La fin des mots de passe : les autres alternatives biométriques (2/3)

Hier, SecuriteOff a publié la première partie d’un dossier (en 3 volets) sur la fin des mots de passe et les alternatives. Dans cet article, nous présentons des solutions qui permettraient d’identifier plus précisément une personne. Mais elles présentent un défaut majeur : leur déploiement à grande échelle et sur des terminaux mobiles est impossible ou très limité. Par contre, certaines peuvent être utilisées pour l’authentification, c’est-à-dire contrôler la preuve de l’identité d’une personne, de
l’émetteur d’un message, d’un logiciel, d’un serveur logique ou d’un équipement.

 

 

 

face-new

La reconnaissance de la main
Différents éléments sont mesurés : les dimensions des doigts, les caractéristiques des articulations, la paume et la forme de la main. Cette solution peut être considérée comme l’ancêtre des techniques de reconnaissance morphologiques. À la fin des années 60, Robert P. Miller a en effet déposé un brevet pour un appareil permettant de mesurer des caractéristiques de la main et de les enregistrer pour comparaison ultérieure. Quelques années plus tard, Identimat, le premier système commercial basé sur cette technique, était installé dans une société d’investissements de Wall Street.

L’offre du marché
Une cinquantaine d’années plus tard, cette solution reste réservée à des services particuliers. Il n’existe pas beaucoup d’applications grand public. Citons celle de Ogaki Kyoritsu qui a installé en avril 2012, au Japon, le premier distributeur automatique de billets sans carte bancaire. En France, en 2002, le collège Joliot Curie de Carqueiranne a testé cette solution pour contrôler les accès au restaurant scolaire des élèves et des personnels. Le Musée du Louvre utilise également ce dispositif. Quelques « pointeuses » biométriques reposant sur cette analyse sont installées dans des entreprises.

La réalité selon des experts
Considée comme moins pernicieuse et intrusive que l’enregistrement des empreintes digitales, cette solution affiche des taux de faux positifs plus élevés qu’avec la mesure de l’empreinte digitale. Les caractéristiques de la main ne sont pas assez « uniques » comme les minuties. Par ailleurs, elle nécessite un scanner qui est plus gros que celui utilisé pour le doigt.

 

 

La reconnaissance de la rétine
En 1936, le Dr Carleton Simon et le Dr Isadore Goldstein ont l’idée d’utiliser la rétine
à des fins d’identification. Ils établissent que ces vaisseaux sont uniques pour chaque personne. Vingt ans plus tard, le Dr Paul Tower, dans une étude sur les jumeaux
identiques, confirma cette unicité.

Cette reconnaissance consiste à identifier le dessin du réseau rétinien d’une personne parmi une base de données. La première étape pour l’identification est de s’installer à proximité du lecteur rétinien (quelques centimètres). Il faut ensuite fixer un point du lecteur, alors qu’un faisceau lumineux de faible intensité est projeté de sorte à éclairer le fond de l’œil. Une caméra numérise et cartographie simultanément les caractéristiques du réseau. Ce sont jusqu’à 400 caractéristiques qui peuvent être recensées. La lecture du dessin de la rétine ne prend que quelques secondes. Une fois le balayage terminé, il y a comparaison entre le dessin scanné et les dessins mémorisés dans la base de données.

L’offre du marché
Étant donné la « lourdeur » de l’identification, cette solution ne peut être utilisée par le grand public et même des entreprises, à part celles faisant partie d’un secteur très sensible. Elle serait installée dans des bureaux de la CIA et du FBI. Aux États-Unis, certaines prisons privées en font également usage pour le contrôle d’accès des prisonniers. Afin de sécuriser les coffres-forts, certaines banques y auraient également recours.
En juillet dernier, Samsung a annoncé dans un tweet, à travers son compte @SamsungExynos (nom de son nouveau processeur), le très probable développement d’un lecteur d’empreinte rétinienne.

La réalité selon des experts
Affichant un taux d’erreur de moins de 1 sur 10 millions, la fiabilité de la technique n’est plus à prouver. En plus d’être unique, le motif formé par les vaisseaux sanguins demeure stable dans le temps.
Mais la lecture est impossible à une distance excédant les 10 centimètres, ce qui peut en rebuter plus d’un. Par ailleurs, une forte alcoolémie ou un diabète, deux affectations du système sanguin, peuvent entraîner une modification du réseau veineux de la rétine. Enfin, le coût élevé de la technique est un autre facteur négatif de son usage.

 

 

La reconnaissance faciale

C’est à partir des travaux du professeur Teuvo Kohonen (1989), chercheur en réseaux neuronaux de l’Université d’Helsinki, et des travaux de Kirby et Sirovich (1989) de l’Université Brown du Rhode Island, qu’a été mis au point par le Massachusetts Institute of Technology of Boston (MIT) un système de reconnaissance du visage nommé eigenface LIEN : http://vismod.media.mit.edu/vismod/demos/facerec/basic.html.

Selon la technique utilisée, le système extrait des caractéristiques du visage qui sont
conservées dans une base de données. Par exemple, le eigenface décompose l’image bidimensionnelle capturée en une série d’images teintées avec des nuances de gris différentes.
Quant au feature analysis, son dérivé, il est un peu plus souple puisqu’il permet de mieux prendre en compte les déformations du visage, l’éclairage et les angles horizontaux et verticaux.

La capture de l’image du visage se fait soit à l’aide d’une caméra photo fixe, ou soit à l’aide d’une caméra vidéo. Les deux types de caméra sont reliés à un logiciel permettant l’analyse de l’image. Dans un premier temps, le logiciel doit repérer les yeux du sujet de sorte à les positionner et à en lire l’alignement. À partir de cet alignement, le logiciel relève les différentes caractéristiques pour lequel il est programmé (position du nez, forme du menton, distance entre les yeux, etc.).

Début 2014, des chercheurs de l’université de Hong Kong ont présenté leur algorithme nommé GaussianFace. Il serait capable de gérer différentes composantes parfois mal analysées par certains systèmes : un mauvais éclairage ou des changements physiques (maquillage, coupe de cheveux) ne seraient pas un problème pour ce super-système.

L’offre du marché
Cette solution est utilisée principalement pour l’identification (contrôle aux frontières) et la délivrance de documents d’identité. L’engouement pour la biométrie faciale a connu un essor suite aux événements du 11 septembre 2001. Elle est implantée dans de nombreux casinos et dans certains aéroports.
Pour remplacer l’authentification classique d’un utilisateur par un mot de passe,  Asus, Lenovo et Toshiba avaient intégré, il y a quelques années, une application de reconnaissance faciale sur quelques PC portables.

La réalité selon des experts
La plus grande expérience a eu lieu en janvier 2001… au Raymond James Stadium de Tampa en Floride. À l’occasion du Super Bowl, la police de la ville a filmé, à leur insu, le visage de plusieurs dizaines de milliers de personnes qui entraient dans le stade. Un système de reconnaissance de la forme du visage a ensuite comparé tous ces portraits aux images contenues dans des bases de données. Objectif : identifier des terroristes et des criminels dans la foule, mais aucune arrestation n’a été menée.

En avril 2013, cette solution a été utilisée dans le cadre de l’enquête sur le double attentat du marathon de Boston, aux États-Unis.

Concernant la protection des postes de travail, une équipe de chercheurs du centre vietnamien Bach Khoa Internetwork Security (Bkis) a démontré en 2009, lors d’une conférence au Black Hat (aux États-Unis), que les systèmes de reconnaissance faciale installés sur les PC portables Lenovo, Asus et Toshiba n’étaient pas très « intelligents ». Pour duper les logiciels, ils ont imprimé le visage de l’utilisateur sur une feuille de papier et tendu celle-ci face à la webcam.

La performance de la reconnaissance faciale est liée à plusieurs paramètres essentiels. Tout d’abord, la qualité de l’image, qui dépend en grande partie du contexte dans lequel la biométrie faciale est captée. « Il faut bien distinguer les usages qui relèvent de l’authentification en situation dite “coopérative”, c’est-à-dire lorsque la personne se prête volontairement à la captation de son visage et suit les consignes qui lui sont données – regarder l’objectif bien en face, ne pas sourire, etc. –, et ceux pour lesquels la captation s’effectue de façon “non coopérative” à des fins d’identification : caméras de surveillance, images prises par des témoins utilisant leurs smartphones, etc. », précise Claude Bauzou, chef de produit chez Morpho (groupe Safran, leader mondial des technologies de reconnaissance biométrique).

Deuxième facteur clé selon Morpho, la puissance de calcul des algorithmes permettant de déceler les analogies entre une photo de visage et une autre. C’est ce que l’on appelle le « matching ». Enfin, la fiabilité de la reconnaissance faciale dépend de l’étendue et de la qualité des bases de données accessibles.

 

 

La reconnaissance de l’iris
L’idée d’utiliser l’iris pour identifier les personnes a été proposée par l’ophtalmologiste Frank Burch en 1936. Aran Safir et Leonard Fom ont ensuite déposé un brevet concernant cette technologie en 1987. L’intérêt majeur de cette technique est que la forme de l’iris reste stable durant toute la vie des adultes.

L’image de l’iris d’une personne est lue par un appareil qui contient une caméra infrarouge ou ordinaire, lorsque la personne se place à une distance qui n’excède
pas 40 centimètres de l’appareil. Environ 250 caractéristiques sont alors capturées.

L’offre du marché
Les premières applications commerciales sont apparues à la fin des années 80 dans le secteur financier pour les employés et les clients. Quelques guichets automatiques pour le paiement ont été installés dans les supermarchés Kroger, au Texas. Cette solution a aussi été déployée dans les institutions carcérales, dans les hôpitaux et dans les aéroports.

Morpho commercialise depuis environ un an le Morpho IAD (« Iris at A Distance »). Cet un appareil permet l’acquisition simultanée des deux iris et du visage à une distance d’un mètre en une seconde.

Pour un usage grand public, des rumeurs reviennent régulièrement quant à une intégration dans des smartphones LG ou Samsung. Début 2014, Alcatel One Touch et l’entreprise de biométrie, IriTech, ont révélé une tablette protégée par un tel système.

La réalité selon des experts
Cette solution est efficace, mais elle reste encore coûteuse et elle présente deux écueils pour être généralisée : une acceptabilité assez faible et des contraintes d’acquisition.
L’utilisateur doit notamment être à proximité de la caméra d’acquisition, doit garder les yeux ouverts et face à la caméra pendant quelques secondes. Par ailleurs, l’environnement doit être suffisamment éclairé et les paires de lunettes et les lentilles de couleur sont interdites ou peuvent entrainer une mauvaise acquisition.
En l’état actuel des recherches, cette solution ne peut pas remplacer le code PIN du smartphone.

La reconnaissance du réseau veineux
Dans les années 1980, les scientifiques se sont rendu compte que le réseau veineux est propre et unique à chaque individu, même dans le cas de vrais jumeaux. Un système a été inventé par l’ingénieur britannique Joe Rice en 1984.
Les images vasculaires peuvent être capturées en utilisant différentes technologies. Mais le système le plus « pratique » (dans le cadre de notre dossier) s’appuie sur une caméra avec un capteur « Charge-Coupled Device » (CCD) qui prend une image de la main.
Une autre option consiste à utiliser l’infrarouge. Le résultat de la comparaison est ensuite caractérisé par deux indices : le FAR (False Accept Rate) et le FRR (False Reject Rate). Ces paramètres sont les critères d’authentification biométrique les plus importants pour ce genre d’appareil. Le taux de FAR indique la probabilité qu’un utilisateur soit reconnu comme quelqu’un d’autre. Le taux de FRR indique la probabilité qu’un utilisateur connu soit rejeté. Les deux indices sont dépendants. En effet, si on augmente la probabilité de l’un, on diminue celle de l’autre.
Selon Fujitsu, qui a comparé 140’000 paumes de main, soit 70’000 individus, le FAR est de moins de 0.00008 % et le FFR est de 0.01 %.

L’offre du marché :
Plusieurs solutions ont é été développées par des chercheurs asiatiques (Malaisie, Corée du Sud…) et américains.
Fujitsu a développé en première mondiale la technologie d’authentification sans contact par les veines de la paume de la main en 2003, et a commencé à vendre des systèmes d’identification biométrique basés sur cette technologie en 2004.
En 2011, Fujitsu a développé un capteur de reconnaissance des veines de la main de 29,0 x 11,2 x 29,0 mm d’épaisseur. Tel le résultat auquel est parvenu Fujitsu, l’un des deux inventeurs de cette technologie d’identification biométrique aux côtés de Hitachi. Selon l’industriel nippon, ce capteur serait ainsi le plus petit et le plus mince du marché. Ce qui devrait élargir les applications de cette technologie en facilitant notamment son intégration dans les PC portables et autres appareils électroniques nomades.

Dans le domaine grand public, une solution pourrait être disponible dès l’an prochain. Des chercheurs des laboratoires de Fujitsu ont conçu une méthode d’authentification générant une clé de 2 048 bits. Selon les concepteurs de ce nouveau système LIEN : http://www.youtube.com/watch?v=RPR0vVwMAuE, les probabilités d’erreur de lecture sont de l’ordre d’un sur 100 000. L’entreprise cible des applications où l’aspect pratique est important : payer sa marchandise à l’épicerie, recevoir un colis, ou accéder à des sites web par exemple.

La réalité selon des experts
La biométrie basée sur la reconnaissance des veines de la main étant une jeune technologie, elle devra faire ses preuves durant les années à venir pour qu’on puisse affirmer que cela est un moyen invulnérable aux attaques créées par des tiers.
Modalités biométriques
Comme le rappelle Ramzi LEMOUCHI dans son mémoire présenté à l’École nationale Supérieure d’Informatique (ESI) Oued-Smar Alger, pour que des données collectées (images, audio, vidéo, etc.) puissent être qualifiées de modalité ou de trait biométrique, elles doivent être :

– Universelles : exister chez tous les individus à identifier ;

– Uniques : permettre de différencier un individu par rapport aux autres ;

– Permanentes : suffisamment invariantes au fil du temps ;

– Enregistrables : permettant d’‟être collectées et numérisées avec des
capteurs appropriés sans provoquer un malaise excessif pour la personne ;

– Mesurables : les données acquises peuvent être traitées pour en extraire des
ensembles représentatifs permettant une future comparaison.

Classification des modalités biometriques : Copyright École nationale Supérieure d’Informatique (ESI) Oued-Smar Alger, école doctorale STIC.
Sciences et Technologies de l’Information et de la Communication
Mémoire en vue de l’obtention du diplôme de MAGISTER EN INFORMATIQUE
Mr. LEMOUCHI Ramzi

Partager :

Dans la même catégorie

Publié le : 28/03/2024

7 bonnes pratiques que les petites entreprises peuvent suivre pour se protéger contre les cyberattaques 

Découvrir
Publié le : 26/03/2024

La gestion post-crise : évaluer, apprendre et améliorer le PRA

Découvrir
Publié le : 26/03/2024

Pourquoi un audit de cybersécurité est-il essentiel pour toutes les entreprises ?

Découvrir
error: Le contenu est protégé !!