X

  • Week Days: 09.00 to 18.00

BLOG

Les normes et la biométrie

Dans le vaste univers de la technologie biométrique, naviguer à travers les multiples normes ISO peut s'avérer être un véritable défi. Ces normes, établies par l'Organisation Internationale de Normalisation (ISO) en collaboration avec la Commission Électrotechnique Internationale (IEC), forment la colonne vertébrale des principes de conception, de sécurité, et d'interopérabilité des systèmes biométriques à travers le monde. Avec l'évolution constante des technologies biométriques, ces normes jouent un rôle crucial dans l'assurance de la fiabilité, de la sécurité et de l'efficacité des solutions biométriques déployées dans divers secteurs, allant de la sécurité nationale à la gestion de l'identité personnelle.

Cet article a pour but de démystifier le paysage complexe des normes ISO liées à la biométrie. Que vous soyez un professionnel du domaine cherchant à approfondir vos connaissances, un développeur travaillant sur des solutions biométriques, ou simplement un passionné de technologie curieux de comprendre comment ces normes façonnent l'avenir de l'identification et de la vérification biométrique, vous trouverez ici un guide pour vous orienter. Nous allons explorer ensemble les aspects clés et l'importance des normes telles que ISO/IEC 19794, ISO/IEC 19795, ISO/IEC 24761, parmi d'autres, qui définissent le cadre de l'utilisation sécurisée et efficace des technologies biométriques. Préparez-vous à plonger dans le monde des normes biométriques, un élément fondamental pour le développement et l'implémentation des technologies biométriques dans notre vie quotidienne.

La norme ISO/IEC 2382-37 fait partie de la vaste famille des normes ISO/IEC 2382, dédiée à la terminologie dans le domaine des technologies de l’information.

Spécifiquement, la norme 2382-37 se concentre sur les termes et définitions relatifs aux technologies d’identification et de reconnaissance biométriques. Elle établit un vocabulaire standardisé pour faciliter la communication et la compréhension entre les différents acteurs du domaine biométrique, incluant les développeurs, les chercheurs, les législateurs et le grand public.

En fournissant des définitions précises pour les concepts et les technologies clés de la biométrie, tels que la reconnaissance faciale, les empreintes digitales, l’iris, et d’autres méthodes d’identification basées sur les caractéristiques physiques ou comportementales uniques des individus, ISO/IEC 2382-37 contribue à réduire les ambiguïtés et à standardiser l’usage des termes biométriques.

Cette normalisation du langage est cruciale pour le développement, l’implémentation et l’évaluation des systèmes biométriques, ainsi que pour la rédaction de politiques et de législations claires et cohérentes dans ce secteur en rapide évolution.

 

Exemples de terminologies:

  1. Biométrie : Méthode d’identification ou de vérification de l’identité d’un individu basée sur ses caractéristiques physiques ou comportementales uniques.

  2. Caractéristique biométrique : Attribut physique ou comportemental d’un individu pouvant être mesuré ou évalué pour l’identification ou la vérification de l’identité.

  3. Capture biométrique : Processus de collecte des données biométriques d’un individu à l’aide d’un dispositif ou d’un système spécifique.

  4. Modèle biométrique : Représentation numérique des informations biométriques d’un individu, utilisée pour la comparaison lors des processus d’identification ou de vérification.

  5. Vérification biométrique : Processus consistant à comparer une caractéristique biométrique présentée à un modèle biométrique stocké pour confirmer l’identité revendiquée d’un individu.

  6. Identification biométrique : Processus de comparaison d’une caractéristique biométrique avec plusieurs modèles biométriques dans une base de données pour déterminer l’identité d’un individu.

  7. Taux de faux rejet (FRR) : Proportion des tentatives d’accès légitimes rejetées par un système de sécurité biométrique.

  8. Taux de faux acceptation (FAR) : Proportion des tentatives d’accès non autorisées acceptées comme légitimes par un système de sécurité biométrique.

  9. Seuil de décision : Valeur qui détermine comment les comparaisons biométriques sont classées comme correspondantes ou non correspondantes.

  10. Détection de l’attaque de présentation (PAD) : Processus visant à identifier les tentatives de tromper un système biométrique en utilisant un artefact ou une photo.

La série ISO/IEC 19794 comprend plusieurs parties, chacune dédiée à un type spécifique de donnée biométrique, telles que les empreintes digitales, la géométrie de la main, les images de l’iris, et bien d’autres.

En standardisant les formats de données, la norme facilite l’échange d’informations entre les systèmes biométriques de différents fabricants et organisations, assurant ainsi une interopérabilité étendue.

Cette universalité est cruciale pour les applications allant de la sécurité nationale à l’identification personnelle dans le secteur bancaire, les contrôles aux frontières et l’accès sécurisé aux bâtiments ou aux systèmes informatiques.

La norme ISO/IEC 19795 permet d’évaluer la performance et l’efficacité des systèmes biométriques. 

En définissant des protocoles de test standardisés et des critères d’évaluation objectifs, ISO/IEC 19795 permet aux développeurs, chercheurs et utilisateurs de systèmes biométriques de mesurer de manière fiable la précision, la rapidité et la robustesse des technologies biométriques.

Cela comprend des métriques clés telles que le taux de faux rejet (FRR), le taux de faux acceptation (FAR), et le taux d’échec d’enrôlement (FER).

La norme ISO/IEC 20013 s’attaque à des aspects fondamentaux tels que la qualité des images biométriques, qui est essentielle pour l’exactitude des systèmes de reconnaissance, et l’interopérabilité, qui assure que les systèmes biométriques de différents fabricants ou conçus pour différents usages peuvent travailler ensemble de manière efficace.

Elle met en avant des critères et des méthodologies pour mesurer et évaluer la performance des systèmes, incluant des recommandations sur la gestion et le traitement des données pour maximiser la fiabilité et l’efficacité de la reconnaissance biométrique.

La norme ISO/IEC 24761 fournit des directives pour l’utilisation sécurisée des données biométriques dans les processus d’authentification, axée sur la préservation de leur intégrité et confidentialité. Elle établit des principes pour la sécurisation des canaux de communication afin de protéger les données biométriques contre les interceptions et les manipulations non autorisées.

La norme recommande l’utilisation de techniques de cryptage robustes pour le stockage et le transfert des données, ainsi que des mécanismes d’authentification forte pour vérifier l’identité des utilisateurs.

Elle insiste également sur l’importance de la gestion des clés sécurisées et de la mise en œuvre de protocoles de sécurité éprouvés pour garantir que seules les entités autorisées puissent accéder aux données biométriques.

ISO/IEC 24761 souligne la nécessité de respecter la vie privée des individus en limitant la collecte, le stockage, et l’utilisation des données biométriques à ce qui est strictement nécessaire pour l’authentification, en conformité avec les lois et régulations sur la protection des données personnelles.

La norme ISO/IEC 27037 joue un rôle clé dans la cybersécurité et la criminalistique numérique, en fournissant des lignes directrices pour la collecte, l’identification, l’acquisition et la préservation des preuves électroniques.

Cette norme est cruciale pour assurer l’intégrité et la fiabilité des preuves numériques tout au long du processus d’enquête, depuis les premiers instants de la collecte sur les scènes de crime jusqu’à leur présentation devant une juridiction.

Elle souligne l’importance d’une chaîne de conservation sécurisée et documentée, garantissant que les preuves sont protégées contre les modifications, les pertes ou les destructions non autorisées.

ISO/IEC 27037 met en avant des procédures détaillées pour le traitement des dispositifs et des données électroniques, comprenant des recommandations sur la manière d’isoler et de sécuriser les preuves, d’enregistrer les informations pertinentes et de maintenir un registre des actions entreprises.

En établissant un cadre standardisé pour la gestion des preuves électroniques, cette norme aide les organisations et les professionnels de la justice à mener des enquêtes efficaces et fondées sur des preuves solides et fiables, essentielles pour l’administration de la justice dans l’ère numérique.

 

 

 

La norme ISO/IEC 29100 établit un cadre pour la protection de la vie privée dans les technologies de l’information, mettant un accent particulier sur la gestion des données personnelles, y compris les données biométriques. Elle définit dix principes de protection de la vie privée:

  1. Consentement et choix : Les individus doivent être informés de la collecte de leurs données et donner leur consentement explicite, avec la possibilité de refuser ou de retirer ce consentement.
  2. Finalité de la collecte : Les données ne doivent être collectées que pour des finalités spécifiques, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités.
  3. Limitation de la collecte : La collecte de données doit être limitée au strict nécessaire par rapport aux finalités pour lesquelles elles sont traitées.
  4. Minimisation des données : Seules les données pertinentes et nécessaires pour les finalités spécifiées doivent être collectées.
  5. Limitation de l’utilisation, de la conservation et de la divulgation : Les données personnelles ne doivent être utilisées, conservées et divulguées que conformément aux finalités établies et pendant la durée nécessaire à ces finalités.
  6. Exactitude et qualité : Les données personnelles doivent être exactes, complètes et à jour en fonction des finalités pour lesquelles elles sont traitées.
  7. Ouverture, transparence et notification : Les politiques de gestion de la vie privée doivent être communiquées de manière transparente aux individus concernés.
  8. Respect des droits de l’individu : Les individus doivent pouvoir accéder à leurs données personnelles, les corriger et les supprimer si elles ne sont pas correctes ou si leur traitement n’est pas justifié.
  9. Sécurité des données : Des mesures techniques et organisationnelles appropriées doivent être prises pour protéger les données personnelles contre les risques de sécurité.
  10. Responsabilité et gestion de la vie privée : Les organisations doivent être en mesure de démontrer leur conformité aux principes de protection de la vie privée, y compris à travers la mise en place de politiques de gestion de la vie privée, de procédures et de mécanismes de responsabilité appropriés.

Ces principes visent à guider les organisations dans la mise en œuvre de systèmes qui respectent la confidentialité des individus tout en traitant leurs données personnelles. ISO/IEC 29100 souligne l’importance de concevoir des systèmes avec la protection de la vie privée dès le départ, en intégrant des mesures de sécurité adéquates pour prévenir l’accès non autorisé, la modification, la divulgation ou la destruction des données personnelles. Elle recommande également des politiques claires de gestion de la vie privée, assurant que les données sont traitées de manière transparente, équitable et conforme aux lois applicables sur la protection des données. En fournissant ce cadre, ISO/IEC 29100 aide les organisations à instaurer la confiance avec les utilisateurs et à naviguer dans le paysage complexe de la réglementation mondiale de la protection des données.

La norme ISO/IEC 30107 se concentre sur la détection des attaques par présentation (PAD) dans les systèmes biométriques, offrant des directives pour évaluer et renforcer la sécurité contre les tentatives d’usurpations.

Elle définit des procédures d’essai et des critères pour mesurer l’efficacité des systèmes biométriques à détecter les présentations fausses ou artificielles, telles que les masques, les empreintes digitales synthétiques ou les images d’iris falsifiées.

Cette norme établit l’importance de développer des technologies capables d’identifier ces attaques pour maintenir l’intégrité des systèmes d’identification et de vérification biométrique. Elle encourage l’utilisation de mécanismes de détection sophistiqués qui peuvent distinguer avec précision entre les traits biométriques réels et les imitations, améliorant ainsi la fiabilité et la sécurité des applications biométriques.

En outre, ISO/IEC 30107 souligne la nécessité d’une mise à jour régulière des systèmes PAD pour faire face à l’évolution constante des techniques de fraude, garantissant une protection efficace contre les menaces émergentes.

La série ISO/IEC 39794 est une norme internationale qui définit les formats d’échange de données biométriques extensibles. Cette norme comprend plusieurs parties, chacune dédiée à un type spécifique de donnée biométrique, telles que les données d’image de doigt et les données d’image de visage.

En standardisant les formats de données, la norme ISO/IEC 39794 facilite l’échange d’informations entre les systèmes biométriques de différents fabricants et organisations, assurant ainsi une interopérabilité étendue.

Cette universalité est cruciale pour les applications allant de la sécurité nationale à l’identification personnelle dans le secteur bancaire, les contrôles aux frontières et l’accès sécurisé aux bâtiments ou aux systèmes informatiques.

La norme ISO/IEC 39794-1 fournit le cadre pour cette série de normes, tandis que les normes ISO/IEC 39794-4 et ISO/IEC 39794-5 définissent respectivement les formats pour les données d’image de doigt et les données d’image de visage.

En somme, la série ISO/IEC 39794 permet l’interopérabilité et la sécurité des systèmes biométriques à travers le monde

Quelle différence avec la norme ISO/IEC 19794?

La norme ISO/IEC 39794 elle est plus récente et a été conçue pour être plus flexible et adaptable aux avancées technologiques.

 

Les “données biométriques extensibles” font référence à des données biométriques qui peuvent être codées et stockées pour appliquer divers processus d’identification