Revocation of a biometric trait is impossible.
La révocation est impossible en biométrie.

Once compromise, a biometric trait cannot be reused. This argument is often used under different avatars, and the final word is always "no future".

Here is a small example to get the point: if someone is able to copy your fingerprint and made a fake finger that spoof a fingerprint-based system, then you are obliged to use another fingerprint. And when your ten fingerprints are compromised, it's over. It is even worse with facial recognition, because you have only one face!

The conclusion is obvious: biometrics cannot works. This is very different for a smartcard (or a magnetic card...): if your card is copied (and it happens), then you just need to revoke the card, that is, put it on a black list and forbid all transactions with this card. And you'll get a new one, which is impossible to do with a fingerprint.

... !

Hopefully, it is possible to avoid this under certain conditions, which are already available for the smartcard. Strangely, people don't think about this to find out "what is wrong" in the previous reasoning.

Basically, there is a confusion between the "biometric trait", for instance your physical fingerprint, the one you own and you cannot revoke because it is at your fingertip, and the electronic version, called biometric signature.

First of all, most of biometric traits are public, think about your face for instance. This is not a secret, and all security systems are based on a secret (the infamous private key). So a security system cannot rely only on biometrics, because this is not secret!

To be convinced, imagine a system where the biometric (electronic) signature is public, readable: so anyone is able to modify it, reuse it..., for instance replace this signature with another one, and make a fake which will match this signature. It is obvious that biometrics cannot give a solution to the whole problem alone, and this is normal, this is not its fondamental aim.

Remind that biometrics ONLY replace your password acquisition (= the biometric trait), and the comparison (algorithm) with the stored password (the biometric electronic signature). If your password is compromised, then you need to change your password AND the container, because at the end, this is the container which accepts the transaction. The word "AND" is extremely important here.

Biometrics cannot allow the password -the biometric trait- change, but it is obvious that like the password, the biometric signature must be CYPHERED. Once the biometric trait is encrypted, then it is possible to revoke it.

But an important problem remains: it is possible to make fakes (fake fingers, photo of the face...), even if this is quite difficult to make in most cases, and even more difficult without cooperation.

But this problem is already solved for a long time, and you know that because it is possible to reliably identify people since the stone age! The key point is the fact that a witness recognize you (facial recognition!), but at the same time, -and this is too obvious- this witness knows that you are ALIVE, this is you, made of blood and flesh.

So it is necessary to add to a biometric system what we can call "aliveness detection", detecting that the object shown to the sensor (eye, finger...) is connected to his owner, and alive. In the case of attended systems, this is the guard who makes this detection, he is able to check that you have not shown a fake. With an unattented system, some additional sensors will be necessary to perform aliveness detection.

Aliveness detection is not common at the moment, and this is a (difficult) research topic for biometric system designers. The main difficulty is to select a physical trait which is reliable, and difficult to spoof, but this is another topic.

That said, please remind that a surgeon squad was able to graft two hands to someone, who acquired at the same time the fingerprints of someone else! So never say that a security system is 100% reliable.

Sorry about this. But well, hand grafts are not that common...

To sum up, remind these two points:

  • Encrypt the biometric signature (to be able to revoke)
  • Aliveness detection (so this is not a spoof)
  • It was a little bit long, but well, this is not a simple topic.

    Un argument souvent avancé contre la biométrie est l'impossibilité de révoquer. Cet argument apparait sous différents avatars, mais ça se termine toujours par "la biométrie n'a pas d'avenir".

    Voici un exemple pour mettre à jour l'argument: imaginez que vous utilisez un système à empreinte digitale, et que quelqu'un a réussi à copier votre empreinte, et fabriquer un faux qui fonctionne. Il faudra alors cesser d'utiliser ce doigt, puisqu'il est compromis, et en utiliser un autre. Et lorsque vous n'avez plus de doigts disponibles, et bien c'est terminé. C'est bien sûr encore pire avec la reconnaissance faciale, puisque vous n'avez qu'une tête.

    La conclusion est alors évidente: la biométrie ne pourra pas marcher. Pour une carte (à puce, à bande magnétique...), la situation est très différente: si jamais quelqu'un a fait une copie (et ça arrive), alors il suffit de "révoquer" la carte, c'est-à-dire la mettre sur liste noire et interdire les transactions. Et on vous en donnera une autre, ce qui est impossible avec vos empreintes digitales.

    ... !

    C'est -heureusement- une situation qu'on peut éviter, mais sous certaines conditions qui sont déjà en oeuvre pour la carte à puce. C'est d'ailleurs étonnant que les gens ne fassent pas le parallèle pour trouver "ce qui ne va pas" dans le raisonnement!

    Il s'agit en fait de la confusion courante entre le "trait biométrique" par exemple votre empreinte digitale PHYSIQUE, qui vous appartient et que vous ne pouvez pas révoquer, car bien sûr, elle est au bout de votre doigt, et sa version électronique, qu'on appelle généralement signature biométrique.

    Premièrement, on remarquera que la plupart des caractéristiques physiques sont publiques, comme par exemple votre visage. Ce n'est certainement pas un secret, et il faut savoir de l'intégralité des systèmes de sécurité sont basés sur l'existence d'un secret (la fameuse clé privée). Alors c'est assez mal parti pour baser un système de sécurité sur uniquement la biométrie, car elle n'en présente pas les qualités requises.

    Pour s'en convaincre, il suffit d'imaginer un système où la signature (électronique) est publique, lisible: alors n'importe qui pourra la modifier, la réutiliser..., et en particulier la remplacer par une autre (la sienne!), ou alors fabriquer un faux qui "matche" cette signature. Il est alors évident que la biométrie n'apporte pas de solution efficace au problème global, et c'est normal car ce n'est pas son rôle.

    Il faut bien se rendre compte que la biométrie remplace UNIQUEMENT la saisie de votre mot de passe (= votre trait biométrique), et sa comparaison (logiciel de reconnaissance) avec le mot de passe stocké (la signature biométrique électronique). Si votre mot de passe est compromis alors il faut changer le mot de passe ET le support qui contenait le mot de passe, car c'est finalement le support qui accepte la transaction. Le mot "ET" est extrêmement important, car c'est ce qui fait la différence.

    Dans le cas de la biométrie, on ne pourra pas modifier le "mot de passe" -le trait biométrique-, mais par contre, il est évident qu'il faudra faire pareil que le mot de passe qui est enregistré (sur la carte à puce ou ailleurs): il faudra l'ENCRYPTER. Une fois que la signature biométrique est correctement encryptée, alors on pourra l'utiliser comme un mot de passe classique, et ainsi la révoquer.

    Mais il reste un problème important: il reste la possibilité de fabriquer un faux trait biométrique (faux doigt, photo du visage...), même si cela est difficile dans la plupart des cas, surtout sans la coopération du propriétaire.

    Or, ce problème est déjà résolu depuis longtemps, et vous le savez bien puisqu'on est capable de vous identifier depuis l'âge de pierre! Le point-clé est que l'identification se fait par un témoin qui vous reconnait (reconnaissance faciale) mais aussi, -et c'est trop évident pour s'en rendre compte- ce témoin se rend compte que vous êtes VIVANT, que c'est bien vous "en chair et en os".

    Il faut donc ajouter au système biométrique ce qu'on peut appeler un "détecteur de vitalité", en fait vérifier que l'objet présenté (doigt, oeil...) est bien "connecté" à son propriétaire, qu'il est vivant. Si la biométrie est supervisée, c'est-à-dire qu'un garde surveille ce que vous faite, alors ce système est inutile, car c'est le garde qui aura vérifié que vous avez présenté la partie charnelle de votre individu, et non un faux en plastique. Sinon, il faudra ajouter des capteurs pour détecter la vitalité.

    Les équipements de détection automatique de faux doigt, faux yeux... ne sont pas encore très fréquents, mais c'est un sujet (assez difficile) à l'étude chez les fournisseurs de capteurs biométriques. La difficulté principale est qu'il faut trouver un caractère physique fiable, et qu'on ne puisse pas tromper ces capteurs, mais c'est un autre problème.

    Cela dit, rappelez-vous cette personne à qui on avait greffé deux mains, prouesse chirurgicale étonnante. Et bien elle avait acquise aussi ses empreintes digitales par la même occasion, alors en matière de sécurité, il ne faut jamais dire "c'est sûr à 100%"...

    Désolé. Mais bon, les greffes de mains ne sont pas courantes...

    En résumé, il faut se souvenir de 2 points:

  • Encrypter la signature biométrique (pour pouvoir la révoquer)
  • Avoir une détection de vitalité (garant qu'on ne présente pas un faux)
  • C'était un peu long, mais le sujet n'est pas si simple.