Compte rendu de la conférence Biométrie et Cryptologie
du Forum Atena du 15 février 2007.
Thuy-Quoc HOANG-CO
EADS Secure Networks
thuy-quoc.hoang-co.external@eads.com
Durant cette demi-journée, plusieurs experts des domaines de la cryptologie et de la biométrie sont venus nous exposer leurs recherches, problématiques, ou solutions.
M. Abdallah Mhamed, enseignant chercheur en cryptologie au département Réseaux et Services de Télécommunication de l’INT, a fait un bref rappel des différents algorithmes et méthodes de chiffrement et d’identification (symétrique, asymétrique, irréversible…). Il a mis l’accent sur la difficulté pour appliquer les méthodes de cryptologie sur les réseaux sans fils. Un des problèmes également annoncés réside dans l’avènement hypothétique (prochain ?) de la mécanique quantique, qui rendrait inefficace les algorithmes de cryptologie actuels.
Ses recherches s’orientent vers la sécurisation des réseaux sans fils. Il travaille sur des algorithmes prometteurs, basés sur les courbes elliptiques et la mécanique quantique. L’intervention n’étant que de 20 minutes il lui était presque impossible, même en les survolant, de traiter ce large domaine.
Mme Bernadette Dorizzi, professeur responsable du département Electronique et Physique de l’INT, coordinatrice du projet GET bio-identité et du réseau d’excellence BioSecure :
Introduction à la biométrie. Présentation très intéressante, qui introduit les différentes méthodes de biométrie : empreintes digitales, visage, iris, voix, ADN, la démarche…Ainsi que leurs utilisations, Identification pour les entreprises, réalisation de bases de données à grande échelle pour les gouvernements… Elle a toutefois rappelé que même si la biométrie semble la solution la plus apte à répondre au besoin d’authentification, il faut la considérer comme UN des éléments du système, et qu’elle doit être combinée à de la cryptologie, pour sécuriser les éventuels transferts d’information sensible, à des bases de données sécurisées et performantes…La biométrie est une technologie toujours en voie de développement, et encore peu fiable
Mme Dorizzi a également mis l’accent sur la multi-modalité des identifications par biométrie : Combiner en même temps plusieurs paramètres pour authentifier les utilisateurs. En effet, l’authentification d’une personne est bien plus précise à travers un ensemble de paramètre. On peut de plus optimiser cette multi-modalité, en utilisant les paramètres conjointement, plutôt que séparément. Un exemple concret à été donné, montrant qu’il est bien plus efficace d’étudier le visage d’une personne en train de parler, en étudiant les formes du visage, le son, ainsi que la gestuelle, plutôt qu’une étude séparée du visage et de la voix.
Claude Barral, ingénieur de recherche chez Gemalto, également enseignant à l’EPFL (Ecole Polytechnique Fédérale de Lausanne), nous a présenté une application concrète d’authentification des utilisateurs par carte à puce. Il a rappelé que l’on doit utiliser pour l’authentification, conjointement ou séparément, « ce que l’on sait », « ce que l’on a », et « ce que l’on est ».
Différentes solutions de carte à puce, basées sur les empreintes digitales, ont été proposées :
- Match off Card : Les références biométriques sont stockées dans la carte à puce. L’authentification ce fait à travers un terminal externe. La décision est prise par ce terminal externe, qui a accès aux références biométriques, ce qui les expose au monde extérieur.
- Match On Card : L’identification utilise toujours un terminal externe pour acquérir l’empreinte digitale. Mais cette fois-ci, c’est la carte à puce qui va comparer les données, et prendre la décision. Les références biométriques ne sortent donc pas de la puce, et ne sont donc pas exposées au monde extérieur.
- Partial Match On Card : Les cartes à puce ayant de faibles capacités de calcul, la solution Match On Card devient difficilement utilisable avec des paramètres biométriques de grande taille, qui offrent une sécurité accrue. Le partial Match On Card permet de laisser le terminal externe réaliser les calculs lourds et complexes, tout en laissant la décision à la carte à puce.
- System On Card : La carte contient le capteur d’empreinte. Elle est donc autonome, la décision n’est pas communiquée au monde extérieur.
M. Barral a abordé le manque de capacité des cartes à puce, de par leurs faibles mémoires, ainsi que leurs faibles capacités de calcul. L’utilisation d’un crypto processeur spécifique aux cartes à puce pourrait permettre de réduire les temps de calcul.
Benoît Louvet, avocat associé et responsable du département NTIC au sein du cabinet Lamy & Associés :
Vision d’un juriste de la biométrie, et de la cryptologie d’une manière plus générale. Il rappelle que l’autorisation de la CNIL est indispensable pour déployer un dispositif biométrique quel qu’il soit. Il a également mis en avant qu’aucune demande faite par une entreprise privée, de déploiement de système biométrique, incluant une base de données des paramètres biométriques, n’a été autorisée. La CNIL a donc un rôle essentiel concernant la biométrie et la cryptologie.
La réglementation française en matière de cryptologie a également été abordée et illustrée par un tableau fourni par la DCSSI :
Les Sponsors :
Sagem Défense & Sécurité : Présentation des différentes solutions mettant en œuvre la biométrie par Loïc Bournon. On recense deux grandes catégories d’utilisateur, selon leurs usages :
- Utilisateurs privés : Permet aux entreprises de réaliser des contrôles d’accès (i.e. ADP).
- Les gouvernements : Autorisation, Fichage des criminels, contrôle des frontières.
Les systèmes à venir permettront une identification sans contact, rapide et invisible pour l’utilisateur, i.e. l’utilisation de l’iris. Dans le futur, leur but est également de permettre à une échelle internationale de générer un code unique par personne, utilisant les paramètres biométriques.
EADS a été très bien représenté par Marc Mouffron, qui à brièvement présenté les activités de la société, plus particulièrement des lignes de business GLS et SN. Bien que l’utilisation de la biométrie n’est pas encore requise sur les terminaux des réseaux PMR, M. Mouffron a démontré l’importance qu’a ce type de réseau sur la sécurité nationale et internationale.
Jean Luc Largenton, créateur de la Security Box, nous a exposé les produits de ARKOON.
Table Ronde :
La table ronde a été, comme toujours, interactive et vivante. Un débat a éclaté concernant la position de la CNIL, certains pensant qu’elle est indispensable pour réguler et contrôler le marché très sensible de la biométrie alors que d’autres, principalement les entreprises actives de ce domaine, ont exprimé leurs inquiétudes, concernant le fait que la CNIL ne fait que de ralentir leurs activités, ce qui a pour conséquence de fournir à la France une place d’acteur de seconde zone dans le domaine de la biométrie.
A noter également durant cette table ronde l’intervention plus que saugrenue d’une journaliste de France 4.