIL, sans obligation d’une carte. » En effet, pour des raisons de protections des données personnelles, les dispositifs d’empreintes seules en France, doivent être couplés à  l’utilisation d’une carte conservée par l’utilisateur qui contient la donnée biométrique.  Elle devra être présentée en même temps que le doigt ou la paume pour authentification. Aussi, ne plus avoir à gérer de cartes, bien souvent motive le passage à une solution biométrique bimodale.

« Sécuriser l’information : la biométrie peut être la solution » Benoit Tanguy, Directeur de l’innovation digitale chez Solucom et intervenant au Clusif.x

Il y a 10 ans déjà, le Club de la sécurité de l’information française (CLUSIF)  qui regroupe 285 entreprises de tout secteur économique sensibilisées à la sécurisation de l’information, se penchait les différentes technologies biométriques pour le contrôle d’accès logique et physique. Une question toujours suivie de près par le groupement. « Certaines applications sont très intéressantes, mais on ne peut pas dire qu’il y ait un déploiement massif, concède Benoit Tanguy, directeur de l’innovation digitale chez Solucom et intervenant au Clusif. Les freins sont nombreux, outre la manipulation des données personnelles qui reste une question brûlante, le manque de standard pour le matériel et la non-interopérabilité des systèmes sont réellement problématiques. Dans les grandes entreprises du CLUSIF quelques dispositifs ont été mis en place sur des populations spécifiques : trader dans les banques, directeurs financiers de filiales d’un grand groupe mondial habilités à faire des paiements … les usages demeurent modestes. En revanche, avec le rachat récent par Apple de fabricants de technologies biométriques, la donne pourrait très vite changer. » - Les contrôles d’accès physiques par la biométrie  / Guide téléchargeable en ligne sur le site du CLUSIF

« Le multimodal ? Un temps d’identification très bref ! » Ilan Malet, Installateur de solutions de contrôle d’accès, M4S Sécurité

« Nous avons intégré les solutions biométriques à notre offre il y a 3 ans, et le bimodal Le Vein depuis un 1 an. La demande est régulière et attire de plus en plus de clients qui, entre autres, ne veulent plus avoir à gérer de badges. Nous connaissons bien les mécanismes et les règles d’obtention des autorisations de la CNIL qui ont été d’ailleurs été grandement simplifiées avec l’autorisation unique. Nous apportons le soutien nécessaire, si le client le souhaite, pour l’aider à remplir sa demande. Ce qui nous a semblé intéressant dans le lecteur empreinte/veine c’est le temps d’identification très bref, et le taux de faux rejet très bas. C’est un produit fiable, ergonomique qui se développerait plus rapidement, si les bureaux d’études le connaissaient mieux et l’intégraient à leur projet. »

3 questions à Serge Audebaud, Responsable biomédical, centre Oscar Lambret, Lille

Pourquoi avoir choisi une authentification des patients par biométrie pour votre service de radiothérapie ?  Nous traitons chaque année des milliers de patients dans le service de radiothérapie dirigé par le Professeur E. Lartigau. L’identification se fait comme dans tous les services, notamment par le questionnement du patient. Toutefois, sur le nombre, nous avons parfois des problèmes de langue, d’homonymie ou de personnes dont l’état de santé ne permet pas de recueillir l’information. Le Pr. Lartigau souhaitait un système qui permette de vérifier la concordance entre le patient entrant en salle de traitement et le patient identifié dans l’application qui paramètre et pilote la machine de radiothérapie. C’est pourquoi nous avons testé pendant plus d’un an avec l’accord de la CNIL, un système de reconnaissance par empreinte digitale. Pourquoi êtes-vous passé à un système bimodal (empreintes + veines) ? Pour le moment nous ne sommes qu’en phase d’évaluation. 5 % de nos patients ne sont pas reconnus par le système empreinte seule, essentiellement des personnes très âgées, des patients ayant suivi certaines chimiothérapies ou ayant eu des professions qui altéraient leurs mains (coiffeuses, maçons…) et dont les empreintes ne sont pas lisibles. Nous espérons donc que le système empreinte + veine va nous permettre de réduire ce pourcentage et augmenter la sensibilité du dispositif. Concrètement, comment se passe le contrôle ? Au début du traitement, la reconnaissance biométrique est proposée au patient et s’il est d’accord (plus de 93 % des patients le sont), il est alors enrôlé dans le système par enregistrement des 2 index. Par la suite, pendant plusieurs semaines, le patient s’identifie quotidiennement sur un premier lecteur à l’entrée du service pour annoncer son arrivée et rejoindre la salle d’attente. Le moment venu, le patient s’authentifie sur un second lecteur placé à l’entrée de la salle de traitement. Le manipulateur vérifie alors la concordance entre le patient entrant et le patient programmé sur l’accélérateur avant de lancer le traitement. À la fin des séances de traitement, les données biométriques sont automatiquement effacées du système

Déclaration à la CNIL : obligatoire !

Tous les fabricants, distributeurs et installateurs le reconnaissent : un certain nombre d’utilisateurs finaux de systèmes biométriques négligent de faire leur déclaration à la CNIL. Les raisons sont confuses : manque de temps ou d’information ? Crainte d’un refus ? Lourdeur supposée de la démarche ? La CNIL quant à elle reconnait qu’elle n’a pas les moyens d’estimer les non-déclarations. L’installation d’un dispositif biométrique, quel qu’il soit, est soumis à une demande d’autorisation de la CNIL et le non-accomplissement des formalités, s’il est avéré (souvent suite à une dénonciation), est théoriquement sanctionné de 5 ans d’emprisonnement et 300 000 € d’amende. Qu’est-ce que l’autorisation unique ? Téléchargeable sur le site de la CNIL, l’autorisation unique est une démarche simplifiée qui permet aux entreprises de déclarer l’utilisation d’un système biométrique en conformité avec la loi. En principe, l’autorisation est délivrée automatiquement sous une semaine. pour en savoir plus : www.cnil.fr

« La biométrie, sur la voie de la certification ? » André Delaforge, Marketing manager, Natural Security, Président de Biometrics Alliance Initiative

« Comme tous les acteurs métier, fabricants, installateurs et utilisateurs, nous sommes confrontés à une multiplication de technologies biométriques d’origines diverses aux performances très variables. Nous nous sommes donc regroupés pour former la Biometrics Alliance Initiative (BAI), afin de mettre en place un schéma de certification des technologies biométriques.  Dans un premier projet de référentiel qui sortira cet été, nous avons recensé un certain nombre de critères qui nous semblaient pertinent pour évaluer une technologie biométrique. Nous sommes en train de définir des valeurs associées à différents cas d’usage, car les critères ne sont pas forcément les mêmes pour faire un transfert bancaire et pénétrer dans un laboratoire pharmaceutique !  Nous avons également engagé une réflexion sur comment choisir la bonne technologie, pour allier performance et sécurité. Notre vision est que l’utilisation de la biométrie doit reposer sur un geste volontaire de l’utilisateur, par exemple en présentant la paume de la main ou le doigt. Ceci afin de respecter les règles des régulateurs dans le domaine de la protection des données personnelles et de la vie privée et donc créer la confiance.  Avec l’explosion de la demande de sécurisation des accès on peut s’attendre à une forte croissance de la biométrie. À terme, on peut prédire que l’authentification reposant sur un moyen unique permettra d’accéder aux locaux, au poste de travail, de signer des documents.  Comme tout cela bouge très vite, il est essentiel d’agir maintenant pour normaliser les systèmes. »

3 questions à Marie-Charlotte Bonnet-Roques Juriste-expert en nouvelles technologies, CNIL

Quelle est votre position par rapport à la biométrie ? La biométrie a la particularité de pouvoir identifier un individu de manière permanente et inaliénable, puisqu’elle se base sur ses caractéristiques physiques. Notre rôle est de protéger le citoyen de l’utilisation malveillante qui pourrait être faite de ses données. Il faut donc être vigilant quant aux détournements possibles qui pourraient être faits à l’insu des personnes concernées, qui doivent conserver un contrôle effectif sur leurs données biométriques. Toutefois, nous sommes conscients que la biométrie peut être une solution tout à fait appropriée à l’impératif de contrôle d’accès physiques (à des locaux) ou logique (à des logiciels ou des applications) si elle apporte les garanties nécessaires. Dans quel cas autorisez-vous l’utilisation de la biométrie ? Nous avons autorisé la biométrie dans plus d’une centaine de cas pour l’accès à l’entreprise et à des locaux sensibles. En revanche, le contrôle des horaires par biométrie a été abandonné. Les auditions menées auprès des acteurs concernés (industriels et syndicats notamment) ont montré que cela créait une mauvaise ambiance de travail sans apporter de bénéfices par rapport à un pointage traditionnel ! Sur quels types de technologies vous êtes-vous prononcés ? Les empreintes digitales, le contour de la main, la reconnaissance vocale, le réseau veineux, l’iris et la frappe de clavier. En ce qui concerne la bimodalité, nous n’avons eu que 8 demandes jusqu’en 2012 et toutes ont été acceptées ! En 2013, 3 sont en cours d’instruction. Quelle que soit la technologie, la question à laquelle doit répondre la commission est toujours la même : la biométrie se justifie-t-elle au regard des finalités identifiées, des conditions techniques et organisationnelles de mise en œuvre du dispositif et des garanties apportées à l’utilisateur quant au respect de ses droits ?