Exemple de la régénération des empreintes digitales à partir des minuties

petites images sont des images générées à partir des minuties extraites de l’image originale.

Nous croyons, comme beaucoup d’autres études [Albrecht et al. 2003] et recomman-

dations [ISO/IEC 2011] (ISO/IEC 24745 : Information technology - Security techniques -

Biometric template protection), que le développement des schémas de protection des mo-

dèles biométriques, est le bon chemin qui mène à une technologie biométrique plus robuste

5. SecuGen (Page 8) : http ://www.secugen.com/download/SecuGenFingerprintReaderGuide.pdf 6. International Biometrics & Identification Association. http ://www.ibia.org/biometrics/faq/

et plus sécurisée. C’est la perspective suivie dans cette thèse.

2.6

Pourquoi la protection des modèles biométriques ?

En bref, il y a quatre raisons principales qui rendent la protection des modèles biomé-

triques un challenge clef à résoudre pour améliorer la sécurité des systèmes biométriques :

1. Le problème de l’irrévocabilité des modèles biométriques. Dans les systèmes tradi-

tionnels, si un mot de passe est volé, il est facile de créer un nouveau mot de passe

et de révoquer l’ancien de la base de données en créant une liste de révocation. Par

contre, si un modèle biométrique est compromis par un attaquant, le modèle ne peut

pas être changé (un trait biométrique est unique). Le développement des techniques

de protection qui fournissent la révocabilité aux modèles biométriques est nécessaire.

2. Le problème de régénération des images originales à partir des modèles biomé-

triques. C’est vrai que, contrairement à un mot de passe volé, il n’est pas trivial

d’exploiter correctement un modèle biométrique volé par un adversaire non spécia-

lisé, mais il ne faut pas supposer que l’adversaire est toujours non spécialisé. Les

techniques de protection doivent garantir que l’adversaire ne peut pas récupérer l’in-

formation originale à partir du modèle volé.

3. Le problème de l’utilisation de la même modalité biométrique dans plusieurs sys-

tèmes de sécurité biométriques. Si un utilisateur est inscrit dans plusieurs systèmes

avec le même trait biométrique, et si un de ses modèles est volé de l’un de ces sys-

tèmes ; tous les autres peuvent être compromis et l’utilisateur concerné peut être suivi

partout. Autrement dit, l’absence de diversité entre les modèles du même trait bio-

métrique menace la sécurité et la vie privée. Les techniques de protection doivent

fournir la diversité aux modèles biométriques.

4. La liaison forte entre le vol d’un modèle biométrique et les différentes attaques pos-

sibles contre un système biométrique. La plupart du temps, pour lancer une attaque

2.7. Exigences à respecter par un schéma de protection 35

(volés) ne doivent pas être utiles pour lancer autres types d’attaques.

Selon la norme ISO/IEC 24745 [ISO/IEC 2011] (sous-titre : Biometric Template Pro-

tection), il est recommandé de protéger les modèles biométriques en appliquant des trans-

formations ou des distorsions sur les traits ou les modèles biométriques pour assurer la

révocabilité. C’est le principe de base de la biométrie révocable [Ratha et al. 2001] utilisé

par toutes les approches de la protection des modèles biométriques. Cette norme a dé-

taillé les catégories de solutions de base, mais elle n’a pas favorisé aucune des techniques.

ISO/IEC 24745 a abordé aussi les exigences à respecter par un schéma de protection des

modèles biométriques, qu’on va présenter dans la section suivante.

2.7

Exigences à respecter par un schéma de protection

Une technique idéale de protection des modèles biométriques doit respecter les exi-

gences suivantes [Jain et al. 2008,Breebaart et al. 2009,Campisi 2013] :

1. La diversité : les modèles biométriques protégés (qui appartiennent à la même iden-

tité inscrite dans plusieurs systèmes biométriques), ne devraient pas se correspondre

pour éviter le cross-matching (suivi d’une personne dans plusieurs applications) et

assurer la vie privée. Autrement dit, il devrait être possible de générer un grand

nombre de modèles protégés (qui ne se correspondent pas) à partir d’un même mo-

dèle original non protégé pour que la personne sera capable d’utiliser le même trait

biométrique dans différentes applications biométriques.

2. La révocabilité : il devrait être possible de révoquer un modèle biométrique compro-

mis et générer un nouvel modèle qui est basé sur le même trait biométrique original

(non protégé). La révocabilité est une conséquence directe de la diversité. Si une

technique de protection fournit la diversité, il sera possible de générer de nouveaux

modèles pour remplacer les anciens modèles menacés (qui seront enregistrés dans

une liste de révocation7).

3. La sécurité : il doit être difficile, d’un point de vue calculatoire, de récupérer le mo-

dèle original à partir d’un modèle protégé. L’une des conséquences significatives de

cette exigence est que la classification doit être effectuée dans l’espace des modèles

protégés, ce qui peut dégrader considérablement la performance.

4. La performance : la technique de protection ne devrait pas dégrader, d’une manière

drastique, les performances de la reconnaissance du système biométrique original. Si

la performance est dégradée considérablement, les attaques à zéro effort deviennent

encore plus faciles pour un adversaire qu’une attaque à force brute pour récupérer le

modèle original.

Afin de protéger efficacement un modèle biométrique, ces quatre exigences doivent

être respectées simultanément. La conception d’une technique de protection des modèles

biométriques (qui respecte toutes les exigences) est un challenge très difficile en raison

de la nécessité de gérer les variations intra-sujet (des multiples acquisitions du même trait

biométrique ne conduisent pas à un ensemble de caractéristiques identiques). Ainsi, la pro-

tection des modèles est un sujet de recherche actif qui suscite des efforts de recherche tant

en raison de ses applications potentielles que par le grand défi qu’elle présente.

2.8

Résumé du chapitre et conclusions

Dans ce chapitre, nous avons abordé la problématique traitée dans ce rapport. En effet,

nous avons commencé par la description des menaces générales contre les applications de

sécurité et par les notions de sécurité, intégrité et vie privée dans le contexte de la biomé-

trie. Ensuite, nous avons mis l’accent sur les vulnérabilités et les attaques possibles contre

un système biométrique en accordant une attention particulière aux attaques contre les mo-

dèles biométriques et à la perspective suivie dans cette thèse. Enfin, nous avons présenté

les exigences à respecter par une technique de protection des systèmes biométriques.

Il faut noter que certaines parties et notions de ce chapitre sont basées sur quelques pu-

blications citées dans nos références. Cependant, la structure et l’exposition de ces parties

C

3

État de l’art de la protection des

modèles biométriques

Sommaire

3.1 Introduction . . . 37 3.2 Solutions palliatives . . . 39 3.3 Solutions préventives . . . 40 3.3.1 Approches matérielles des solutions préventives. . . 41 3.3.2 Transformation de caractéristiques . . . 43 3.3.3 Crypto-systèmes biométriques . . . 51 3.3.4 Approches hybrides . . . 55 3.4 Résumé du chapitre et conclusions . . . 56

3.1

Introduction

Dans ce chapitre, nous allons présenter une étude de l’état de l’art des travaux liés

à la protection des systèmes de sécurité biométriques avec une attention particulière aux

techniques de la protection des modèles biométriques. Ce chapitre dévoile les différentes

techniques proposées au sein de la communauté de recherche en sécurité des systèmes

biométriques ; en soulignant les limites et les avantages de chacune d’elle.

Nous pouvons diviser les solutions proposées en deux catégories principales (Figure

3.1) : solutions palliatives et solutions préventives. Chaque catégorie peut être divisée en deux types principaux : approches matérielles et approches logicielles. L’objectif des solu-

tions palliatives est de distinguer entre un vrai trait humain et un trait artificiel ou falsifié,

présentés au niveau du capteur. Les solutions préventives visent à éviter la perpétration

Dans cette thèse, nous sommes principalement concernés par les approches logicielles

des solutions préventives qui visent la protection des modèles biométriques. Plus précisé-

ment, nous nous sommes plus intéressés aux approches de transformation non inversible ;

d’une part, parce qu’elles sont les plus proches à nos objectifs dans cette thèse (section

1.2) ; et d’autre part, car nos approches proposées dans la thèse (Spiral Cube et Fingerprint

Shell) sont des approches de transformation non inversible.

Solutions proposées Palliative

Préventive Approche logicielle Approche matérielle Approche logicielle Approche matérielle Crypto-système biométrique Approche Hybride Transformation de caractéristiques Evoluer les capteurs i.e., Liveness detection i.e., Match-on-Card Transformation non inversible Transformation inversible