Cours sur les systèmes biométriques, tutoriel & guide de travaux pratiques en pdf.
Définitions
Le terme de biométrie est originaire d’une contraction des deux anciens termes grecs : « bios » qui signifie : la vie et « metron » qui se traduit par : mesure.
La biométrie est apparue pour combler les manques des systèmes d’accès classiques, et dans la littérature il existe plusieurs définitions de la biométrie telles que :
« La reconnaissance automatique d’une personne à partir de son comportement ou d’une caractéristique physique ». Source : ISO 1
« La biométrie recouvre l’ensemble des procédés tendant à identifier un individu à partir de la mesure de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales ». Source : CNIL 2
La biométrie est la science d’établir l’identité d’une personne basée sur les attributs physiques (empreintes digitales, visage, géométrie de la main, iris, rétine…) ou comportementaux (démarche, signature, dynamique de clavier…) liés à un individu.
Un système biométrique typique utilise les sondes convenablement conçues pour capturer le trait biométrique d’une personne et le compare à l’information stockée dans une base de données pour établir l’identité.
Les techniques biométriques permettent donc la mesure et la reconnaissance de ce que l’on est, à la différence d’autres techniques de mêmes finalités, mais permettant de mesurer ou vérifier ce que l’on possède (carte, badge, document, …) ou ce que l’on sait (mot de passe, code pin, …).
Un système biométrique peut fonctionner en deux modes distincts : en mode de vérification, le système confirme ou nie une identité réclamée, alors qu’en mode d’identification, il détermine l’identité d’un individu.
La biométrie offre une solution naturelle est fiable pour certains aspects de la gestion d’identité en utilisant des systèmes entièrement automatisés ou semi-automatisés de reconnaissance des individus.
Intérêt
La biométrie se rapporte à la classe entière des technologies et techniques pour identifier uniquement des humains. La biométrique est un domaine émergeant où la technologie améliore notre capacité à identifier une personne. La protection des consommateurs contre la fraude ou le vol est un des buts de la biométrie. L’avantage de l’identification biométrique est que chaque individu a ses propres caractéristiques physiques qui ne peuvent être changées, perdues ou volées. La méthode d’identification biométrique peut aussi être utilisée en complément ou remplacement de mots de passe.
Figure II.1 – Exemples des traits biométriques utilisés pour l’identification.
Bien que la technologie biométrique ait de diverses utilisations, son but primaire est de fournir une alternative plus sécurisée aux systèmes traditionnels de contrôle d’accès employés pour protéger les capitaux personnels ou de corporation. Parmi les nombreux problèmes résolus grâce à l’usage des techniques biométriques, les faiblesses qui ont été décelées dans les systèmes actuels de contrôle d’accès sont les suivantes :
Mots de passe faibles : Les utilisateurs d’ordinateur sont notoirement susceptibles d’employer des pauvres mots de passe facilement devinés, ayant pour résultat des cambriolages où les intrus peuvent deviner les qualifications d’un autre utilisateur et gagner l’accès non autorisé à un système informatique. Ceci peut mener à une violation de la sécurité du personnel ou à un vol de secrets d’affaires par un étranger.
Qualifications partagées : Dans de petits et grands organismes, nous entendons parler souvent des cas comme ceci : Un utilisateur d’ordinateur partage son mot de passe avec un collègue qui a besoin de l’accès – quoique, dans la plupart des organismes (et dans beaucoup de lois et de règlements liés à la sécurité), ceci est interdit par la politique. Les personnes de nature sont disposées à aider un collègue dans le besoin même si cela signifie violer la politique pour réaliser un plus grand but.
Cartes d’accès principales perdues : Beaucoup de fois dans nos carrières nous avions trouvé des cartes principales perdues dans des parkings et d’autres endroits publics. Souvent ils ont le nom de l’organisation sur eux, ainsi c’est comme si on trouvait une clef avec une adresse là-dessus, permettant à la personne qui l’a trouvée une libre incursion dans une certaine société.
La biométrie peut résoudre tous ces problèmes en exigeant des crédibilités additionnelles – quelque chose liée au propre corps de la personne – avant d’accorder l’accès à un bâtiment, à une salle des ordinateurs, ou à un système informatique. Un système de contrôle d’accès qui utilise la biométrie inclura un appareil électronique qui mesure un certain aspect spécifique du corps ou du comportement d’une personne qui l’identifie positivement. Le dispositif pourrait être un lecteur d’empreinte digitale, un appareil photo numérique pour atteindre un bon regard dans un iris, ou un lecteur de signature. (Nous discutons tous les types communs de biométrie dans une prochaine section.)
En résumé, plusieurs raisons peuvent motiver l’usage de la biométrie:
Une haute sécurité : en l’associant à d’autres technologies comme le cryptage, le single sign-on…
Confort : en remplaçant juste le mot de passe, exemple pour l’ouverture d’un système d’exploitation, la biométrie permet de respecter les règles de base de la sécurité (ne pas inscrire son mot de passe à côté du PC, ne pas désactiver l’écran de veille pour éviter des saisies de mots de passe fréquentes). Et quand ces règles sont respectées, la biométrie évite aux administrateurs de réseaux d’avoir à répondre aux nombreux appels pour perte de mot de passe (que l’on donne parfois au téléphone, donc sans sécurité).
Sécurité / Psychologie : dans certains cas, particulièrement pour le commerce électronique, l’usager n’a pas confiance. Il est important pour les acteurs de ce marché de convaincre le consommateur de faire des transactions. Un moyen d’authentification connu comme les empreintes digitales pourrait faire changer le comportement des consommateurs.
Les systèmes d’authentification biométriques mettent fin aux problèmes liés à l’utilisation des systèmes d’authentification classiques tels que :
La duplication.
Le vol.
L’oubli.
La perte.
L’usage de la technologie biométrique pour la protection des capitaux remonte à longtemps dans quelques domaines bien précis. Les forces militaires, l’intelligence, et les organismes de police avaient employé la biométrie pour élever le niveau de sécurité des contrôles d’accès physiques et logiques pendant des décennies.
Mais dans ces dernières années, il y a eu une importante hausse dans l’utilisation de la biométrie pour la protection des capitaux de haute valeur. Les centres de traitement des données emploient souvent la biométrie pour contrôler l’accès du personnel dans l’espace du centre de données. Les dispositifs de reconnaissance des empreintes digitales apparaissent partout – même incorporés aux ordinateurs portables, au PDAs, et aux commandes d’USB. L’identification faciale est disponible sur quelques modèles d’ordinateur portable. Et pour la sécurité des entreprises et des résidences, des portes à verrouillage par empreintes digitales sont disponibles sur le marché…
Les systèmes biométriques
Un système biométrique est essentiellement un système qui acquiert des données biométriques d’un individu, extrait un ensemble de caractéristiques à partir de ces données, puis le compare à un ensemble de données stocké au préalable dans une base de données pour pouvoir enfin exécuter une action ou prendre une décision à partir du résultat de cette comparaison.
Par conséquent, un système biométrique est composé de quatre modules principaux :
Le module d’acquisition : un lecteur, un scanner ou autre module de balayage approprié est requis pour l’acquisition des données biométriques brutes d’un individu. Pour obtenir les images des empreintes digitales, par exemple, un capteur optique peut être utilisé pour acquérir l’image de la structure des arêtes sur le bout des doigts. Il joue le rôle de l’interface homme-machine et représente un pivot élémentaire du système biométrique. Une interface mal conçue peut influencer sur la fiabilité de tout le système.
Le module d’évaluation de qualité et d’extraction de caractéristiques : La qualité des données biométriques obtenues lors de la capture doit être évaluée par ce module afin de déterminer sa convenance pour le processus de reconnaissance. Généralement, les données acquises doivent être soumises à des algorithmes de perfectionnement afin d’améliorer la qualité du signal. Ce module exige, parfois, la recapture des données avant de les traiter s’il s’avère que la qualité des données déjà capturées est inacceptable. Les données biométriques sont alors traitées d’une manière à extraire les traits fondamentaux et les caractéristiques qui permettront d’obtenir la signature biométrique de l’individu. Par exemple, la position et l’orientation des points de minuties pour les empreintes digitales, la position et l’orientation des points de bifurcations pour la reconnaissance rétinienne…etc.
Le module de comparaison (matching) et de prise de décision : ce module comprend le processus de comparaison entre l’ensemble des caractéristiques extrait et les autres ensembles ou modèles existants dans la base de données. Le résultat de cette comparaison va être utilisé pour prendre une décision sur le taux de correspondance de la signature biométrique pour la validation ou le rejet de l’identité de l’individu à reconnaitre.
Le module de base de données : il sert de dépôt des signatures biométriques obtenues lors de la phase d’enrôlement. Cette phase permet d’inscrire dans la base de données les informations biométrique et biographique (nom et prénom, n° d’identification, adresse…) des utilisateurs. Dans un sens figuré, ce module joue le rôle d’un annuaire des signatures biométriques.
Performances d’un système biométrique
Le principe de fonctionnement des systèmes biométriques, tels que décrit dans la littérature [5], [1] (et comme montré dans la Figure II.2), comporte (03) trois modes principaux :
Enrôlement : c’est l’étape d’enregistrement des signatures biométriques de chaque utilisateur dans la base de données. Chaque utilisateur présente un ou plusieurs échantillons d’une caractéristique biométrique qui vont être traités et stockés dans la base sous un identifiant, accompagnés parfois de références biographiques (nom, prénom, adresse…), correspondant à cet utilisateur. Ces données serviront plus tard dans la phase d’identification.
Authentification : ou vérification qui permet de vérifier l’authenticité d’un individu. Ce dernier fournit un échantillon biométrique ainsi qu’un identifiant et le système s’assure que le pattern enregistré dans la base sous cet identifiant correspond bien à la signature biométrique fournie par l’utilisateur. Le module de décision produit une réponse oui/non selon l’authentification/rejet de l’identité. Dans cette phase, les systèmes biométriques effectuent une mise à jour des patterns pour les types de traits biométriques qui changent légèrement à travers le temps (Reconnaissance faciale).
Identification : c’est l’étape de reconnaissance des individus. L’échantillon présenté pour l’identification est soumis, après traitement, à des algorithmes de comparaison avec les différents patrons stockés dans la base de données, afin de permettre au module de décision d’établir l’identité de l’individu en question.
Dans les systèmes d’identification classiques, tels que l’identification par mot de passe, la correspondance doit être parfaite et absolue (100% de similitude) entre l’identifiant présenté pour la reconnaissance et celui enregistré dans la base de données (ex.: Dans le cas d’identification par mot de passe, la chaine de caractère saisie par l’utilisateur du système doit correspondre exactement à la chaine qui identifie cette personne et lui attribue les droits d’accès appropriés).
En revanche, dans les systèmes biométriques, la correspondance n’est pas absolue. Ceci est dû à :
des conditions imparfaites lors de l’acquisition des échantillons biométriques (ex.: empreinte digitale bruitée à cause d’un disfonctionnement du lecteur),
des variations de la caractéristique biométrique de l’utilisateur (ex.: des problèmes respiratoires peuvent affecter l’échantillon vocal de l’utilisateur),
des changements des conditions ambiantes (ex.: Mauvaise illumination influe sur la reconnaissance du visage),
la différence dans l’interaction de l’utilisateur avec les dispositifs d’acquisition (ex.: iris occlus, empreinte partielle),
Cependant, il est très rare d’obtenir un ensemble de caractéristiques exactement similaires lors de deux acquisitions d’échantillons biométriques d’un individu. En effet, une correspondance parfaite de deux échantillons déclenche une mise en garde du système contre une tentative de fraude par reproduction.
(a) La courbe FRR Vs FAR (b) La courbe ROC
Figure II.3 – Courbes représentatives des taux de similitude FAR, FRR.
Le degré de similitude entre deux ensembles de caractéristiques est appelé : le taux de similarité (Similarity Score). Le taux de similarité d’une comparaison entre deux échantillons d’un trait biométrique du même individu est appelé : taux d’authenticité (Genuine Score ou Authentic Score). Le taux de similarité entre deux échantillons de deux individus différents est appelé : taux d’imposture (Impostor Score).
Comme montré sur la Figure II.3 (a), il est question d’un compromis, défini par un seuil, entre le taux de fausses acceptations et le taux des faux rejets. C’est-à-dire qu’un taux d’authenticité en dessous du seuil génère un faux rejet, tandis qu’un taux d’imposture qui dépasse le seuil résulte une fausse acceptation.
La performance d’un système biométrique est quantifiée par le taux de deux erreurs fondamentales définies dans [4], [1] par :
F.A.R. : (False Acceptation Rate) ou F.M.R. (False Match Rate) dans certains ouvrages, ces taux déterminent la probabilité pour un système de « reconnaître » une personne qui normalement n’aurait pas dû être reconnue. C’est un ratio entre le nombre de personnes qui ont été acceptées alors qu’elles n’auraient pas dû l’être et le nombre total de personnes non autorisées qui ont tenté de se faire accepter.
F.R.R. : (False Reject Rate) ou F.N.M.R (False Non Match Rate), ces taux déterminent la probabilité pour un système donné de ne pas « reconnaître » une personne qui normalement aurait dû être reconnue. C’est un ratio entre le nombre de personnes légitimes dont l’accès a été refusé et le nombre total de personnes légitimes s’étant présentées.
Enrôlement : c’est l’étape d’enregistrement des signatures biométriques de chaque utilisateur dans la base de données. Chaque utilisateur présente un ou plusieurs échantillons d’une caractéristique biométrique qui vont être traités et stockés dans la base sous un identifiant, accompagnés parfois de références biographiques (nom, prénom, adresse…), correspondant à cet utilisateur. Ces données serviront plus tard dans la phase d’identification.
Authentification : ou vérification qui permet de vérifier l’authenticité d’un individu. Ce dernier fournit un échantillon biométrique ainsi qu’un identifiant et le système s’assure que le pattern enregistré dans la base sous cet identifiant correspond bien à la signature biométrique fournie par l’utilisateur. Le module de décision produit une réponse oui/non selon l’authentification/rejet de l’identité. Dans cette phase, les systèmes biométriques effectuent une mise à jour des patterns pour les types de traits biométriques qui changent légèrement à travers le temps (Reconnaissance faciale).
Identification : c’est l’étape de reconnaissance des individus. L’échantillon présenté pour l’identification est soumis, après traitement, à des algorithmes de comparaison avec les différents patrons stockés dans la base de données, afin de permettre au module de décision d’établir l’identité de l’individu en question.
Dans les systèmes d’identification classiques, tels que l’identification par mot de passe, la correspondance doit être parfaite et absolue (100% de similitude) entre l’identifiant présenté pour la reconnaissance et celui enregistré dans la base de données (ex.: Dans le cas d’identification par mot de passe, la chaine de caractère saisie par l’utilisateur du système doit correspondre exactement à la chaine qui identifie cette personne et lui attribue les droits d’accès appropriés).
En revanche, dans les systèmes biométriques, la correspondance n’est pas absolue. Ceci est dû à :
des conditions imparfaites lors de l’acquisition des échantillons biométriques (ex.: empreinte digitale bruitée à cause d’un disfonctionnement du lecteur),
des variations de la caractéristique biométrique de l’utilisateur (ex.: des problèmes respiratoires peuvent affecter l’échantillon vocal de l’utilisateur),
des changements des conditions ambiantes (ex.: Mauvaise illumination influe sur la reconnaissance du visage),
la différence dans l’interaction de l’utilisateur avec les dispositifs d’acquisition (ex.: iris occlus, empreinte partielle),
Cependant, il est très rare d’obtenir un ensemble de caractéristiques exactement similaires lors de deux acquisitions d’échantillons biométriques d’un individu. En effet, une correspondance parfaite de deux échantillons déclenche une mise en garde du système contre une tentative de fraude par reproduction.
(a) La courbe FRR Vs FAR (b) La courbe ROC
Figure II.3 – Courbes représentatives des taux de similitude FAR, FRR.
Le degré de similitude entre deux ensembles de caractéristiques est appelé : le taux de similarité (Similarity Score). Le taux de similarité d’une comparaison entre deux échantillons d’un trait biométrique du même individu est appelé : taux d’authenticité (Genuine Score ou Authentic Score). Le taux de similarité entre deux échantillons de deux individus différents est appelé : taux d’imposture (Impostor Score).
Comme montré sur la Figure II.3 (a), il est question d’un compromis, défini par un seuil, entre le taux de fausses acceptations et le taux des faux rejets. C’est-à-dire qu’un taux d’authenticité en dessous du seuil génère un faux rejet, tandis qu’un taux d’imposture qui dépasse le seuil résulte une fausse acceptation.
La performance d’un système biométrique est quantifiée par le taux de deux erreurs fondamentales définies dans [4], [1] par :
F.A.R. : (False Acceptation Rate) ou F.M.R. (False Match Rate) dans certains ouvrages, ces taux déterminent la probabilité pour un système de « reconnaître » une personne qui normalement n’aurait pas dû être reconnue. C’est un ratio entre le nombre de personnes qui ont été acceptées alors qu’elles n’auraient pas dû l’être et le nombre total de personnes non autorisées qui ont tenté de se faire accepter.
F.R.R. : (False Reject Rate) ou F.N.M.R (False Non Match Rate), ces taux déterminent la probabilité pour un système donné de ne pas « reconnaître » une personne qui normalement aurait dû être reconnue. C’est un ratio entre le nombre de personnes légitimes dont l’accès a été refusé et le nombre total de personnes légitimes s’étant présentées.