Biométrie : la sécurité au bout des doigts

Vous avez aimé Dalida dans Hôtel du temps, la nouvelle émission de Thierry Ardisson qui redonne vie aux stars défuntes, mais vous ne serez peut-être pas ravi que votre propre image soit utilisée pour souscrire un crédit que vous n’avez jamais demandé.

A l’heure où la technologie servant à créer des deepfakes – ces images animées reproduisant les traits de personnes réelles – devient plus facile d’accès, le monde de la sécurité se mobilise. Même si c’est encore rare, « on commence à voir des attaques de deepfakes qui peuvent être très dangereuses en cas d’attaques massives », indique Juliette Delanoé, fondatrice d’Ubble, spécialiste de la vérification d’identité, qui compte plus de 80 clients, dont le Crédit Agricole, Bpifrance, Younited, mais aussi Treezor ou Oney Trust. Sans entrer dans les détails pour éviter de renseigner les professionnels de la fraude, Juliette Delanoé estime que sa technologie parvient à détecter les deepfakes, mais c’est tout nouveau et la performance des algorithmes doit être améliorée.

En tout cas, ces innovations à base d’intelligence artificielle posent la question de l’utilité de la biométrie dans la validation d’identité. En quelques années, la biométrie a réussi à se faire accepter presque partout. Les craintes exprimées par le grand public ont été effacées par la facilité d’usage, qui permet d’oublier les mots de passe. Se connecter à son application bancaire grâce à la reconnaissance faciale de son téléphone, valider un paiement en ligne d’une simple empreinte digitale, ouvrir un compte à distance en présentant sa pièce d’identité puis en se filmant quelques secondes… Ces scénarios sont devenus courants dans le monde bancaire.

KYC automatisé

Plusieurs facteurs ont contribué à cette large diffusion : la présence sur les smartphones de capteurs biométriques de plus en plus précis, l’entrée en vigueur de la deuxième directive sur les Services de paiement qui a instauré l’authentification à double facteur dont l’un peut être biométrique, l’usage de dispositifs biométriques dans les aéroports, certains lieux de travail, des salles de sport… et la crise sanitaire qui a poussé les entreprises à offrir davantage de parcours digitaux et à mieux les sécuriser face aux innombrables tentatives de fraude.

« Les services financiers ont également adopté ces technologies sous l’impulsion des néobanques, souligne Juliette Delanoé. Et les banques ont tiré les prestataires de services afin d’offrir des parcours fluides et sécurisés. Plus d’un milliard d’euros a été levé au premier semestre 2021 pour financer les technologies d’identification à distance. » Le français Idemia, par exemple, issu du rapprochement entre Oberthur Technologies et Morpho (Groupe Safran) en 2017, propose des offres de plus en plus sophistiquées permettant notamment de réaliser un KYC (Know your customer) de façon totalement automatisée sans intervention humaine. L’entreprise offre aussi un kit de développement logiciel qui permet à ses clients d’intégrer la vérification d’identité dans leur propre application.

De façon générale, le processus de vérification d’identité, notamment dans les parcours d’entrée en relation, repose sur la vérification d’un document d’identité comprenant une photo, la vérification que l’utilisateur est bien celui qu’il prétend être par comparaison biométrique de la photo et de son visage lors d’une séquence vidéo, et la détection du vivant permettant de vérifier que la personne filmée n’est pas juste une image, grâce à des signes physiologiques de battement de cœur ou à un mouvement commandé. Après quelques tâtonnements, ces processus sont désormais bien rodés et peuvent être réalisés en moins de 5 minutes.

La question de l’intervention humaine reste d’actualité : pour aller plus vite, et lorsque le risque est faible, certains établissements veulent des parcours totalement automatisés, mais le regard humain reste prépondérant pour valider un dossier et pour des raisons de conformité. Vialink, qui compte plus de 200 établissements financiers parmi ses clients mais aussi de nombreux acteurs de l’immobilier depuis peu, a retravaillé chaque étape de ce processus sur sa plateforme d’identification afin d’en accélérer le déroulement. « Notre offre se développe très vite sur le marché grâce à un temps de validation qui peut tomber à moins de 3 secondes, au coût très ajusté et à une intégration la plus simple possible dans le parcours du client. C’est une vraie performance technologique ! », estime Philippe Sanchis, directeur général de Vialink.

Evolution constante

Le gain pour les établissements financiers est très intéressant à la fois en temps lors de l’acquisition d’un nouveau client, et en économie sur les ressources humaines qui sont moins souvent sollicitées puisque l’essentiel du processus d’identification est automatisé. Côté clients, la simplicité et la rapidité des parcours sont appréciées, l’identification biométrique suscite peu de questions. Surtout, la biométrie combinée aux autres techniques d’identification – vérification de document, interrogation de bases de données externes… – renforce la sécurité et évite donc une partie de la fraude. Un gain en soi pour les établissements.

Néanmoins, le cadre réglementaire est en constante évolution car « si la biométrie apporte beaucoup de bénéfices, elle porte en elle la possibilité d’une surveillance », rappelle Juliette Delanoé. D’où le Règlement général sur la protection des données personnelles (RGPD) et la demande systématique du consentement des clients à l’utilisation de leurs données biométriques, ainsi que l’interdiction réitérée par la Commission nationale de l’informatique et des libertés (Cnil) d’utiliser la reconnaissance faciale pour la surveillance de masse et l’interdiction de conserver ces données biométriques.

L’acquisition et le traitement de données biométriques sont donc particulièrement surveillés, notamment par l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui a publié un référentiel de certification des PVID ou prestataires de vérification d’identité digitale, le 1er mars 2021.

Portefeuille digital

Plusieurs sociétés ont déposé des dossiers, parmi lesquelles AriadNext et IDNow – qui ont fusionné l’an dernier –, Docaposte, Lydia, Netheos, QuickSign, Tessi et Ubble. Le niveau de sécurité est élevé et, pour l’heure, aucun prestataire n’a encore obtenu sa certification, qui devrait être une reconnaissance majeure pour ces entreprises. Néanmoins, AriadNext et IDNow ont combiné leurs offres pour créer AutoIdent + QES, une solution de signature électronique qualifiée couplée à une vérification automatique et manuelle d’identité, qu’ils présentent comme une alternative au référentiel PVID.

Cela pose la question plus générale de l’identité numérique. Le référentiel PVID devrait s’inscrire dans le cadre du règlement e-Idas (Electronic Identification and Trust Services) de 2014 qui, en raison de sa complexité, n’a pas permis d’offrir aux Européens des dispositifs d’identification électronique compatibles entre Etats membres. En cours de révision, il devrait être publié en 2023. L’Europe se mobilise aussi pour créer un portefeuille digital, tandis que la France vient d’autoriser la création d’un service de garantie de l’identité numérique (SGIN) en remplacement d’Alicem (Authentification en ligne certifiée sur mobile), une application mobile d’identification biométrique par reconnaissance faciale dont le développement a été lancé en 2019, mais qui n’a jamais vu le jour.

Au-delà de ces initiatives régaliennes, le concept d’identité souveraine ou décentralisée se développe grâce à des spécialistes comme RCDevs, qui devrait lancer cette année un projet pilote avec une banque française : « Il s’agit de rendre à l’individu la maîtrise de ses données pour lui permettre de ne partager que celles nécessaires à l’obtention d’un service », explique Charly Rohart, directeur de RCDevs. Une idée qui devrait simplifier et sécuriser la vie numérique des citoyens.