Le poids de l’histoire :

S’il est bien une technique biométrique perçue comme différente à toutes les autres c’est bien l’empreinte digitale. Derrière elle est véhiculé plus d’un siècle d’histoire : elle a été effectivement reconnue scientifiquement en tant que moyen d’identification des personnes pour la première fois lors de la démonstration de Sir Francis Galton à la « Royal Society » en 1888. Le traitement de l’empreinte est depuis cette date, sans conteste, la technologie la plus démontrée et la plus éprouvée. Mais c’est aussi  à cause de ce poids de l’histoire et de toutes ces images de films policiers, où il ne fait aucun doute que la moindre image d’empreinte aboutira à l’identification inéluctable du suspect, que l’empreinte est aussi porteuse, plus que toute autre technique, de risques en matière de liberté individuelle.

Cela doit il induire, en matière de biométrie, une attention particulière concernant l’usage de l’empreinte digitale ? C’est sûrement une erreur dans laquelle le subconscient collectif a naturellement des chances de tomber. S’agissant de leur usage, toutes les techniques biométriques méritent la même attention et renvoi au débat : la biométrie est elle une agression aux libertés individuelles ou un moyen de protéger le patrimoine  et la vie privée ?

Quelques définitions et conséquences :

Le traitement des empreintes digitales a pour objectif fondamental d’ « identifier » ou d’  « authentifier » des personnes.

Par « identifier » il faut comprendre : trouver la référence d’une personne parmi un ensemble de personnes connues à priori. On dit encore qu’identifier est une fonction de comparaison d’une personne par rapport à n personnes , ou encore opération 1 : n .

Par « authentifier », il s’agit de confirmer, à partir d’une information fournie  par une personne (pin, données biométriques,…) que cette personne est bien ce qu’elle prétend être. C’est une opération 1 : 1. Il est, à cet égard, utile de remarquer qu’une fonction d’authentification, dont le résultat se résume à « oui » ou « non », ne met pas en jeu l’identité de la personne.

D’une manière générale, la sécurité des systèmes repose sur l’usage judicieusement combiné de ces deux fonctions. L’identification servira, lors de la délivrance d’un droit, à vérifier que le demandeur ne fait pas l’objet d’interdit et qu’il n’existe pas déjà, dans le système, sous un autre nom. C’est à cette étape que sera aussi crée l’information biométrique de référence (template) qui servira à authentifier ultérieurement le demandeur lors de l’usage du droit.

Toutes les techniques biométriques offrent des fonctions d’authentification ; il n’en est pas de même en matière d’identification. Seules les techniques qui reposent fondamentalement sur des informations biométriques uniques pour chaque personne peuvent envisager de remplir correctement cette fonction. Historiquement l’empreinte est la première technique permettant à la fois d’identifier et d’authentifier. Dans l’état actuel de nos connaissances, à part l’Iris et l’ADN, il n’existe pas d’autres techniques pouvant prétendre remplir efficacement une fonction d’authentification.

Les marchés du traitement automatique de l’empreinte digitale :

Le traitement automatique de l’empreinte digitale ne se résume pas à une activité industrielle monolithique. Une bonne segmentation des marchés, des produits et des acteurs est le préalable à toute analyse de ce secteur d’activité. Certaines études de marché sur la biométrie ont péché, dans le passé, par un manque de rigueur en matière de définition des segments d’activités et ont abouti à des prévisions de chiffres d’affaires quelques peu surprenantes. Certes, ce marché est dur à appréhender : on ne dispose que de très peu d’informations publiques et il y a pléthore d’acteurs. Il serait nécessaire que les différentes associations fédérant les industriels de la biométrie conduisent un effort permanent en matière de lisibilité financière de l’activité de l’industrie biométrique. Dans le contexte actuel d’interrogation sur les nouvelles technologies, c’est un préalable de plus en plus nécessaire pour que ce secteur naissant d’activité se développe et acquière une crédibilité auprès des acteurs financiers et des clients potentiels.

Parmi différentes segmentation possible, nous retiendrons :

Les systèmes de traitement automatique d’empreintes digitales de lutte contre la criminalité (Police) :

Ces systèmes sont plus connus sous l’acronyme AFIS (Automatic Fingerprint Identification Systems). Travaux de recherches conduits initialement à la demande du FBI, aux alentours des années 1970, par Calspan Autonetics et Rockwell, notamment, ces systèmes ont véritablement attendu une dizaine d’années avant d’obtenir la confiance de la communauté policière aux Etats Unis. Aujourd’hui, la quasi totalité des polices modernes en sont équipées.

Sur le plan technique, ces systèmes sont capables de gérer quelques milliers d’identifications par jour sur des bases de données de quelques millions de personnes, voire quelques dizaines de millions. Le dernier système dont s’est doté le FBI au milieu des années 1990 avec environ 40.000 recherches par jour sur une population de 40 millions de personnes est le plus puissant du monde. Ces systèmes policiers permettent d’identifier des personnes à partir du relevé des empreintes des dix doigts, mais se distinguent surtout des autres systèmes institutionnels ou civils, par leur capacité à identifier des traces parcellaires d’empreintes digitales, souvent de mauvaises qualités, laissées sur les scènes de crimes.

Sur le plan industriel, ces systèmes sont fournis par des sociétés qui commercialisent, installent et développent ces AFIS. Il existe trois acteurs historiques NEC (Japon), Printrak racheté récemment par Motorola (Usa), Sagem (France) et un acteur plus récent Cogent (Usa). Sagem, tant par son chiffre d’affaires que par ses références, notamment celles du FBI et d’Interpol, est le leader mondial de ce segment de marché.

C’est un segment de marché mature, essentiellement de renouvellement, d’environ 150 à 200 [D1] millions de dollars par an.

Les systèmes de traitement automatique d’empreintes digitales institutionnels :

C’est le segment de marché de la gestion de la délivrance et de l’usage de droits institutionnels tels que les cartes d’identité, les pensions, la sécurité sociale, les passeports, etc… Cette demande du marché est relativement récente et date des années 1992/1993.

Sur le plan technique, l’AFIS n’est qu’un des éléments d’une solution plus complexe, reposant sur la fabrication de titres sécurisés permettant un contrôle ultérieur du détenteur par analyse d’empreintes digitales et englobant parfois la gestion d’un état civil. Ces systèmes portent sur des populations plus importantes que celles des systèmes de lutte contre la criminalité, et se caractérisent par des demandes d’identification élevées, quelques dizaines de milliers, sur des bases de données de plusieurs dizaines de millions de personnes. L’importance des flux à gérer nécessite des architectures différentes et plus complexes que des Afis à usage policier. L’identification de traces disparaît au profit plus systématique de l’authentification.

Sur le plan industriel, les réponses aux appels d’offres des Etats se font au moyen de Consortiums conduits par des intégrateurs (TRW, Unisys, Siemens, IBM…), auprès desquels on trouve les traditionnels fabricants d’AFIS (Motorola, Nec, Sagem et Cogent) et des fabricants de titres (Polaroid, Gemplus, Oberthur, Gesiecke et Devrient..). Sur ce marché, Sagem a remporté la majorité des appels d’offres, soit comme fabricant d’AFIS, soit dans un certains nombres de cas récents en offrant une prestation complète d’intégrateur, de fabricant d’AFIS et de production de titres sécurisés.

C’est un segment de marché en développement, d’environ 50 à 100 [D2] millions de dollars par an, avec des cycles de décisions longs (plus de trois ans). On peut estimer que sur les dix dernières années, l’ensemble des contrats signés a concerné près de 275 millions de personnes[i]. Ce segment de marché généralement structurant : un état qui se dote d’un titre sécurisé par une technique biométrique, favorisera l’usage de ce titre à d’autres fins que le seul contrôle de l’usage du droit. C’est par exemple le cas de la Malaisie avec le projet GMPC (General Multipurpose Card) qui se propose de gérer le permis de conduire, le passage aux frontières et un porte monnaie électronique, le tout dans une seule carte sécurisée par empreinte digitale.

Les terminaux de traitement automatique d’empreintes digitales :

Premiers prototypes dans le milieu des années 1970, et premiers produits commerciaux offerts sur le marché au début des années 1980, ces terminaux se sont adressés, dans un premier temps, à des marchés de contrôle d’accès et/ou de gestion du temps, avec pour clients des structures gouvernementales (prisons par exemple), et plus rarement des sociétés commerciales et industrielles.

Sur le plan technique, les solutions proposées peuvent aller du capteur d’empreintes connectable à un PC accompagné d’un logiciel de traitement, jusqu’au boîtier de contrôle d’accès remplissant des fonctions d’authentifications et plus rarement d’identifications. Dans ce dernier cas, la comparaison s’effectue sur quelques milliers d’empreintes en quelques secondes.

Sur le plan industriel, les ventes sont souvent réalisées par des intégrateurs, des distributeurs ou des sociétés spécialisées sur des segments verticaux de marché (le transport, la santé..). Les équipements sont conçus par une myriade (plus de 140 début 2001) de petites sociétés, plus ou moins solides, et n’ayant que rarement des capacités de production et d’évaluation de performance de leur technologie. Les années 1998 – 2001 ont vu un début de consolidation [ii] avec l’acquisition notamment d’Indenticator  par Identix pour 43 millions de dollars, les difficultés de Veridicom (société ayant pourtant réuni quelques actionnaires significatifs comme Intel, ATT et Lucent Technologies), et Ethentica (avec des actionnaires tels que Citibank et Phillips Electronics) ne devant son salut que par l’injection de 40 millions de dollars et l’arrivée d’HP et Amdhal à son capital. Cette consolidation devrait se poursuivre pour aboutir probablement à une dizaine d’acteurs, aucun « pure player » sur ce segment de marché ne gagnant de l’argent.

L’acteur historique sur ce marché est la société américaine Identix. Depuis maintenant deux ans, Sagem a commencé à entrer sur ce marché en proposant des technologies éprouvées dans le milieu de la lutte contre la criminalité et difficilement accessibles aux sociétés traditionnelles de ce segment de marché.

C’est un segment de marché encore naissant malgré son âge, mais en développement rapide. Au sous-segment traditionnel du contrôle d’accès, vient s’ajouter depuis peu une demande en matière de contrôle d’accès logique (PC, transactions sur Internet et intranet..) et devrait être suivie par une demande en équipement personnel (PDA, téléphone).

Le marché des terminaux biométriques fait l’objet d’analyses de marché quelques peu divergentes. Selon les sources[iii] [iv] [v] [vi], il est évalué entre 66 et 196 millions de dollars pour 2000, toutes technologies confondues. Par contre, il existe un consensus pour reconnaître que la technique d’analyse par empreinte digitale est la plus fréquemment retenue par le marché. Une majorité d’analyste estime qu’avec une part de marché évalué entre 37% et 55% et une croissance d’au moins 40% par an, l’empreinte digitale est la technologie la plus prometteuse en matière de produits biométriques.

En matière d’applications, trois sur-segments se dégagent : celui historique et mature du contrôle d’accès physique qui devrait poursuivre une bonne croissance, celui des applications horizontales (télécommunication et informatique) qui devrait connaître une croissance plus rapide que celui des applications verticales (santé, transport, immigration…).

Enfin, s’agissant de la répartition géographique des marchés, pas de surprise, l’Amérique du Nord confirme sa situation de pionnier, avec l’Asie et l’Europe suiveurs.

En résumé, le traitement automatique de l’empreinte digitale représente un marché de 250 à 500 millions de dollars, composé de plusieurs segments à des stades de maturité différents.

Les différentes technologies :

En matière de composant matériel, les différences portent essentiellement sur les caractéristiques techniques d’acquisition de l’image d’empreinte digitale :

            La technologie du capteur          : optique, capacitif, ultrason, « e-field »

            Le mode de saisie                     : 2D ou 1D (glissement du doigt sur une barrette)

            La définition                              : de 250 à 500 dpi

            La surface d’acquisition             : de 11 x 14 mm² à 22 x 24 mm²

Toutes ces caractéristiques ont des avantages et des inconvénients ; mais d’une manière générale pour des applications nécessitant des performances élevées, le capteur optique 2D à 500 dpi avec une grande surface d’acquisition reste pour l’instant le meilleur choix, pour un prix qui reste encore remarquablement compétitif.

En matière de logiciel, il faut constater que le discours se fait beaucoup plus aujourd’hui sur les caractéristiques du matériel au détriment des aspects logiciels. Il existe deux grandes origine différentes de logiciel : les logiciels issus directement d’une expertise en système policier et les autres. Sauf impasse technique, cette première catégorie est généralement plus éprouvée et plus mature. On peut distinguer les logiciels qui effectuent la reconnaissance sur :

les seuls points caractéristiques

les points caractéristiques et les comptages de crêtes

les points caractéristiques avec des informations locales autres

Le débat en la matière est de savoir si les seuls points caractéristiques sont suffisants pour identifier et/ou authentifier, des empreintes de mauvaises qualités, avec de bonnes performances,. Certains ont voulu compenser la perte de qualité par plus d’informations (comptage de crêtes ou autres techniques). Il s’avère généralement que quand une empreinte est mauvaise prendre plus d’informations n’est pas un choix gagnant. Cette assertion n’est pas évidente et a fait l’objet de discussions internes prolongées avant que nous décidions de concentrer nos efforts, dès 1983, sur les seuls points caratéristiques. Outre l’économie de place pour stocker le « template », les performances obtenues par Sagem, lors de récents tests comparatifs ont toujours surpassé les autres technologies en compétition. Le récent choix de l’ « American Association of Motor Vehicle Administrators » [vii] de retenir comme standard de description biométrique un format reposant sur les seuls points caractéristiques est une avancée significative et classe le débat.

La capacité à identifier – versus la simple authentification -, est un critère relativement récent et fortement différenciant, en matière de logiciel. Une telle fonction permet, dans certaine application de sécurité et de confort, de supprimer les badges. Avoir de bonnes performances en identification est autrement plus difficile qu’en authentification, aussi bien peu de société propose des fonctions d’identification efficaces.

A propos de performance et de coûts :

Il y a une quinzaine d’années, la presse internationale s’était faite l’écho d’expériences biométriques malheureuses. Malgré cet insuccès qui a sûrement nuit au développement de cette technologie, force aujourd’hui est de constater que la plupart des sociétés ont une politique essentiellement axée sur la réduction des prix avec un message lénifiant et identique sur les performances. Les prix de ventes sont effectivement passés, ces dernières années de plus de 1000 dollars à 100/200 dollars [viii]. Des projets à quelques dizaines de dollars sont actuellement dans les plans de nombreuses compagnies. Mais en matière de performance, le discours reste commercial et extrêmement peu de systèmes biométriques respectent les performances qu’ils annoncent. Cette situation ambiguë perdure, car il est particulièrement difficile, pour une société, d’apprécier les performances réelles lors de la mise en œuvre de systèmes biométriques : les faux rejets sont immédiatement perçus par les utilisateurs alors que la fausse acceptance est beaucoup moins mesurable.

Sur un autre plan, depuis quelques années, les critères d’évaluation ont lentement évolué, probablement avec la maturité du marché. Le prix d’acquisition étant de moins en moins différenciant, on est passé lentement du critère « prix de vente » à « facilité de mise en œuvre, fonctionnalités, convergence avec des outils de gestion de clés publiques (PKI)…» ; laissant encore de côté l’un des aspects les plus fondamentaux : la sécurité.

Il faut s’attendre à ce que des  projets connaissent de cruelles désillusions lors de déploiement en phase opérationnelle.

Quel avenir pour la biométrie :

S’il n’y avait qu’un seul message à retenir ce serait probablement : « La biométrie se développe beaucoup plus rapidement que ne le pense un certain nombre d’acteurs européens ». Il est raisonnable de prétendre que cette technologie connaîtra un développement massif et généralisé probablement dans les cinq années [ix] et sûrement dans les dix années qui viennent.

Son développement plus ou moins rapide sera conditionné au premier chef par la mise en place de standard et l’acceptation par les utilisateurs, ces deux points représentant plus de 51% des motifs de frein du développement de la biométrie d’après le « Biometrics in Human Services User Groups » [x] .

De manière plus exhaustive, l’on peut retenir comme conditions de construction d’une industrie de la biométrie :

1.       La définition de règles d’usage définies par les organismes de protection de données et des libertés individuelles. A ce sujet, devant le développement accéléré d’approches techniques variées, authentification versus authentification, ou encore plus fondamentalement techniques non perceptibles à l’usage par l’utilisateur (voix, visages notamment), le traitement au cas par cas des autorisations d’applications biométriques,  devra probablement laisser la place à un corps légal définissant à quelles conditions la Justice peut utiliser de telles informations.

2.       S’agissant de l’acceptabilité de la technique par des utilisateurs, il est bon de remarquer que s’il existe des réticences de leur part avant de déployer une solution biométrique, cette perception tombe à l’usage dans plus de 98% des cas devant le confort et les avantages des solutions biométriques. La réticence à priori devrait donc tomber avec le déploiement d’opérations pilotes.

3.       Les trop nombreux standards devront déboucher vers un consensus industriel :

BioApi retenu par l’U.S. Army,

Bapi choisi par Microsoft,

BIR format de description de template de Bioapi,

CBEFF portant sur un format d’échange de données,

l’AAMVA avec son standard de description des points caractéristiques,

ANSI X9.84 normalisant l’usage de la biométrie dans le cadre d’applications financières, Critères communs en biométrie sous l’égide de l’U.K. Biometric Working Group et de la German Information Security Agency,

ISO SC17 portant sur l’usage de la biométrie sur les cartes,

et il est certain que quelques industriels clés – Microsoft notamment pour ne pas le citer - auront quelques responsabilités en la matière. L’interopérabilité des « templates » est un sujet qui devra être adressé pour déboucher vers un déploiement mondial à grande échelle de cette technologie.

4.       La mise en place de standards de performance et de services d’évaluations conduits par des organismes tiers, réellement indépendants, devraient permettre au marché de mieux comprendre ce qu’il achète à savoir de la sécurité ou du confort. Un bon point est à attribuer pour les efforts continus du National Biometric Test Center de San José University et à l’université de Bologne avec la conduite du premier test compétitif d’algorithmes de traitements automatiques d’empreintes digitales, ainsi qu’aux travaux de l’U.K. Biometric Working Group et du German Information Security Agency. Il est à regretter, par contre, sur ce sujet le peu de retombées opérationnelles – voire l’échec - de l’intéressant projet biométrique européen BIOTEST qu’il serait utile de revitaliser sur des bases différentes. Sur un plan plus local, en France il n’existe pas pour l’instant de projets gouvernementaux sur ce sujet, contrairement à ce qui se fait en Angleterre sous l’égide du « Communication Electronic Security Group » du Ministère de la Défense (Biometric Working Group), ou encore en Allemagne (German Security Agency), au Japon avec le MITI (National Project of Test and Evaluation for Biometrics Technologies), ou à Hong Kong (The Biometrics Technology Center).

5.       Sur le plan technique, avec le développement du marché et l’évolution des valeurs (transactions financières, accès au domicile, à la voiture…) faisant l’objet de protections biométriques, les industriels devront entamer la classique poursuite technologique contre les nouvelles tentatives de fraudes qui ne manqueront pas d’apparaître.

6.       Enfin une consolidation, déjà commencée, du secteur devrait faire naître une vraie industrie de la biométrie développant des produits de qualité à des coûts compétitifs. Il est à craindre que seuls les acteurs, ayant une réelle compétence en la matière, qui peuvent adosser leur activité biométrique à d’autres activités plus lucratives tireront leur épingle du jeu.