CATALOGUE DE Normes techniques pour les systèmes d’identification numérique © 2018 Banque internationale pour la reconstruction et le développement / Banque mondiale 1818 H Street NW Washington D.C., 20433 Téléphone : 202-473-1000 Site Internet : www.worldbank.org Cet ouvrage, initialement publié en anglais sous le titre Catalog of Technical Standards for Digital Identification Systems, a été établi par les services de la Banque mondiale avec la contribution de collaborateurs extérieurs. Les observations, inter- prétations et opinions qui y sont exprimées ne reflètent pas nécessairement les vues de la Banque mondiale, de son Conseil des Administrateurs ou des pays que ceux-ci représentent. La Banque mondiale ne garantit pas l’exactitude des données contenues dans cet ouvrage. Les frontières, les couleurs, les dénominations et toute autre information figurant sur les cartes du présent ouvrage n’impliquent de la part de la Banque mon- diale aucun jugement quant au statut juridique d’un territoire quelconque et ne signifient nullement que l’institution reconnaît ou accepte ces frontières. Droits et licences Le contenu de cet ouvrage fait l’objet d’un dépôt légal. La Banque mondiale encourageant la diffusion de ses travaux, cet ouvrage peut être reproduit, en tout ou en partie, à des fins non commerciales à condition qu’une attribution complète à l’ouvrage soit fournie. Pour tout autre renseignement sur les droits et licences, y compris les droits dérivés, envoyez votre demande, par courrier, à l’adresse suivante : World Bank Publications, The World Bank Group, 1818 H Street NW, Washington, DC 20433 (États-Unis d’Amérique). Télécopie : 202-522-2625. Courriel : pubrights@worldbank.org. TABLE DES MATIÈRES ABRÉVIATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v REMERCIEMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii À PROPOS DE L’INITIATIVE ID4D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii 1. INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2. OBJECTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3. CHAMP D’APPLICATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 4. CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4.1 Enregistrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4.1.1 Inscription . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4.1.2 Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4.2 Délivrance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4.3 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4.4  Gestion du cycle de vie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 4.5 Fédération . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE . . . . . . . . . . . . . . . . . . . . 7 5.  5.1  En quoi les normes sont-elles importantes ? . . . . . . . . . . . . . . . . . . . . . . . . 7 5.2  Organismes de normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 5.3  Normes techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Normes techniques pour assurer l’interopérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Normes techniques pour des systèmes d’identité fiables . . . . . . . . . . . . . . . . . . . . . . . . . 9 5.4 Cadres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 5.4.1  Niveaux de garantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 6. CAS D’UTILISATION PAYS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18  ’ID-Kaart en Estonie – Carte intelligente et carte d’identité sur mobile . . . Exemple 1 : L 18 Exemple 2 : Le système indien d’identification biométrique Aadhaar . . . . . . . . . . . . 20 Exemple 3 : Malawi – Biométrie et carte intelligente . . . . . . . . . . . . . . . . . . . . 22 eID intelligente au Pakistan – Biométrie et carte intelligente . . . . . . . . . 24 Exemple 4 :  Carte d’identité électronique avec certificat numérique au Pérou . . . . . . 26 Exemple 5 :  7. CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 ANNEXE A : COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT . . . . . . . . . . . . . . . . . . . . 30 iii LISTE DES FIGURES FIGURE 1  CADRE D’INTEROPÉRABILITÉ – CINQ COMPOSANTES . . . . . . . . . . . . . . . . . . . 3 FIGURE 2  CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 FIGURE 3  NORMES POUR SYSTÈME D’IDENTIFICATION . . . . . . . . . . . . . . . . . . . . . . . . 9 FIGURE 4  ARBRES DE DÉCISION CONCERNANT LE CHOIX DES NORMES . . . . . . . . . . . . . 10 FIGURE 5  NIVEAUX D’AUTHENTIFICATION ISO ET EIDAS . . . . . . . . . . . . . . . . . . . . . . . 17 FIGURE 6  ISO/IEC JTC 1 : SOUS-COMITÉS ET GROUPES DE TRAVAIL EN CHARGE DE LA GESTION DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 iv ABRÉVIATIONS AFNOR Association française de normalisation ANSI American National Standard Institute (Institut américain de normalisation) ASN.1 Abstract Syntax Notation One BAPI Biometric Application Programming Interface (Interface de programme d’application biométrique) BM Banque mondiale CAP Programme d’authentification CAP CBEFF Common Biometric Exchange Formats Framework (Cadre de formats d’échange biométriques communs) CEI Commission électrotechnique internationale CEN Comité européen de normalisation CITeR Center for Identification Technology Research DHS Department of Homeland Security (ministère de la Sécurité intérieure) DIN Institut de normalisation allemand eID Carte d’identité électronique EMV Europay, MasterCard et Visa— Norme de paiement par carte intelligente EMVCo EMV Company FIDO Fast IDentity Online (protocole d'authentification forte pour les paiements en ligne) GSM Global System for Mobile Communication (précédemment Groupe Spécial Mobile) GSMA GSM Association IBIA International Biometrics and Identification Association (Association internationale de l’identité biométrique) ID Identification ID4D lnitiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale INCITS Comité international pour les normes relatives aux technologies de l’information ISO Organisation internationale de normalisation JTC Comité technique mixte NADRA Service en charge de la base de données nationale et de l’enregistrement (Pakistan) NICOP Carte d’identité nationale pour les Pakistanais de l’étranger NIST Institut national des normes et de la technologie (États-Unis) OACI Organisation de l’aviation civile internationale OASIS Organization for the Advancement of Structural Information Standards (consortium mondial pour la normalisation et la standardisation de formats de fichiers ouverts)vi ODD Objectif de développement durable OIT Organisation internationale du travail OpenID Open ID Foundation PIN Numéro d’identification personnel v PKI Infrastructure à clés publiques PSA Organisme pakistanais de normalisation RFID Radio-Frequency Identification (identification par radiofréquences) RMG Groupe de gestion des enregistrements SA Standards Australia (autorité australienne de normalisation) SIA Secure Identity Alliance SIS Institut suédois de normalisation SNBA Association nationale suédoise de biométrie TI Technologies de l’information TIC Technologies de l’information et des communications UIDAI Autorité indienne de l’identification unique UIN Numéro unique d'identification des personnes physiques UIT-T Secteur de la normalisation des télécommunications de l’Union internationale des télécommunications WG Groupe de travail ZLA Zone de lecture automatique vi À PROPOS DE L’INITIATIVE ID4D L’initiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale mobilise les connaissances et savoir-faire de différents secteurs partout dans le monde, dans le but d’aider les pays à réaliser le potentiel transformationnel qu’offrent les systèmes d’identification numérique, et ainsi atteindre les Objectifs de développement durable. Mise en œuvre dans tout le Groupe de la Banque mondiale, l’initiative concerne les pratiques et unités mondiales, qui travaillent sur le développement numérique, la protection sociale, la santé, l’inclusion financière, la gouvernance, la parité hommes‑femmes et les questions juridiques, entres autres. L’initiative ID4D se fixe pour mission de donner à tous les individus les moyens d’accéder aux services et d’exercer leurs droits. Elle vise à cet effet à donner une forme officielle d’identification au plus grand nombre, en s’appuyant sur ses trois piliers : i) leadership avisé et analyses pour créer des données probantes et combler les lacunes de connaissances ; ii) plateformes et réunions de niveau international pour donner de l’ampleur aux bonnes pratiques, collaborer et renforcer la sensibilisation ; et iii) engagement national et régional pour apporter l’aide technique et financière nécessaire à la mise en œuvre de systèmes d’identification numérique fiables, inclusifs et responsables, intégrés aux données d’état-civil. Les travaux de l’initiative ID4D sont rendus possibles avec le soutien du Groupe de la Banque mondiale, de la Fondation Bill & Melinda Gates, d’Omidyar Network et de l’État australien. Pour en savoir plus sur l’initiative ID4D, visiter id4d.worldbank.org. REMERCIEMENTS Le catalogue a été préparé par Anita Mittal, avec des contributions de Tariq Malik, Ott Köstner, Flex Ortega De La Tora, Adam Cooper, Seth Ayers, Daniel Bachenheimer, Alastair Treharne, Dr Narjees Adennebi, Sanjay Dharwadker, Marta Ienco, Stéphanie de Labriolle et Dr Adeel Malik. Le catalogue a été présenté lors de deux ateliers, organisés en septembre 2017 et en mars 2018. Les discussions qui se sont engagées à cette occasion en ont guidé le contenu et la conception. Les organisations suivantes ont participé à ces ateliers : Accenture, l’Institut américain de normalisation, Caribou Digital, le Centre pour le développement mondial, la Digital Impact Alliance (DIAL), Ernst & Young, la Commission européenne, l’Alliance FIDO, la Fondation Bill & Melinda Gates, le Government Digital Service, la GSMA, ID2020, l’OACI, l’IOM, iSPIRIT, Mastercard, Mercy Corp, Microsoft, l’Institut national des normes et de la technologie des États-Unis, Omidyar Network, One World Identity, l’Open Identity Exchange, l’Open Society Foundation, Plan International, PricewaterhouseCoopers, la Secure Identity Alliance, Simprints, le Forum économique mondial, le Programme des Nations Unies pour le développement, le HCR, l’UNICEF, USAID, Vital Strategies et WFP. vii 1. INTRODUCTION Les systèmes d’identification fiables et inclusifs, tels qu’ils privée, à la viabilité budgétaire et au choix à effectuer sont consacrés dans la cible 16.9 des Objectifs de déve- parmi les différentes technologies, ainsi qu’à la façon de loppement durables (ODD), qui confie aux pays la charge les mettre en œuvre. de « garantir à tous une identité juridique, notamment grâce à l’enregistrement des naissances », sont essen- S’ils s’inscrivent dans une approche évolutive et interopé- tiels au développement. Les individus doivent pouvoir faire rable, les systèmes d’identification numérique fiables sont la preuve de leur identité juridique pour avoir accès aux sources d’économies pour les populations, les pouvoirs droits et aux services. Sans cette preuve, elles peuvent publics et les entreprises. À l’inverse, il est fort probable se retrouver exclues de la vie politique, économique et que les initiatives disparates et les investissements com- sociale. S’agissant des États, les systèmes d’identification partimentés dans les systèmes d’identification numérique modernes permettent une administration et une prestation feront double emploi, et ne pourront rivaliser avec les des services plus efficaces et transparentes, une réduc- avantages considérables que les systèmes d’identifica- tion de la fraude et des abus associés aux virements et tion numérique universels sont capables d’apporter aux aux paiements des prestations, une sécurité renforcée, secteurs public et privé. Les approches communes et les une meilleure précision des statistiques essentielles à la systèmes d’identification fédérés au niveau régional ou planification et une plus grande capacité à répondre aux sous-régional peuvent également aider à renforcer la pro- catastrophes et épidémies. position de valeur des systèmes d’identification numérique. La fiabilité et l’interopérabilité d’un système d’identification En dépit des avantages que procurent ces systèmes, on dépend de son degré de respect des normes techniques estime à environ 1 milliard le nombre de personnes qui ne (ci-après les « normes »). disposent pas de preuve d’identité1 dans le monde. Dans le but de combler ce « déficit d’identité », de nombreux pays Les normes fixent des protocoles de communication, des ont commencé à réformer leurs systèmes d’identification régimes d’essai, des mesures de qualité et des meilleures existants et à mettre en place de nouveaux systèmes. À pratiques cohérents et universellement partagés, concer- cet effet, la plupart ont misé sur les possibilités offertes nant la saisie, le stockage, la transmission et l’utilisation par les nouvelles technologies d’identification numérique, des données d’identité, ainsi que le format et les caracté- notamment l’identification biométrique, les documents ristiques des documents d’identité et des protocoles d’au- d’identité électroniques, comme les cartes intelligentes et thentification. Elles sont dès lors cruciales à chaque stade les cartes d’identité mobiles, et les infrastructures d’au- du cycle de vie de l’identité, notamment l’inscription, la vali- thentification en ligne. dation, la déduplication et l’authentification. Les normes aident à s’assurer que les composants des systèmes Ces avancées, en particulier conjuguées à d’autres tech- d’identité sont interopérables, peuvent être testés et sont nologies numériques notamment, telles que les systèmes capables d’atteindre les cibles de performance attendues. de paiement mobiles et en ligne, ont le potentiel de com- Sans normes, il est impossible de garantir l’efficacité d’un bler les carences des systèmes d’identification papier. En système d’identification interconnecté et interopérable. parallèle, l’identification numérique pose de nombreux défis associés à la protection des données et de la vie 1 Estimation de la série de données ID4D de la Banque mondiale, 2018. 1 2. OBJECTIF Les normes sont essentielles à la fiabilité, l’interopé- ii) identifier les domaines dans lesquels l’existence de rabilité et la viabilité des systèmes d’identification. Le normes concurrentes amène à devoir faire des choix ; et présent rapport se propose de recenser les normes et iii) évaluer l’applicabilité des normes pour un pays en cadres techniques internationaux actuellement appli- développement. Cette démarche devrait également facili- cables d’un bout à l’autre du cycle de vie de l’identité en ter l’échange d’expériences parmi les pays, et ainsi éviter à vue d’assurer l’interopérabilité technique des différents chaque pays ou acteur de « réinventer la roue ». Un arbre systèmes. Les acteurs de l’écosystème des systèmes de décision des normes techniques, organisé par domaine d’identification peuvent utiliser ce catalogue de normes technologique, est proposé pour faciliter la sélection des techniques comme source de référence. Une analyse normes techniques dans le catalogue. Des études de cas du catalogue des normes existantes, organisées en par pays illustrent l’application de cet arbre de décision catégories et sous-catégories, devrait aider à : i) identi- pour l’Estonie, l’Inde, le Malawi, le Pakistan et le Pérou. fier les domaines dans lesquels les normes font défaut ; 2 3. CHAMP D’APPLICATION L’identité numérique est une notion générique, dont les normes techniques qui relèvent du champ d’application acceptions diffèrent selon le contexte. Dans le présent du présent rapport sont les normes nécessaires à l’éla- document, l’identité numérique désigne un ensemble d’at- boration de systèmes d’identification numérique fiables et tributs et de justificatifs, saisis et stockés par des moyens interopérables, qui permettent : i) la création d’une identité électroniques et capables d’identifier une personne de numérique pour chaque individu, après validation de son façon unique. Les systèmes d’identité numérique peuvent identité par des processus définis ; ii) la délivrance de jus- prendre des formes diverses, chacune encadrée par tificatifs associés à son identité ; et iii) la mise en place des normes différentes. Cinq composantes forment le de mécanismes permettant à chacun d’établir son identité cadre d’interopérabilité pour les systèmes d’identification (s’authentifier) au moyen de son identité numérique ou de numérique (figure 1). Le présent rapport ne concerne ses justificatifs. que la composante « Interopérabilité technologique ». Les Interoperability Framework FIGURE 1 blocks 5 building Cadre d’interopérabilité – Cinq composantes Questions juridiques, politiques et réglementaires concernant Juridique l’identité, la protection et la confidentialité des données Opérabilité, sécurité, confidentialité et performance, y compris sous Gouvernance et gestion forme de conditions contractuelles et commerciales (convention de services (SLA), par exemple) Normes de processus concernant les phases de travail, les cadres de Interopérabilité des processus confiance et la reconnaissance réciproque, notamment les fédérations d’identité (eIDAS, par exemple) Normes de données, et dictionnaires de données pour assurer Interopérabilité sémantique la cohérence sémantique des données et des informations échangées Normes concernant les composants logiciels et matériels, Interopérabilité technologique les systèmes et les plateformes qui permettent la communication CHAMP machine-machine D’APPLICATION 3 4. CYCLE DE VIE DE L’IDENTITÉ FIGURE 2 Cycle de vie de l’identité 1. Enregistrement (preuve de l’identité) 2. D éliv ran Résolution Validation Vérification Contrôle / Déliv ce Évaluation du risque ran (g ce es Ma t io in te n de na sj nc us e té tité nti tifi en R l’ide cat l’id évo ifs) Maintenance de cati 5. Gestion de on Cycle de vie de l’identité 3. Authen Vérifi tific cat tio s isa but n ion atio ni attri (1 m n M s :1 de d ) i el ’id s ue d’a isq n en c s r tio (po cès) tit de alua Élig litique é Év des rôles ibil ité on Gestion ati Autoris 4. Partout dans le monde, les écosystèmes de l’identité numé- 4.1  Enregistrement rique, formés de modèles d’identité disparates et d’acteurs ayant des responsabilités, des intérêts et des priorités dif- L’enregistrement est l’étape la plus importante de la créa- férents, sont de plus en plus complexes. Il est indispen- tion d’une identité numérique. Le processus se divise en sable de comprendre les processus et les technologies mis deux phases consécutives : l’inscription et la validation. en jeu dans l’identification numérique pour identifier les normes qui s’appliquent à un système donné. À cet effet, le présent chapitre offre un panorama du cycle de vie de 4.1.1 Inscription l’identité numérique (basé sur le rapport Technology Lands- cape for Digital Identification report (2018)). Ce cadre sert C’est au cours de la phase d’inscription que sont saisis et ensuite à analyser les normes d’identification en question enregistrés les principaux attributs qui composent l’identité au chapitre 6. d’une personne qui déclare une certaine identité. Il peut s’agir de données biographiques (nom, date de naissance, Les identités numériques sont créées et utilisées dans le sexe, adresse et adresse électronique, par exemple) ou cadre d’un cycle de vie qui comporte trois stades fonda- biométriques (empreintes digitales et scan de l’iris, par mentaux : i) l’enregistrement (inscription et validation) ; exemple), ainsi que d’autres attributs, de plus en plus ii) la délivrance des documents ou justificatifs ; et iii) la nombreux. Les attributs saisis pendant cette phase et la vérification de l’identité pour autoriser la prestation des méthode utilisée ont des répercussions importantes sur la services ou l’exécution des transactions. Les fournisseurs fiabilité de l’identité (voir plus bas les observations concer- d’identité assurent en outre la gestion continue du système, nant les niveaux de garantie), ainsi que sur son utilité et notamment l’actualisation et la révocation ou la résiliation son interopérabilité avec d’autres systèmes d’identité des identités ou des justificatifs (voir figure 2 ci-dessus). nationaux et internationaux. 4.1.2 Validation Une fois que la personne a déclaré une identité pendant la phase d’inscription, cette identité est validée par comparai- son des attributs présentés avec les données existantes. La phase de validation garantit que l’identité existe (le déclarant est vivant) et qu’une seule personne la déclare 4 (le déclarant est unique dans la base de données). Dans peuvent, par exemple, délivrer des cartes SIM com- les systèmes d’identité numérique modernes, on vérifie le portant des certificats numériques. Ils peuvent aussi caractère unique d’une identité en procédant à un exercice utiliser d’autres équipements de réseaux mobiles qui de déduplication pour s´assurer que les attributs ne sont permettent de vérifier simplement et en toute sécu- pas déjà utilisés et associés à une autre identité dans le rité l’identité des utilisateurs des services adminis- système. Pour cela, on procède à une vérification 1 : N à tratifs en ligne (eGovernment) et autres plateformes partir des données biométriques. Il est également possible publiques ou privées. d’établir des liens entre l’identité déclarée et les identités présentes dans d’autres bases de données (par exemple, • Identité (justificatif) dans un entrepôt centralisé ou dans le nuage : contrairement aux systèmes les registres d’état civil, registres de la population, etc.). qui délivrent des justificatifs portables, cartes intel- ligentes et cartes SIM notamment, certains sys- tèmes se contentent de stocker les certificats et les données biométriques sur un serveur. Ce type de 4.2  Délivrance système ne permet pas la délivrance d’un dispo- sitif physique pour le stockage des justificatifs. Le Avant qu’une personne puisse utiliser un justificatif pour numéro d’identité peut être délivré sous une forme faire valoir son identité, l’identité enregistrée est soumise non électronique (en Inde, par exemple, le pro- à un processus de délivrance ou d’accréditation, à l’issue gramme Aadhaar ne délivre qu’un reçu papier). Un duquel les fournisseurs d’identité peuvent délivrer diffé- environnement anti-fraude avec génération et ges- rents types de justificatifs (numéros d’identification, cartes tion de clés cryptographiques pour protéger contre intelligentes et certificats, par exemple). Pour considérer le vol les justificatifs d’identité stockés dans l’entre- qu’une identification est numérique, les justificatifs délivrés pôt centralisé permettra de renforcer le niveau de doivent être électroniques, autrement dit qu'ils doivent stoc- sécurité et de garantie du système d’identité. ker et communiquer les données de façon électronique. Types de systèmes de justificatifs électroniques : 4.3 Authentification • Cartes intelligentes : ces cartes intègrent des Une fois enregistrée, et après réception de ses justifica- éléments de sécurité avancés, et contiennent une tifs, une personne peut utiliser son identité numérique pour puce informatique sur laquelle sont enregistrées une accéder aux bénéfices et services associés. Par exemple, clé cryptographique numérique et/ou des données les contribuables peuvent payer leurs impôts au moyen biométriques. Les cartes intelligentes peuvent se d’un portail de services publics en ligne, tandis que les présenter sous la forme d’une carte avec ou sans clients des banques peuvent utiliser leurs cartes de paie- contact ou d’une carte SIM avec fonction NFC ment intelligentes ou leur application de banque en ligne (communication en champ proche). Les données ou mobile pour réaliser des transactions. Pour accéder stockées sur une carte intelligente peuvent être aux services, l’utilisateur doit s’authentifier au moyen d’un consultées hors ligne, de manière à permettre de ou plusieurs facteurs qui relèvent le plus souvent de l’une vérifier l’identité en l’absence de connexion Internet des trois catégories suivantes : quelque chose que l’on ou de réseau mobile. connaît, quelque chose que l’on a ou quelque chose que • Cartes avec code à barres 2D : ces cartes peuvent l’on est. L’authentification au moyen de ces attributs peut être personnalisées au moyen d’un code à barres être réalisée au travers de différents mécanismes : 2D chiffré, contenant les données personnelles et biométriques d’une personne. Ce code à barres • Cartes intelligentes : les possesseurs de carte vient, soit remplacer, soit compléter, une puce intelligente peuvent prouver leur identité (s’authenti- informatique. Le code à barres 2D est un moyen fier) au moyen d’un ou plusieurs facteurs d’authen- économique de fournir une identité numérique et tification, lesquels offrent des niveaux de garantie de vérifier l’identité du porteur de la carte en com- variables. Par exemple, un simple code PIN pour parant les caractéristiques biométriques du por- les opérations présentant un risque faible, ou une teur à celles contenues dans la carte. L’Afrique signature numérique reposant sur la technologie (Mali et Ghana notamment), l’Amérique latine et le d’infrastructure à clés publiques (PKI) pour les uti- Moyen-Orient (Liban notamment) ont déployé ce lisations à risque fort. Les empreintes digitales sont système à grande échelle. Plus récemment, l’Égypte un moyen d’établir avec certitude un lien avec l’uti- l’a utilisé pour vérifier l’identité des votants lors des lisateur. Les cartes intelligentes, dotées d’une puce dernières élections. électronique sur laquelle sont stockées les données • Identité mobile : il est possible d’utiliser les télé- d’identité, permettent à leur détenteur de s’en servir phones et autres dispositifs mobiles pour offrir aux afin de s’authentifier hors ligne ou dans les régions individus une identité numérique portable et un isolées disposant d’une connectivité limitée, sans moyen d’authentification permettant d’exécuter une consultation d’une base d´identité centrale. En effet, diversité de transactions en ligne. Les fournisseurs la puce permet de réaliser, en local, une procédure 5 d´authentification, en comparant les données bio- 4.5 Fédération métriques (empreintes digitales par exemple) du détenteur de la carte avec les données stockées sur La fédération est la capacité d’une organisation d’accep- la puce (Match on Card). ter l’identité générée et gérée par une autre organisation, • Identité mobile : l’identité mobile utilise les appli- et repose sur la confiance entre ces deux organisations. cations sur smartphones, l’authentification par L’organisation utilisatrice doit avoir la conviction que l’orga- protocole USSD ou par SMS ou les cartes SIM, et nisation de confiance dispose de politiques et de normes peut incorporer plusieurs facteurs d’authentifica- comparables aux siennes, et qu’elle les applique. Les pro- tion offrant des niveaux de garantie variables. Par tocoles de fédération et le cadre d’assurance facilitent la exemple, un simple code PIN pour les opérations fédération de l’identité numérique dans et entre les orga- présentant un risque faible ou bien, pour les tran- nisations et les pays. Le fournisseur du justificatif utilise sactions présentant un risque fort, des solutions des protocoles de fédération tels que SAML (Security d’authentification à facteurs multiples (avec recours Assertion Mark-up Language) pour transmettre le résultat à la biométrie notamment) ou une signature mobile de l’authentification à l’organisation utilisatrice. Cette der- numérique reposant sur la technologie d’infrastruc- nière saisit le justificatif et l’envoie à l’organisme émetteur ture à clés publiques (PKI) comportant un élément pour vérification. Après vérification du justificatif, l’orga- sécurisé. Il est possible de renforcer l’authentifi- nisme émetteur envoie un ensemble d’informations sur cation au moyen d’un troisième et d’un quatrième l’utilisateur, le résultat de l’authentification et le degré de facteurs, comme le lieu où se trouve l’individu ou fiabilité des justificatifs utilisés pour authentifier l’utilisateur. l’analyse dynamique de ses gestes (façon de réali- Pour une utilisation efficace de la fédération partout dans ser sa signature, par exemple). le monde, l’accord et l’alignement avec le cadre d’assu- rance défini par l’ISO et l’adoption de protocoles de fédé- • Identité dans un entrepôt centralisé ou dans le ration en tant que normes sont essentiels. nuage : au lieu de délivrer un document d’identité ou un justificatif mobile, un système d’identité numé- rique peut faire appel à la biométrie pour l’authentifi- La fédération peut intervenir à des niveaux multiples : cation à distance. Dans ce cas, l’identité est évaluée et vérifiée au moyen d’un ordinateur ou d’un autre • Un organisme peut accepter les justificatifs émis par dispositif doté d’un lecteur biométrique connecté au un autre organisme, tout en authentifiant et autori- nuage. Un système basé dans le nuage élimine le sant l’individu localement : besoin de justificatifs physiques et le coût qui y est –– Un passeport émis par le Département associé, mais nécessite une infrastructure TIC fiable d'État des États-Unis est accepté comme pour assurer la connectivité, la sécurité de la base justificatif valable par un pays étranger ; de données centralisée dans un entrepôt (ou plu- pour autant, les services de l’immigration de sieurs entrepôts pour les infrastructures TIC les plus ce pays authentifient le titulaire et exigent robustes) et la protection des données transmises un visa (autorisation). entre le dispositif biométrique et la base centrale lors du processus d´authentification (confidentialité • Un organisme peut accepter les caractéristiques spécifiques (attributs) décrivant un individu qui éma- et intégrité des données). nent d’un autre organisme : –– Votre banque vous demandera votre notation de crédit délivrée par l’un des organismes de 4.4 Gestion du cycle de vie notation du crédit, plutôt que de détenir et d’actualiser elle-même ces informations. Pendant tout le cycle de vie, les fournisseurs d’identité numérique gèrent et organisent le système d’identité, • Un organisme peut accepter une décision d’autori- notamment les installations, le personnel, la tenue des sation prise par un autre organisme : registres, la conformité, l’audit et l’actualisation du statut –– Aux États-Unis, par exemple, un permis de et du contenu des identités numériques. En effet, les utili- conduire vous autorisant à conduire dans sateurs (les détenteurs d’identité) pourront être amenés à un État est accepté dans un autre. devoir actualiser un ou plusieurs attributs liés leur identité, par exemple leur adresse, leur situation maritale, leur pro- Le cycle de vie de l’identité exige l’application de normes fession, etc. De leur côté, les fournisseurs d’identité pour- techniques à chaque étape et sous-étape (voir Chapitre 6). ront devoir révoquer une identité, autrement dit annuler Dans une large mesure, les types d’attributs (biométriques, l’identité numérique pour des questions de fraude ou de biographiques et autres) saisis pendant l’inscription et les sécurité par exemple, ou résilier une identité dans le cas méthodes utilisées pour les enregistrer ont des répercus- du décès de l’individu. sions importantes sur le degré de fiabilité et de confiance que le système d’identité est capable d’offrir, ainsi que sur son utilité et son interopérabilité avec d’autres systèmes d’identité nationaux et internationaux. 6 5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE Selon la veille technologique de l’Union internationale 5.1  En quoi les normes des télécommunications (UIT), plusieurs organismes sont-elles importantes ? s’emploient à élaborer des normes techniques pour les systèmes d’identification numérique. Il s’agit d’organisa- En règle générale, les normes techniques établissent le tions internationales, comme les agences spécialisées cahier des charges et les procédures concernant le fonc- des Nations Unies, de consortiums d’entreprises et d’or- tionnement, l’entretien et la fiabilité des matériaux, maté- ganismes nationaux. Chacun de ces trois types d’orga- riels, produits, méthodes, procédés et services dont se nismes est brièvement décrit ci-dessous. servent les individus ou les organisations. Les normes garantissent la mise en œuvre de protocoles universelle- • Organisations internationales. De grandes orga- ment reconnus, nécessaires pour assurer le fonctionne- nisations internationales prennent une part active à ment, la performance, la compatibilité et l’interopérabilité. l’élaboration de normes techniques utiles à l’identité Ces facteurs sont à leur tour indispensables à la mise au numérique : l’Organisation internationale de nor- point et à l’adoption d’un produit. Si l’adoption de normes malisation (ISO), la Commission électrotechnique influe favorablement sur la pénétration du marché et sur internationale (CEI), le Secteur de la normalisa- le commerce international, leur absence risque de com- tion des télécommunications de l’UIT (UIT-T), promettre l’efficacité et la fiabilité d’un système d’identité, l’Organisation de l’aviation civile internationale en matière d’interopérabilité, de connectivité et de dépen- (OACI), l’Organisation internationale du travail dance à un fournisseur unique notamment. (OIT), le Comité européen de normalisation (CEN), le World Wide Web Consortium (W3C) et l’Internet Alors que les cartes d'identité électroniques remplacent Engineering Task Force (IETF) / Internet Society. progressivement les systèmes papier, l'interopérabilité entre les différents systèmes, technologies et dispositifs, • Organismes nationaux. Outre les organisations internationales, des organismes nationaux élaborent ainsi que les impératifs de sécurité sur lesquels reposent eux aussi des normes techniques, reposant sur ces systèmes, sont de plus en plus complexes. Il devient leurs besoins et systèmes propres. Parmi ces dès lors d’autant plus important de disposer de normes organismes, on peut notamment citer notamment pour encadrer la gestion de l’identité, et de savoir choi- l’Institut américain de normalisation (ANSI), l’Institut sir parmi les différentes normes proposées. Cependant, la national des normes et de la technologie (NIST) des rapidité des innovations, les bouleversements technolo- États-Unis, le Comité international pour les normes giques, la diversification des solutions techniques, l'évolu- relatives aux technologies de l’information (INCITS), tion des impératifs d´interopérabilité et de connectivité, et basé aux États-Unis, le ministère de la Sécurité la nécessité d´améliorer en permanence la mise en œuvre intérieure (Department of Homeland Security – des normes ne facilitent en rien la tâche. DHS) des États-Unis, le ministère de la Défense (Department of Defense – DoD) des États-Unis, Standards Australia (SA), l’Institut de normalisation suédois (SIS), l’Association nationale suédoise de 5.2 Organismes de normalisation biométrie (SNBA), l’Institut de normalisation allemand (DIN), l’Association française de normalisation Les normes sont définies de façon rigoureuse par des (AFNOR), l’Organisme de normalisation néerlandais organismes créés et mandatés expressément à cet effet. (NEN), l’Autorité indienne de l’identification unique Dans le cas des normes qui encadrent les technologies (UIDAI), le Bureau indien de normalisation (BIS) et de l’information et des communications (les TIC), ces l’Organisme pakistanais de normalisation (PSA). organismes, avec l’appui d’experts, fixent, surveillent et actualisent en continu les normes techniques destinées à • Consortiums d’entreprises. Des consortiums satisfaire des besoins variés. Sans pour autant s´y limi- d’entreprises et quelques organisations à but non ter, ces organismes se concentrent sur la production de lucratif participent également, soit à l’élaboration normes liées aux divers protocoles qui facilitent la fonc- des normes, soit à la promotion de bonnes pratiques tionnalité et la compatibilité des solutions techniques et visant à satisfaire les besoins de leurs membres. garantissent ainsi l´interopérabilité entre les systèmes. Principaux exemples : le Biometric Consortium, Ces normes, et les mises à jour qui s’y rapportent, sont consortium parrainé par le gouvernement des États- régulièrement publiées à l’intention du public2. Unis, la Secure Identity Alliance (SIA), le Center 2 FAQ de l’IEEE (lien) 7 for Identification Technology Research (CITeR), le Normes techniques pour assurer l’interopérabilité Biometrics Council de l’IEEE, le Biometrics Institute Les normes relatives à l’interopérabilité relèvent des six (Australie), la Smart Card Alliance, l’International grands domaines ci-dessous : Biometrics and Identification Association (IBIA), l’initiative Kantara, Open Identity Exchange, Open Security Exchange, l’Asian Pacific Smart 1. Biométrie – Norme d’image. Plusieurs normes Card Association (APSCA), l’Organization for the concurrentes sont utilisées pour prendre une image Advancement of Structural Information of Standards du visage (PNG, JPEG, JPEG2000 dans la plupart (OASIS), la Fast IDentity Online (FIDO) Alliance et des systèmes, et éventuellement GIF/TIFF (normes l’Open ID Foundation. propriétaires) dans quelques-uns). L’image des empreintes digitales a recours aux normes JPEG, JPEG2000 et WSQ. L’image des empreintes digi- Si on observe les grands organismes de normalisation, on tales a recours aux normes JPEG, JPEG2000 et constate que les pays et les consortiums d’entreprises les WSQ. Des notes sont proposées pour guider le choix plus actifs (par l’entremise des sous-comités et groupes de la norme d’image, notamment pour les images du de travail, par exemple) sont en contact et collaborent visage ou des empreintes digitales. avec l’Organisation internationale de normalisation, ou ISO, pour modifier ou confirmer les normes qui concernent 2. Biométrie – Pour assurer la reconnaissance biomé- leurs besoins. Voir l’Annexe A pour en savoir plus sur les trique dans un environnement à systèmes ouverts comités, sous-comités et groupes de travail techniques de (au sens où le système va interagir avec d´autres l’ISO qui travaillent sur les normes concernant le cycle de systèmes externes ou où le système utilise des appli- vie de l’identité numérique. cation open source), il est indispensable d’appliquer des normes qui encadrent les formats d’échange de données biométriques et d’autres qui encadrent les interfaces biométriques si l’on veut garantir un 5.3 Normes techniques échange complet, qui atteste de l´intégralité et de l´intégrité des données transmises, et une interopéra- La présente rubrique énumère les normes techniques bilité optimale. Les données biométriques conformes recensées pour les systèmes d’identité. Elles concernent à un format d’échange de données biométriques cer- pour la plupart le justificatif utilisé pour authentifier l’uti- tifié ISO 19794 représentent la composante essen- lisateur. Le présent rapport ne contient et ne décrit pas tielle de l’interopérabilité biométrique. Les normes qui les normes techniques qui concernent les applications encadrent les formats d’échange de données biomé- d’identité partagées avec une application logicielle (appli- triques définissent des formats différents selon les cation web / ordinateur de bureau / portail). Les normes modalités biométriques utilisées. Les parties qui s’en- techniques sont regroupées en deux tableaux. Le premier tendent sur un format d’échange de données biomé- tableau dresse la liste des normes nécessaires pour assu- triques certifié ISO 19794 devraient pouvoir décoder rer l’interopérabilité. Le second dresse la liste des normes leurs données biométriques mutuelles sans difficulté. qui concernent la fiabilité des systèmes d’identification et Les normes applicables à l’interface biométrique sont énoncent diverses contraintes, en matière de sécurité et les normes ISO 19785 – Technologies de l'informa- de qualité notamment. Ces normes sont réexaminées en tion – Cadre de formats d'échange biométriques com- continu par les organismes de normalisation. Dans les muns et ISO 19784 – Technologies de l'information deux tableaux, les normes sont accompagnées d’un lien – Interface de programmation d'applications biomé- dirigeant vers un site Internet contenant des informations triques (BioAPI). Ces normes facilitent l’échange de à propos de la norme en question. La page du site de l’ISO données biométriques au sein d’un même système énumérant les différentes normes donne des informations ou parmi plusieurs systèmes. La norme ISO 19785 sur la version la plus récente de la norme en question, définit la structure de base d’un registre d’informa- si elle est disponible, et contient un lien dirigeant vers tions biométriques (BIR) normalisé, qui comporte le cette version. registre dans lequel est consigné l’échange de don- nées biométriques, avec des métadonnées comme la date de saisie, la date d’expiration, la présence de chiffrement ou non, etc. La norme 19784 définit une API système ouverte, qui facilite les communications entre les applications logicielles et les services de technologie biométrique sous-jacents. 3. Carte / Carte intelligente – Pour les pays qui délivrent un justificatif tangible, carte d’identité électronique physique, par exemple, les normes comme ISO 7810 sont utiles pour assurer l’interopérabilité et l’inter- connectivité. Pour les cartes avec contacts sur les- quelles est insérée une puce informatique en relief, 8 la norme ISO / IEC 7819 s’applique par- FIGURE 3 Normes pour système d’identification tout dans le monde. Pour les cartes sans contact, lorsque la puce informatique est incorporée à l’intérieur de la carte, c’est CHOIX la norme ISO / IEC 14443 qui est suivie. Pour les cartes qui peuvent également servir de documents de voyage élec- troniques, incluant les cartes d´identité, Normes les passeports, les permis de conduire biométriques électroniques et les autres documents de voyage lisibles à la machine (MRTD) utilisés pour franchir les frontières, la conformité à la norme OACI 9303 est Normes préconisée. Chaque système d’identité sélectionnera un type de carte en fonc- encadrant les documents tion de critères variés, comme le coût ou les éléments de sécurité. Normes 4. Signatures numériques – Plusieurs pour système Normes normes non concurrentes sont indiquées. d’identification encadrant Elles s’appliquent en fonction de l’utilisa- tion de la signature numérique pour les les signatures systèmes d’identité. numériques 5. Code à barres 2D – La colonne contenant les notes d’aide au choix de la norme pré- Normes sente les avantages et les inconvénients encadrant des deux formats de codes à barres à deux dimensions couramment utilisés les codes dans les systèmes d’identité, le PDF417 à barres et le code QR. 6. Protocoles de fédération – On a de plus en plus recours à l’association Open Protocole ID Connect et OAuth pour répondre de fédération aux besoins de fédération, alors que le protocole SAML a été beaucoup utilisé précédemment. La liste des normes applicables pour un sys- 2. Les normes citées à l’extrémité de la branche de tème d’identité va consister en la somme des normes rete- l’arbre sont les normes applicables en fonction des nues dans chacune des six catégories ci-dessus. décisions prises en matière de choix de technologie et de conception système. La figure 4 présente un schéma d’arbre de décision, qui 3. À certains embranchements, il faudra choisir parmi permet de sélectionner les normes applicables en fonction plusieurs normes concurrentes. Le tableau contient des technologies retenues pour la mise en œuvre du sys- des notes d’aide au choix qui aideront à sélectionner tème d’identification. l’une des normes concurrentes disponibles. 4. Le tableau dressant la liste des normes contient une 1. Partir du sommet et descendre le long de l’arbre en brève description des normes et un lien renvoyant suivant chaque branche tant que la catégorie de à celles-ci. technologies ou de normes mentionnée à chaque embranchement s’applique au système d’identité. Normes techniques pour des systèmes d’identité fiables Le tableau « Normes techniques pour des systèmes aux responsables de la mise en œuvre des systèmes d’identité fiables » énumère les normes qui contiennent d’identification les moyens d’adopter des lignes directrices des lignes directrices concernant les aspects des sys- et des bonnes pratiques en terme de normes pour leurs tèmes d’identification liés à la qualité, aux méthodes d’es- systèmes. Dans le cadre de son système Aadhaar, l’Inde sai, à la confidentialité des données et à l’accessibilité, en a par exemple publié un document définissant des lignes vue de renforcer la fiabilité de ces systèmes. Elles donnent directrices en matière de sécurité encadrant le recours à la 9 FIGURE 4 ARBRE DE DÉCISION CONCERNANT LE CHOIX DES NORMES ARBRE DE DÉCISION CONCERNANT LE CHOIX DES NORMES CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG/JPEG2000/PNG Normes Biométrie Visage Norme d’image JPEG/JPEG2000/PNG Voir note explicative Voir note explicative Norme de format ISO 19794 - 5 d’échange Norme de données de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique Norme d’interface ISO 19785 (CBEFF) ISO 19784 (BioAPI) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image JPEG/JPEG2000/PNG/WSQ Empreintes JPEG/JPEG2000/PNG/WSQ Voir note explicative digitales Norme d’image Voir note explicative digitales Norme de format ISO 19794 - 4 (Empreinte digitale) ISO 19794 - 4 2 (Empreinte digitale) d’échange Norme de données de format (Points ISO caractéristiques) 19794 -2 d’échange de données Norme d’interface (Points ISO 19785caractéristiques) (CBEFF) biométrique Norme d’interface ISO 19785 (CBEFF) ISO 19784 (BioAPI) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG/JPEG2000/PNG Iris Norme d’image JPEG/JPEG2000/PNG Voir note explicative Voir note explicative Norme de format ISO 19794 - 6 Norme de format d’échange de données ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) Norme biométrique d’interface ISO 19785 (CBEFF) ISO 19784 (BioAPI) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 Documents Carte non intelligente ISO 7810 intelligente Carte Avec contact ISO 7810 et Carte 7816 et ISO 7810 intelligente Avec contact ISO 7816 intelligente ISO 7810 et Sans contact Sans contact 14443 ISO 7810 et ISO 14443 Format lisible ICAO9303 Format lisible ICAO9303 (ISO 7501) par la machine (ISO 7501) par la machine Signature Norme de signature numérique – Signature numérique Norme de signature Génération, numérique – vérification FIPS 186-4 FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA RSA – Algorithme de signature numérique RFC (PKCS #1) RSA 3447 de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé FIPS PUB (SHA-1, 180-4 SHA-512/256 etc.) Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 Norme modules de sécurité pour cryptographiques FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés de Norme certificat publiques ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Signature numérique XML W3C/ETSI XAdES Code Code barres Une dimension ISO/IEC 15417 barres Une dimension ISO/IEC 15417 PDF417 / code QR Deux dimensions Voir note / PDF417 code QR explicative Deux dimensions Voir note explicative Fédération Fédération OIDC +OAuth / SAML 10 OIDC Voir +OAuth note / SAML explicative Voir note explicative Domaine Norme / Organisme d’interopéra- Sous- spécification de normali- N° bilité domaine (nom commun) Description de la norme sation Note d’aide au choix de la norme A.1 Biométrie Norme ISO/IEC 15444-1 Norme d’encodage d’images ISO et IEC Le format PNG est un format d’images sans perte de d’image (JPEG2000) (compression avec ou sans perte qualité peu utilisé par les systèmes d’identification. de qualité) La plupart des systèmes ont retenu les formats JPEG et JPEG2000 pour les photographies. L’Inde utilise le A.2 Biométrie Norme ISO/IEC 15948, Technologie – Infographie et traitement W3C format JPEG2000, considéré plus ouvert que le format d’image (PNG) d’images – Portable Network Graphics JPEG. La norme OACI 9303 autorise à la fois le format – Compression sans perte de qualité JPEG et le format JPEG2000. Le format JPEG2000 est recommandé pour les passeports de l’Union euro- péenne, car il donne lieu à des fichiers plus légers que A.3 Biométrie Norme ISO/IEC 10918:1994 Norme d’encodage d’images – ISO et IEC les images compressées au format JPEG. d’image JPEG Compression avec perte de qualité La norme WSQ est traditionnellement utilisée pour les images d’empreintes digitales. De nombreux systèmes A.4 Biométrie Norme WSQ Algorithme de compression utilisé pour NIST d’identification y ont recours. Le système d’identification d’image les images d’empreintes digitales en indien utilise le format JPEG2000 pour les images des niveaux de gris empreintes digitales et de l’iris. Aux États-Unis, la plu- part des forces de l’ordre utilisent le format WSQ pour un stockage efficace des images d’empreintes digitales compressées à 500 ppi. Pour les empreintes digitales compressées à 1 000 ppi, les forces de l’ordre (dont le FBI) privilégient le format JPEG2000 au format WSQ. B.1 Biométrie Échange de ISO/IEC 19794-5:2011 Formats d’échange de données ISO et IEC données – (Image du visage) d’image du visage biométriques. Visage La norme définit les contraintes de prise de vue, de qualité photographique, de numérisation et de format applicables aux images du visage à utiliser dans le cadre, tant de la vérification humaine que de la reconnaissance automatisée par ordinateur. B.2 Biométrie Échange de ISO/IEC 19794-4:2011 Format d’échange de registres de ISO et IEC données – (Empreintes digitales) données pour stocker, enregistrer et Empreintes transmettre les informations issues digitales d’un ou plusieurs domaines d’images digitales ou palmaires pour échange ou comparaison. B.3 Biométrie Échange de ISO/IEC 19794-6:2011 Formats d’échange de l’image de l’iris ISO et IEC données – (Iris) pour système biométrique d’inscription, Iris de vérification et d’identification. B.4 Biométrie Échange de ISO/IEC 19794-2:2011 Trois formats de données pour la ISO et IEC données – (Points caractéristiques représentation des empreintes digitales, Points de référence) ayant recours à la notion fondamentale caractéris- des points caractéristiques de référence tiques de (minutiae) pour l’échange et le stockage référence de ces données : i) format basé sur des registres ; ii) format ordinaire ; et iii) format compact pour utilisation sur carte intelligente dans une application « Match-on-Card ». B.5 Biométrie Échange de ISO/IEC 19794-7:2014 Formats d’échange de données ISO et IEC données – (Signature) pour données de signature / analyse Signature dynamique de la signature (analyse comportementale), captées sous la forme d’une série temporelle multidi- mensionnelle au moyen de dispositifs, comme les tablettes de numérisation ou les systèmes à stylet perfectionnés. (suite) 11 Domaine Norme / Organisme d’interopéra- Sous- spécification de normali- N° bilité domaine (nom commun) Description de la norme sation Note d’aide au choix de la norme B.6 Biométrie Norme ISO 19785 :2015 Les normes d’interface biométrique ISO/IEC d’interface Common Biometric comprennent les normes ISO/IEC biométrique Exchange Format 19785 et ISO/IEC 19784 (BioAPI). Ces Framework – CBEFF normes concernent l’échange de don- (ou cadre de formats nées biométriques au sein d’un système d'échange biomé- ou parmi plusieurs systèmes. ISO/IEC triques communs) 19785 définit la structure de base d’un Registre d’informations biométriques (Biometric Information Record – BIR) normalisé, qui comporte le registre dans lequel est consigné l’échange de données biométriques, avec des métadonnées comme la date de saisie, la date d’expiration, la présence de chiffrement ou non, etc. B.7 Biométrie Norme ISO/IEC 19784-1:2018 Définit une API système ouverte qui ISO/IEC Certaines organisations (l’Union européenne, Interpol d’interface (spécification BioAPI) autorise les communications entre et les États-Unis, par exemple) ont retenu le format biométrique les applications logicielles et les de base d’échange d’images d’empreintes digitales et services technologiques biométriques autres images ANSI/NIST-ITL. sous-jacents. C.1 Carte ISO/IEC 7810 Cartes d’identification – ISO et IEC Caractéristiques physiques C.2 Carte ISO/IEC 7816 Cartes d’identité électroniques (e-ID) / ISO et IEC intelligente Cartes intelligentes – Normes pour cartes avec contacts C.3 Carte ISO/IEC 14443 Cartes d’identité électroniques (e-ID) / ISO et IEC intelligente Cartes intelligentes – Normes pour cartes sans contact C.4 Carte ICAO 9303 adoptée en Norme pour documents de voyage à ICAO intelligente tant qu’ISO/IEC 7501 lecture automatique ISO et IEC C.5 Carte ISO/IEC 24727 Ensemble d’interfaces de ISO et IEC intelligente programmation pour interactions entre les cartes à circuit intégré et les applications externes (suite) 12 Domaine Norme / Organisme d’interopéra- Sous- spécification de normali- N° bilité domaine (nom commun) Description de la norme sation Note d’aide au choix de la norme D.1 Code barres 1D (une ISO/IEC 15417 :2012 Techniques automatiques ISO/IEC Les codes 1D représentent les données horizontale- dimension) d'identification et de capture des ment au moyen du format barres noires et espaces données – Spécifications applicables à blancs. Ils conviennent aux nombres courts, mais la symbologie de code barres 128. au-delà de 25-30 caractères, ils peuvent devenir très longs. L’encodage du texte et des URL est impossible. D.2 Code barres 2D (deux ISO/IEC 18004:2015— Caractéristiques de la symbologie de ISO et IEC Les codes barres 2D peuvent stocker plus de mille dimensions) Code QR (ou code à code QR, méthodes de codage des caractères, y compris les URL et les images. réponse rapide) caractères de données, formats de Le PDF147 est un code barres empilé lisible au symboles, caractéristiques dimension- moyen d’un scanner linéaire simple. Il comporte des nelles, règles de correction d'erreurs, capacités de correction d’erreurs intégrées au sein de algorithme de décodage de référence, ses rangées linéaires haute résolution, de sorte que exigences de qualité de production la dégradation de ce type de code barres ne pose pas et paramètres d'application sélection- un problème majeur. Il se présente sous la forme d’un nables par l'utilisateur. rectangle allongé, et est très couramment employé dans les cartes d’identification. Ce format nécessite D.3 Code barres 2D (deux ISO/IEC 15438: Exigences applicables aux caractéris- ISO et IEC une résolution beaucoup plus importante, que ce soit dimensions) 2015—PDF417 tiques de la symbologie de code barres, pour imprimer les codes barres ou pour les afficher sur codage des caractères de données, for- un dispositif. mats de symboles, dimensions, règles de correction d'erreurs, algorithme de Le code QR est formé de grands carrés. S’il prend décodage de référence et nombreux plus de place que le petit PDF147 rectangulaire, il paramètres d’application. offre cependant une capacité de 3 à 4 fois supérieure. La création des codes QR est également plus simple que celle des codes barres PDF147. Les codes QR n’utilisent pas de scanners linéaires, mais des capteurs d’image. La résolution est dès lors importante, mais pas dans la même mesure qu’avec les codes barres PDF147. Les applications mobiles simples peuvent facilement scanner les codes QR. Il est en revanche plus difficile de scanner les codes à barre PDF147, d’où la nécessité de disposer d’un matériel onéreux uniquement pour scanner ces codes. Pour l’authentification hors ligne, l’Inde a recours à un code QR qui intègre des données chiffrées à signature numérique. Certains pays de la Communauté d’Afrique de l’Est utilisent une norme PDF147 pour le code barres figurant sur leurs cartes d’identité. E.1 Signatures Norme de FIPS 186-4 Cette norme définit les méthodes de NIST numériques / signature génération de signatures numériques, cryptographie numérique DSS pouvant servir à protéger les données binaires (couramment dénommées un message) et à vérifier et valider ces signatures numériques. E.2 Signatures Algorithme RFC 3447 RSA Utilisation de l’algorithme RSA IETF Internet numériques / de signature (PKCS #1) pour génération et vérification Society cryptographie numérique des signatures numériques. E.3 Signatures Norme de SHS (FIPS PUB Cette norme définit les algorithmes de NIST numériques / hachage 180-4) hachage sécurisés SHA-1, SHA-224, cryptographie sécurisé SHA-256, SHA-384, SHA-512, SHA-512/224 et SHA-512/256. (suite) 13 Domaine Norme / Organisme d’interopéra- Sous- spécification de normali- N° bilité domaine (nom commun) Description de la norme sation Note d’aide au choix de la norme E.4 Signatures Sécurité FIPS 140-2 Exigences de sécurité pour modules NIST numériques / cryptographiques. cryptographie E.5 Signatures Infrastruc- ITU-T X.509 | ISO/IEC Le cadre de certificats de clé publique UIT-T, ISO numériques / ture à clés 9594-8 défini dans cette Recommandation | et IEC cryptographie publiques Norme internationale définit les objets d’informations et les types de données d’une infrastructure à clés publiques (PKI), notamment les certificats de clé publique, les listes de révocation de certificats (CRL), le protocole d’accès à un courtier de confiance et les listes d’autorisation de validation (AVL). E.6 Signatures Signatures XAdES W3C Tandis que XML-DSig est un protocole W3C numériques / électro- général pour la signature numérique cryptographie niques des documents, XAdES définit des avancées profils précis de XML-DSig, mettant ce XML protocole en conformité avec la régle- mentation européenne eIDAS. F.1 Fédération Protocole SAML v2—2005 La norme Security Assertion Markup OASIS La norme SAML a été conçue uniquement pour les Language (SAML) définit un protocole applications Internet, tandis qu’OpenID Connect, XML pour l’échange d’informations outre ces applications, prend également en charge liées à la sécurité (authentification, les applications natives et les applications mobiles. autorisations et attributs, par exemple) entre des entités informatiques. SAML OpenID Connect est plus récente et s’appuie sur le flux facilite l’interopérabilité entre des sys- de processus OAuth 2.0. Testée et éprouvée, elle est le tèmes de sécurité disparates, et définit plus souvent utilisée par les sites d’achat en ligne, les le protocole permettant d’exécuter des applications Internet et les applications mobiles. Mobile transactions en ligne sécurisées et Connect et les solutions de gestion de l’identité de capables de s’affranchir des frontières Microsoft utilisent ce protocole. des sociétés. Les entreprises utilisent généralement la norme SAML, sa cousine aînée. Elle permet par exemple de se F.2 Fédération Protocole RFC 6749/ OAUTH 2 OAuth 2.0 est le protocole d’autorisation IETF connecter en une seule fois à plusieurs applications standard du secteur professionnel. dans une entreprise au moyen de son identifiant Active Il fournit des flux d’autorisation spéci- Directory. Le protocole EIDAS est basé sur SAML. fiques pour les applications Internet, les applications PC, les téléphones mobiles Capable de prendre en charge à la fois les applications et les dispositifs de salon. natives et les applications mobiles, outre les applica- tions Internet, OpenID Connect est de plus en plus utilisée dans les nouvelles implémentations. F.3 Fédération Protocole Open ID connect OpenID Connect 1.0 est une simple OpenID surcouche d’identification au protocole Foundation OAuth 2.0. Elle permet aux clients de vérifier l’identité de l’utilisateur final sur la base de l’authentification exécutée par un serveur d’autorisation, ainsi que d’obtenir des informations de base sur le profil de l’utilisateur final de manière interopérable et à la façon de services Internet. 14 technologie biométrique dans les projets d’administration et de la technologie (NIST) des États-Unis a également électronique. Ce document, intitulé Security Guidelines for publié des rapports sur la qualité d’image de l’empreinte Use of Biometric Technology in e-Governance Projects, digitale (NFIQ) et des SDK correspondants, utilisés partout s’appuie sur les orientations énoncées dans les normes dans le monde. ISO 24745, ISO19792, ISO 24714 et ISO 24760. Les normes encadrant la qualité des échantillons biomé- triques sont importantes pour s’assurer que les systèmes 5.4 Cadres de reconnaissance automatique sont capables de lire les données biométriques recueillies. Une mauvaise qualité La norme ISO/IEC 29115 et le règlement eIDAS définissent de l’échantillon risque en effet d’empêcher l’inscription et/ un cadre de niveaux de garantie pour les systèmes d’iden- ou de dégrader la performance globale de mise en corres- tification. Dans l’idéal, le système d’identification national pondance des données biométriques. Sont concernées les devrait se conformer au niveau le plus élevé. Un débat normes internationales ISO/IEC 29794-4:2017 (données plus approfondi sur ce thème faciliterait la préparation de d’image de l’empreinte digitale), ISO/IEC TR 29794-5:2010 lignes directrices sur les options pour la mise en œuvre (données d’image du visage) et ISO/IEC 29794-6:2015 de systèmes d’identification offrant les niveaux de garan- (données d’image de l’iris). L’Institut national des normes tie les plus élevés. Par ailleurs, des lignes directrices sur N° Domaine Numéro de la norme Description de la norme 1 Biométrie Série ISO/IEC 29794 Qualité d’échantillon biométrique – Performance de comparaison et correspondance 2 Biométrie Série ISO/IEC 29109 Méthodologie d'essai de conformité pour les formats d'interéchange de données biométriques 3 Biométrie ISO/IEC 24745 Techniques de sécurité – Protection des informations biométriques 4 Biométrie ISO/IEC 24761 Contexte d'authentification biométrique 5 Biométrie NIST MINEX Le Minutiae Interoperability Exchange Test (MINEX) est un programme du NIST pour l’exécution d’essais d’interopérabilité de générateurs et extracteurs de points caractéristiques de référence, pour le programme de vérification de l’identité des personnes (Personal Identity Verification – PIV) du gouvernement des États-Unis. 6 Biométrie ISO/IEC 19784-1:2018 Spécification BioAPI 7 Biométrie ISO/IEC 24709-1:2017 Test de conformité pour l'interface de programmation d'applications biométriques (BioAPI – ISO 19784) 8 Biométrie ISO/IEC TR 29194:2015 Guide pour la mise au point de systèmes biométriques accessibles et inclusifs 9 Biométrie ISO/IEC TR 29196:2015 Directives pour l'inscription biométrique 10 Biométrie ISO/IEC TR 30125:2016 Biométrie utilisée avec des appareils mobiles 11 Biométrie ISO 19792:2015 Techniques de sécurité – Évaluation de sécurité de la biométrie 12 Biométrie ISO 24714:2015 Biométrie – Considérations juridictionnelles et sociétales pour applications commerciales – Partie 1 : orientations générales 13 Confidentialité ISO/IEC 29100 Cadre du domaine privé 14 Confidentialité ISO/IEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII 15 Confidentialité ISO/IEC 29190 Modèle d'évaluation de l'aptitude à la confidentialité 16 Confidentialité ISO/ IEC 29184 Lignes directrices concernant les déclarations de confidentialité en ligne et les consentements 17 Gestion Série ISO/IEC 24760 Cadre pour la gestion de l'identité 15 les différentes options, indiquant leurs points forts et leurs 5.4.1  Niveaux de garantie points faibles et proposant plusieurs cas de figure en guise Lorsqu’une personne s’identifie ou s’authentifie au moyen d’exemple, faciliteraient le choix du système d’identifica- d’un ou plusieurs attributs d’identité, le degré de certitude tion approprié et des normes techniques applicables. qu’elle est qui elle prétend être dépend du niveau de fia- bilité et de sécurité fourni et du contexte dans lequel les informations sont capturées. C’est ce que l’on appelle le Description Organisme de Nom de la norme de la norme normalisation Observations ISO/IEC 29115 Cadre d'assurance de ISO et IEC Fixe quatre niveaux de garantie pour la gestion modulable de l´identité l'authentification d'entité et les services d’authentification FIDO UAF Cadre d’authentification Alliance FIDO Authentification sans mot de passe universel eIDAS Identification électronique Règlement européen Règlement de l’Union européenne concernant l’identification et les services de et services de confiance confiance – Cadre d’interopérabilité des systèmes d’identification de l’UE niveau de garantie. Les niveaux de garantie dépendent l’authentification. Il énumère également les activités orga- de la fiabilité des processus d’identification et d’authenti- nisationnelles et de gestion qui correspondent à la phase fication, et sont essentiels pour contrôler l’accès, assurer de gestion de l’identité, et considère les exigences en l’intégrité des données et limiter les risques de vols d’iden- matière de fédération et le rôle du cadre d’assurance dans tité. Plus le niveau de garantie est élevé, plus faible est la même phase sans en faire un processus séparé. le risque que des prestataires de services se fondent sur un justificatif compromis lors d’une transaction. Pour éta- La norme ISO 29115 fixe quatre niveaux de garantie, pour blir l’identité, le niveau de garantie dépend de la méthode la gestion modulable de l´identité et les services d’authen- d’identification employée, notamment le périmètre des tification. Ces quatre niveaux sont présentés à la figure 5, informations personnelles et des attributs recueillis à pro- avec les définitions correspondantes du cadre eIDAS de pos d’une personne lors de son inscription, et du degré l’Union européenne, et vont des protocoles d’authentifica- de certitude avec lequel ces attributs sont vérifiés (autre- tion faibles présentant des niveaux de risque de sécurité ment dit, validés). Par exemple, des données à caractère élevés aux protocoles d’authentification forts présentant personnel recueillies lors de l’inscription mais non dédupli- des niveaux de risque minimaux. Le niveau de risque ne quées, ou dont la véracité n’est pas vérifiée par comparai- repose pas seulement sur les justificatifs et les processus son avec les bases de données existantes, donneront lieu utilisés pour l’authentification, mais également sur le degré à un niveau de garantie faible, en raison de l’absence de de fiabilité avec lequel l’identité a été vérifiée lors de la validation des informations d’identification. phase d’enregistrement. Selon le type d’applications, les pays peuvent mettre en œuvre une diversité de protocoles La norme ISO/IEC 29115 définit un cadre d'assurance de d’authentification pour répondre aux normes nécessaires l'authentification d'entité. Dans cette recommandation / au cas d’espèce. norme internationale, l’assurance renvoie à la confiance placée dans l’ensemble des processus, activités de ges- Les lignes directrices Digital Identity Guidelines 800-63-3 tion et technologies employés pour établir et gérer l’identité du NIST abrogent à partir de 2017 le concept de niveau de d’une entité, pour les besoins des opérations d’authentifi- garantie comme échelle ordinale unique sur laquelle fon- cation. Ce cadre recense en outre trois phases, alignées der les exigences propres à la mise en œuvre. Elles pro- sur les trois grandes activités énumérées dans le cycle posent trois catégories de garantie de l’identité distinctes, de vie de l’identification : l’inscription, l’accréditation et IAL, AAL et FAL, dans lesquelles les agences devront 16 sélectionner les niveaux de garantie voulus en conjuguant fondamentaux des systèmes d’identification. Ces lignes une gestion appropriée du risque opérationnel et de confi- directrices, par exemple, proposent des scénarios qui dentialité et la prise en compte des besoins de la mission : permettront la réalisation de transactions sous pseudo- nyme, même en cas d’utilisation d’authentifiants forts et • IAL : processus de vérification de l’identité. multi-facteurs. Elles visent en outre à limiter la diffusion des informations d’identification, en imposant aux fournis- • AAL : processus d’authentification. seurs d’identité fédérée d’accepter un éventail d’options • FAL : fiabilité d’une affirmation dans un environne- pour l’interrogation des données. Il pourra s’agir d’une ment fédéré, servant à communiquer des informa- simple vérification de la conformité d´un attribut avec une tions sur l’authentification et les attributs (s’il y a lieu) règle fixée plutôt que de la transmission du détail des infor- à une partie utilisatrice. mations liées à l´attribut vérifié. Par exemple, le système Certes, dans de nombreux systèmes, la valeur numérique confirmerait que l´individu a plus de 18 ans, sans trans- sera la même dans les trois catégories. Il ne s’agit pour mettre la date de naissance au système. Certes, pour les autant pas d’un impératif, et les agences ne doivent pas agences, de nombreux scénarios d’utilisation exigeront présupposer que ce sera le cas dans tout système donné. l’identification complète des individus. Pour autant, ces Cette distinction en trois catégories offre aux agences une lignes directrices encouragent l’accès sous pseudonyme certaine souplesse pour choisir leurs solutions d’identifica- aux services publics numériques chaque fois que possible, tion. De plus, quel que soit le niveau de garantie, elle leur et, même si une identification complète est nécessaire, la permet de mieux intégrer divers outils de renforcement de limitation de la quantité d’informations à caractère person- la protection de la vie privée en en faisant des éléments nel recueillies. FIGURE 5 Niveaux d’authentification ISO et eIDAS Définition FAIBLE SUBSTANTIEL ÉLEVÉ eIDAS NIVEAU 4 Niveaux ISO 29115 NIVEAU 3 NIVEAU 3 NIVEAU 2 Authentification très forte Hors périmètre Authentification Authentification • Applet SIM Authentification forte forte avec PKI sûre • USSD • Applet SIM • Application NIVEAU 1 • Transparente • Applet SIM • Application smartphone Authentification / en TEE avec PKI • SMS + URL • Application smartphone • PKI eID (PIN) ID électronique • USSD smartphone en TEE • Applet SIM • Jeton ou OTP + • Jeton OTP • PKI ID (PIN + Authentification • Application mot de passe (PIN + TEE SE) (SIM/eSE) faible smartphone • Biométrie certifié ou SE) • Biométrie • Jeton ou mot de • Biométrie Mot de passe passe à usage traditionnel unique (OTP) Pas de Présentation Enregistrement Vérification de Vérification des informations vérification des informations en personne l’identité lors de sur l’identité de l’identité sur l’identité avec vérification l’enregistrement Très élevé Moyen Faible Minime Minime Niveau de risque Source : Banque mondiale, 2016. 17 6. CAS D’UTILISATION PAYS Selon l’environnement propre au pays, quelles sont les illustrent les normes applicables que les États concernés normes qu’il convient d’adopter et quelles sont celles qu’il peuvent décider d’adopter pour répondre à leurs besoins. est préférable d’ignorer ? La réponse dépend des objectifs, En élaborant un système d’identification, cependant, l’une du champ d’application et de l’utilisation envisagée du sys- des priorités est toujours de s’assurer que le choix des tème d’identification. Les exemples de l’Estonie, de l’Inde, technologies et des normes connexes s’inscrit dans le du Malawi, du Pakistan et du Pérou présentés ci-dessous cadre réglementaire en vigueur dans un pays. Exemple 1: L’ID-Kaart en Estonie – Carte intelligente et carte d’identité sur mobile L’Estonie possède le système de carte d’identité nationale le plus développé du monde (Wil- liams-Grut 2016). Le pays a délivré 1,3 million de ses ID-Kaarts intelligentes, chacune associée à un identifiant unique qui permet à son titulaire d’accéder à plus de 1 000 services publics, comme les services de santé, le dépôt des déclarations fiscales en ligne et le vote en ligne. À la pointe de la révolution numérique pour ce qui est des services publics, l’Estonie aspire à devenir un « pays en tant que service », dans lequel l’identité numérique sécurisée joue un rôle central. La puce intégrée dans la carte contient les principales données d’identification, comme le nom, la date de naissance, un numéro d’identification unique et des certificats numériques, pour authentification et signature numérique des documents. L’accès à chacune des clés de ces certificats numériques est protégé par un code PIN secret, que l’utilisateur est seul à connaître. L’ID-Kaart possède des fonctions électroniques avancées qui facilitent l’authentification sécurisée et la création de signatures numériques juridiquement contraignantes utilisables pour accéder aux services en ligne dans tout le pays. L’infrastructure e-ID est modulable, souple, interopérable et fondée sur des normes. Tous les certificats délivrés en association avec le système de carte d’identité sont des certificats qualifiés, conformes à la directive européenne 1999/93/CE relative à l’utilisation des signatures électroniques dans les contrats électroniques au sein de l’Union européenne. La carte est conforme à la norme OACI 9303 relative aux documents de voyage. Le numéro d’identité personnel et le numéro d’identification du document sont encodés sous la forme de deux codes barres à une dimension, basés sur la norme ISO 15417. L’Estonie n´a pas recours à la déduplication biométrique pour délivrer une identité unique, mais prend les empreintes digi- tales au moment de la délivrance de la carte d’identité. L’ID-Kaart est un justificatif sécurisé qui permet d’accéder aux services publics. Pour signer numériquement un document, le système a recours à un modèle de communication qui emploie des phases de travail normalisées sous la forme d’un format de document commun (DigiDoc). DigiDoc repose sur le format Advanced Electronic Signatures Standard (XAdES), ensemble d’extensions à la norme XML. XAdES définit un format qui permet le stockage structurel des don- nées, signatures et attributs de sécurité associés aux signatures numériques, et favorise dès lors la compréhension commune et l’interopérabilité. Source : e-Estonia.com et document intitulé « The Estonian ID Card and Digital Signature Concept » (version 20030307). 18 ESTONIE CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG Norme de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image WSQ digitales Norme de format ISO 19794 - 4 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG/JPEG2000/PNG Voir note d’aide au choix Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7810 et ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 PDF417 / code QR Deux dimensions Voir note d’aide au choix Fédération NON APPLICABLE / NON ADOPTÉ SAML 19 INDE CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Exemple 2: Le système indien d’identification biométrique Aadhaar Normes L’Autorité indienne de l’identification Biométrie unique (UIDAI) a délivré un numéro Visage d’identification unique, Norme d’image JPEG2000 l’Aadhaar, à plus d’un milliard de résidents. La photographie, les empreintes digitales et l’iris de de la plus chaque résident sont captés avant la délivrance d’un Aadhaar. Il s’agit Norme importante base de format de données biométriques multimodale du monde. En résultat de la mise en œuvre ISO 19794 - 5 d’échange de de ce système, données près de la totalité de la population possède aujourd’hui une identité numérique. En 2009, l’UIDAI a mis en place un Comité de normalisation biométrique chargé de fixer leNormecap end’interface matière de normes ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) biométriques, proposer des bonnes pratiques et recommander des procédures biométriques pour le système. Le comité a recommandé la série ISO/IEC 19794 (parties 1, 2, 4, 5 et 6) et la norme ISO/IEC 19785 pour encadrer les formats d’échange Empreintes Norme d’image de données biométriques JPEG2000 et instaurer un cadre d’échange biométrique commun permettant digitales de garantir l’interopérabilité. Le comité a retenu la norme ISO/IEC 15444 (toutes les parties) pour le système d’encodage (image Norme JPEG 2000) de de format ISO 19794 - 4 l’image du visage, des empreintes digitales et de l’iris. d’échange de données ISO 19794 - 2 Norme d’interface ISO 19785 (CBEFF) En parallèle, l’UIDAI a pour principe de recourir à des logiciels libres, également biométrique utilisés avec suc-ISO 19784 (BioAPI) cès aux États-Unis et en Europe. L´UIDAI a préparé le document en anglais Security Guidelines for Use of Biometric Technology in e-Governance IrisProjects (Lignes directrices Norme d’image pour l´utilisation JPEG2000 de technologie biométriques dans les projets de gouvernement en ligne) en s’appuyant sur les orientations énoncées dans les normes ISO 24745, ISO19792, ISO 24714 NormeetdeISO 24760. L’UIDAI format a également proposé des normes (comité des normes démographiques) concernant ISO 19794 - 6 les attributs d’échange de données saisis lors de l’enregistrement et ensuite utilisés pour l’authentification démographique. En outre, Norme d’interface ISO 19785 (CBEFF) le système Aadhaar recourt largement aux solutions PKI/HSM pour le chiffrement des données biométrique ISO 19784 (BioAPI) pendant la transmission et le stockage et pour protéger l’accès à l’API. Le système Aadhaar ne délivre pas de carte d’identité physique pour l’authentification. Une appli- Documents Carte non cation mobile, mAadhaar, permet le stockage électronique des données démographiques (attri- ISO 7810 intelligente buts relatifs à l´identité, tels que le nom, la date de naissance, etc.), du numéro Aadhaar et de la photographie sous la forme d’un code QR. Les résidents reçoivent également un document ISO 7810 et Carte plastifié sur lequel figurent les données démographiques, la photo et Avec contact le code QR (qui contientISO 7816 intelligente des données chiffrées et signées électroniquement). Le code QR figurant sur ce document papier ou dans l’application mAadhaar sert également dans certains cas à s’authentifier ISO 7810 et Sans contact hors ligne, au ISO 14443 moyen d’une application spécifique. L’authentification au moyen du numéro Aadhaar peut interve- nir dans l’un ou plusieurs des modes ci-dessous, avec des réponses oui/non : ICAO9303 Format lisible (ISO 7501) par la machine • Authentification démographique. • Authentification biométrique. • Signature Authentification ponctuelle PIN. de signature numérique – sur mobile avecNorme FIPS 186-4 numérique Génération, vérification • L’authentification multifacteurs est une combinaison de deux ou trois des facteurs ci-dessus. RSA – Algorithme RFC 3447 RSA Source : site Internet de l’UIDAI et recommandations du Comité de normalisation biométrique 2009. de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-2) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ 20 Voir note d’aide au choix INDE CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG2000 Norme de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image JPEG2000 digitales Norme de format ISO 19794 - 4 d’échange de données ISO 19794 - 2 Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG2000 Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7810 et ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-2) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ Voir note d’aide au choix 21 MALAWI CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Exemple 3: Malawi – Biométrie et carte intelligente Normes en place la couverture Le Malawi a récemment misBiométrie population universelle de sa Norme Visage adulte, en déli- d’image JPEG2000 vrant une carte d’identité nationale biométrique à 9 millions de personnes. L’opération s’est dérou- lée sous la supervision du Bureau national de l’enregistrement (NRB),Normerelevant du ministère des de format Affaires intérieures et de la Sécurité nationale. Seuls les Malawiens de 16 ans deoudonnées ISO 19794 - 5 plus reçoivent d’échange une carte d’identité nationale. Ceux de moins de 16 ans ont droit à un certificat de naissance national. La carte d’identité elle-même est particulièrement avancée. Le Norme d’interface processus ISO 19785 (CBEFF) d’enregistre- biométrique ISO 19784 (BioAPI) ment permet la saisie de dix empreintes digitales, d’une photographie numérique et d’une signa- ture électronique. La délivrance d’une carte d’identité intelligente unique intervient à la suite d’un Empreintes Norme WSQ exercice de déduplication biométrique. La carte d’identité est conforme auxd’image normes OACI 9303 et ISO 7816, et intègre sept éléments de sécurité digitales pour empêcher la falsification. Elle contient également un code QR. Norme de format ISO 19794 - 4 d’échange de données ISO 19794 - 2 L’applet Identity de l’OACI permettra aux titulaires de cette carte de s’enNormeservir pour emprunter d’interface ISO 19785 (CBEFF) biométrique d’accéder aux tous les vols intérieurs. Dans les aéroports, des lecteurs de cartes permettront ISO 19784 (BioAPI) données et de vérifier l’identité du titulaire. La carte possède également un certificat numérique, délivré par le Bureau national de l’enregistrement. Iris De la même manière, l’applet e-Health lui Norme d’image JPEG/JPEG2000/PNG permettra de faire office de carte d’assurance maladie virtuelle (conforme à la norme européenne Voir note d’aide au choix CWA15974), de sorte que les bureaux de santé pourront l’utiliser pour vérifier Norme de format du titulaire l’identité et lui rendre les services auxquels il a droit. Cependant, si la carte d’identité nationale possède laISO 19794 - 6 d’échange de données capacité de faire office de carte d’assurance maladie, le ministère de la Santé n’a pas encore pris ISO 19785 (CBEFF) la décision qui lui permettra d’être utilisée à cet effet. Le cas échéant, Norme d’interface ne seraient les Malawiens biométrique ISO 19784 (BioAPI) plus obligés de détenir une carte d’assurance maladie séparée, la carte d’identité nationale incor- porant les principaux éléments de ce type de carte, en conformité avec les normes internationales observées par les pays européens, la Nouvelle-Zélande et l’Australie. L’applet KPI (infrastructure Documents Carte non à clés publiques) donne aux pouvoirs publics les moyens de faire de cette carte le socle sur lequel ISO 7810 intelligente déployer, par exemple, un programme d’inclusion financière ou de protection sociale et de vérifier l’identité des bénéficiaires. Pour terminer, l’applet e-Driver’s License est capable de vérifier si le Carte Avec contact ISO 7810 et titulaire possède le permis de conduire. ISO 7816 intelligente Sans contact ISO 7810 et Source : Tariq Malik, Malawi’s Journey Towards Transformation: Lessons from its National ID Project, Center ISO 14443 for Global Development (2018). Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ 22 Voir note d’aide au choix MALAWI CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG2000 Norme de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image WSQ digitales Norme de format ISO 19794 - 4 d’échange de données ISO 19794 - 2 Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG/JPEG2000/PNG Voir note d’aide au choix Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7810 et ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ Voir note d’aide au choix 23 PAKISTAN CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4  ID intelligente au Pakistan – Exemple 4: e Biométrie et carte intelligente Normes Biométrie Visage Norme d’image JPEG Avec plus de 121 millions de cartes d’identité délivrées, le NADRA, le service pakistanais en charge de la base de données nationale et de l’enregistrement, a enregistré Norme de% 98 de la population format ISO 19794 - 5 d’échange de données adulte de plus de 18 ans du pays. La carte d’identité pakistanaise a progressivement évolué au fil des années. C’est aujourd’hui une carte d’identité électronique intelligente, qui contient plusieurs Norme d’interface ISO 19785 (CBEFF) attributs permettant de répondre aux enjeux d’un monde numérique et connecté. Le NADRA ISO biométrique a 19784 (BioAPI) conçu sa carte pour répondre également aux besoins des Pakistanais expatriés. En résultat, sa carte d’identité électronique intelligente destinée aux Pakistanais deNorme Empreintes l’étranger, d’image la NICOP, est WSQ conforme à la norme OACI 9303, partie 3, volume 1, ainsi digitales qu’à la norme ISO 7816-4. Une carte NICOP conforme aux normes de l’OACI est acceptée comme carte d’identité numérique dans Norme de format tous les aéroports internationaux et aux points d’entrée et de sortie dud’échange territoire. ISO 19794 - 2 de données Normeà d’interface ISO 19785 (CBEFF) Le NADRA a également pour ligne directrice ou pour principe de recourir des logiciels libres biométrique ISO 19784 (BioAPI) pour le développement des applications. Les données démographiques et les données biomé- triques sont utilisées en parallèle pour améliorer le processus de déduplication. Les services du NADRA en charge de la gestion de la qualité et de Irisla production des Norme cartesd’image d’identité sont éga- JPEG/JPEG2000/PNG Voir note d’aide au choix lement certifiés ISO 9001:2000. La carte d’identité électronique intelligente intègre 20 éléments Norme de sécurité apparents ou dissimulés pour éviter la falsification. Le verso de format comporte également unISO 19794 - 6 d’échange de données code QR et une zone à lecture automatique. Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Source : analyse de l’auteur. Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-2) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ 24 Voir note d’aide au choix PAKISTAN CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG Norme de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image WSQ digitales Norme de format ISO 19794 - 2 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG/JPEG2000/PNG Voir note d’aide au choix Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-2) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 Deux dimensions Code QR Fédération NON APPLICABLE / OIDC +OAuth / SAML NON ADOPTÉ Voir note d’aide au choix 25 PÉROU CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Exemple 5: Carte d’identité électronique avec certificat numérique au Pérou Normes Biométrie Visage Norme d’image JPEG2000 La carte d’identité nationale électronique péruvienne (DNIe) est délivrée par le Registre natio- Norme de dont nal de l'identification et de l'état civil (RENIEC). Le RENIEC, entité autonome formatles fonctions ISO 19794 - 5 d’échange concernent l’état civil, l’identification et les signatures numériques, a délivré de données 30 millions de cartes d’identité électroniques à la quasi-totalité de la population du pays. Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) La carte d’identité électronique donne aux Péruviens une identité numérique qui peut être authentifiée de façon physique et virtuelle. Cette certificats carte intègre deux Norme Empreintes numériques qui d’image JPEG/JPEG2000/PNG/WSQ permettent au titulaire de signer des documents électroniques digitales avec la même valeur probante Voir note d’aide au choix qu’une signature manuscrite. La carte d’identité électronique péruvienne est conforme Norme de format à la norme ISO/IEC-7816, et son système biométrique à la norme ISO/IEC 19794. Également d’échange à 19794 - 2 conforme ISO de données la norme OACI 9303, la carte sert aussi de document de voyage à lecture automatique (MRTD). Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Source : entretien avec un représentant du RENIEC. Iris Norme d’image JPEG/JPEG2000/PNG Voir note d’aide au choix Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7810 et ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 PDF417 / Code QR Deux dimensions Voir note d’aide au choix Fédération NON APPLICABLE / NON ADOPTÉ OIDC 26 PÉROU CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4 Normes Biométrie Visage Norme d’image JPEG2000 Norme de format ISO 19794 - 5 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Empreintes Norme d’image JPEG/JPEG2000/PNG/WSQ Voir note d’aide au choix digitales Norme de format ISO 19794 - 2 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Iris Norme d’image JPEG/JPEG2000/PNG Voir note d’aide au choix Norme de format ISO 19794 - 6 d’échange de données Norme d’interface ISO 19785 (CBEFF) biométrique ISO 19784 (BioAPI) Documents Carte non ISO 7810 intelligente Carte Avec contact ISO 7810 et ISO 7816 intelligente Sans contact ISO 7810 et ISO 14443 Format lisible ICAO9303 (ISO 7501) par la machine Signature Norme de signature numérique – FIPS 186-4 numérique Génération, vérification RSA – Algorithme RFC 3447 RSA de signature numérique (PKCS #1) FIPS PUB 180-4 Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.) Norme de sécurité pour FIPS 140-2 modules cryptographiques Norme de certificat ITU-T X.509 | ISO/IEC 9594-8 de clés publiques Signature numérique XML W3C/ETSI XAdES Code barres Une dimension ISO/IEC 15417 PDF417 / Code QR Deux dimensions Voir note d’aide au choix Fédération NON APPLICABLE / NON ADOPTÉ OIDC 27 7. CONCLUSION L’application de normes adéquates est déterminante pour être la solution à privilégier. Il faudra alors s’assurer exploiter tout le potentiel l’identité numérique et pour pro- qu’elle ne débouche pas sur la dépendance à un seul mouvoir la mise en œuvre d’une plateforme d’identité fournisseur, en sélectionnant pour le système des numérique qui soit interopérable, modulable, sûre et effi- composants qui prennent en charge des normes API ciente pour assurer la prestation des services. En l’absence ouvertes et permettent d’accéder aux données sys- de normes, il sera difficile de mettre en place des systèmes tème dans des formats PDF ouverts (voir les normes transversaux qui soient interopérables. Face au foison- sémantiques ci-dessous). Cette approche permettra nement des normes, il est primordial de savoir lesquelles également d’intégrer ou de supprimer des éléments adopter. La plupart des organismes normalisateurs char- du système à mesure que les fournisseurs changent gés de mettre au point l’inscription biométrique, l’authenti- ou que de nouvelles solutions plus efficientes se fication, la délivrance et la gestion de l’identité participent présentent. En outre, pour certaines fonctions d’un aux comités techniques et aux groupes de travail de l’ISO, système d’identification autonomes et ne devant pas ce qui contribue grandement à l’acceptation des normes nécessairement être interopérables, comme la dédu- établies. Cependant, comme le montrent les exemples de plication, on pourra privilégier le recours à une solu- pays présentés plus haut, le choix précis des normes appli- tion fermée, en supposant que la dépendance à un cables dépendra de la finalité, du champ d’application et de seul fournisseur ne pose pas de problème. la fonction du système d’identification national, ainsi que 2. Les normes techniques ne suffisent pas à du budget que les autorités sont disposées à consacrer elles seules. Lors de la mise au point d’un sys- à ces systèmes. Dans certains pays, la carte d’identité a tème d’identification, outre l’application de normes des fonctions multiples, et peut servir notamment de per- techniques ouvertes, il importe également de tenir mis de conduire, document de voyage et carte d’assurance compte de normes sémantiques si l’on veut facili- maladie. Ce type de carte devra dès lors se conformer aux ter l’interopérabilité. Les normes sémantiques défi- normes exigées par chaque fonction. Voir, par exemple, le nissent les formats de données et les métadonnées cas du Malawi au chapitre 6. pour les attributs d’identité comme le nom et la date de naissance (par exemple, le nombre de caractères Pour résumer, il est important de tenir compte de plusieurs autorisé pour un nom, l’ordre à respecter pour ren- considérations lors de la mise au point d’un système seigner le prénom, le deuxième prénom et le nom d’identification et de l’application de normes : ou le format de la date ou la date de naissance (mm/jj/aaaa ou jj/mm/aa). Leur but est de facili- 1. Utiliser des normes ouvertes si possible. Le ter l’échange interopérable des données entre les recours à des normes ouvertes peut aider à garantir systèmes. De plus, outre les normes techniques la fiabilité, l’interopérabilité et la neutralité technolo- et sémantiques, de nombreux autres aspects sont gique d’un système d’identification. Il importe cepen- à prendre en compte lors de la mise au point d'un dant de se demander au préalable si la norme ouverte système d’identification fiable, viable et inclusif. L’ini- est largement utilisée sur le marché. La désaffection tiative ID4D a élaboré un éventail d’outils, dont un du marché pour certaines normes ouvertes peut tra- modèle permettant de chiffrer le coût d’un système duire un problème de performance ou autre auquel il d’identification notamment, capables d’aider à bien convient de réfléchir. Si une norme n’est pas large- réfléchir à la conception d’un système. Un guide ment utilisée, il pourra alors se révéler difficile d’as- opérationnel prochainement publié sur le site de surer la mise en concurrence au moment de retenir l’initiative ID4D (id4d.worldbank.org) présentera un un produit ou une solution potentiel. Une évaluation résumé de ces outils. complète des besoins est indispensable avant de 3. Se tourner vers l’avenir. Les normes ne sont pas sélectionner les composantes de la solution. Lors- statiques. Elles évoluent dans le temps, à mesure qu’une solution innovante est recherchée, le mar- que de nouvelles technologies émergent. Il est dès ché peut ne pas avoir adopté largement les normes lors important de se tenir au courant des technologies applicables, si la solution est conçue pour répondre émergentes et des nouvelles normes applicables à des besoins ou à des enjeux particuliers notam- aux systèmes d’identification. Il importe également ment. De la même manière, dans les applications de d’en tenir compte en mettant au point un système niche, les forces du marché ne donneront qu’à une d’identification, de manière à ne pas investir dans un poignée de fournisseurs les moyens d’exister. Dans système risquant de devenir rapidement obsolète ou certaines situations, une solution fermée pourra éga- de se révéler coûteux à optimiser au fur et à mesure lement offrir de meilleurs résultats qu’une norme de l’émergence de nouvelles technologies. ouverte. Dans ce cas, la solution fermée pourra 28 BIBLIOGRAPHIE Ashiq, J. A. The eIDAS Agenda: Innovation, Interoper- IEEE. What Are Standards? Why Are They Impor- ability and Transparency. Cryptomathic, consulté le tant? IEEE, 2011. http://standardsinsight.com/ 18 mars 2016. ieee_company_detail/what-are-standards-why-are- they-important. Banque mondiale. Digital Identity: Towards Shared Principles for Public and Private Sector Cooperation. PIRA. The Future of Personal ID to 2019. Smithers PIRA ID4D. 2016. International, 6 juin 2014. Banque mondiale. Technology Landscape for Digital Iden- Règlement (UE) n° 910/2014 du Parlement européen et tification. ID4D. 2018). du Conseil du 23 juillet 2014 sur l’identification électro- nique et les services de confiance pour les transactions ENISA. Mobile ID Management. European Network and électroniques au sein du marché intérieur et abrogeant Information Security Agency, consulté le 11 avril 2016. la directive 1999/93/CE. Europa.eu. Règlements, directives et autres actes législa- Turner, Dawn M. eIDAS from Directive to Regulation— tifs. Union européenne, consulté le 18 mars 2016. Legal Aspects. Cryptomathic, consulté le 18 mars 2016. Fumy, Walter, et Manfred Paeschke. Handbook of eID Turner, Dawn M. Understanding Major Terms Around Digi- Security: Concepts, Practical Experiences, Technolo- tal Signatures. Cryptomathic, consulté le 18 mars 2016. gies. John Wiley & Sons, 13 décembre 2010. UIT. Biometrics and Standards. Secteur de la normali- Gelb, Alan, et Julia Clark. Identification for Develop- sation des télécommunications, Union internationale ment: The Biometrics Revolution. Working Paper, des télécommunications, consulté le 11 avril 2016. Washington, DC: Center for Global Development, 2013. UIT. Biometric Standards: ITU-T Technology Watch Gomes de Andrade, Norberto Nuno, Shara Monteleone, Report. Union internationale des télécommunications, et Aaron Martin. Electronic Identity in Europe: Legal décembre 2009. Challenges and Future Perspectives (eID 2020). Centre commun de recherche, Commission européenne, 2013. van Zijp, Jacques. Is the EU Ready for eIDAS? Secure Identity Alliance, consulté le 18 march 2016. GSMA et SIA. Mobile Identity—Unlocking the Potential of the Digital Economy. Groupe Spécial Mobile Associa- Williams-Grut, Oscar. « Estonia wants to become a ‘coun- tion (GSMA) et Secure Identity Alliance, octobre 2014. try as a service’. » Business Insider, 2016. 29 ANNEXE A COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT Comités techniques et groupes de travail 1. ISO/IEC JTC 1/SC 37 : Biométrie de l’ISO 2. ISO/IEC JTC 1/SC 27 : Techniques de sécurité des L’ISO a créé des comité techniques, sous-comités et technologies de l’information groupes de travail en communication permanente avec 3. ISO/IEC JTC 1/SC 17 : Identification des cartes et d’autres organisations nationales et internationales, ainsi des personnes qu’avec les consortiums d’entreprises prenant part à l’exa- 4. ISO/IEC JTC 1/SC 6 : Télécommunications et men ou à la définition des normes. L’ISO et la Commis- échange d’informations entre les systèmes (normes sion électrotechnique internationale ont formé un comité sur la signature numérique / PKI) technique mixte, dénommé ISO/IEC JTC 1, pour assurer partout dans le monde une approche globale de l’élabo- ration et de l’approbation de normes biométriques inter- Ces sous-comités travaillent avec d’autres sous- nationales. Au sein du JTC 1, les sous-comités 37, 27 comités au sein de l’ISO (comités de liaison), ainsi qu’avec et 17 concernent tous les pays qui prévoient d’instaurer des organisations externes (organisations en liaison), un système d’identité numérique. Les sous-comités se dont certaines prennent part à l’élaboration de normes répartissent en divers groupes de travail, chargés d’élabo- connexes. Le tableau ci-dessous indique le rôle, le champ rer et d’actualiser les normes propres au cycle de vie de d’action et le mandat des sous-comités techniques et de l’identité numérique : leurs groupes de travail. 30 FIGURE 6 ISO/IEC JTC 1 : Sous-comités et groupes de travail en charge de la gestion de l’identité Comité technique mixte ISO/IEC JTC 1 Sous-comité Sous-comité Sous-comité Sous-comité ISO/IEC JTC 1/SC 17 ISO/IEC JTC 1/SC 6 ISO/IEC JTC 1/SC 37 ISO/IEC JTC 1/SC 27 Identification des cartes Biométrie Techniques de sécurité et des personnes ISO/IEC JTC 1/SC 37/WG 1 ISO/IEC JTC 1/SC 27/SWG-M ISO/IEC JTC 1/SC 17/WG 1 ISO/IEC JTC 1/SC 6/WG 1 Vocabulaire biométrique Gestion Caractéristiques physiques Couches physiques harmonisé et méthodes d’essai pour et couches de liens les cartes d’identification de données ISO/IEC JTC 1/SC 37/WG 2 ISO/IEC JTC 1/SC 27/SWG-T ISO/IEC JTC 1/SC 17/WG 3 ISO/IEC JTC 1/SC 6/WG 7 Interfaces techniques Éléments transversaux Cartes d'identification – Réseau, transport biométriques Documents de voyage et futur réseau lisibles par machine ISO/IEC JTC 1/SC 37/WG 3 ISO/IEC JTC 1/SC 27/WG 1 ISO/IEC JTC 1/SC 17/WG 4 ISO/IEC JTC 1/SC 6/WG 10 Formats d’échange de Systèmes de gestion de la Cartes avec circuit intégré Répertoire, ASN.1 données biométriques sécurité de l’information et enregistrement ISO/IEC JTC 1/SC 37/WG 4 ISO/IEC JTC 1/SC 27/WG 2 ISO/IEC JTC 1/SC 17/WG 5 Mise en œuvre technique Cryptographie et mécanismes Comité de gestion des systèmes biométriques de sécurité pour l’enregistrement ISO/IEC JTC 1/SC 37/WG 5 ISO/IEC JTC 1/SC 27/WG 3 ISO/IEC JTC 1/SC 17/WG 8 Essais biométriques Évaluation de la sécurité, Cartes avec circuit et rapports d’essais associés essais et spécifications intégré sans contact ISO/IEC JTC 1/SC 37/WG 6 ISO/IEC JTC 1/SC 27/WG 4 ISO/IEC JTC 1/SC 17/WG 9 Aspects transjuridictionnels Contrôles et services Cartes et appareils et sociétaux de la biométrie de sécurité à mémoire optique ISO/IEC JTC 1/SC 27/WG 5 ISO/IEC JTC 1/SC 17/WG 10 Gestion d'identité Permis de conduire et technologies pour véhicule à moteur de domaine privé et documents associés ISO/IEC JTC 1/SC 17/WG 11 Application de la biométrie Source : analyse de l’auteur. aux cartes et à l’identification des personnes 31 Sous-comités / Groupes de travail Domaine de travail Description ISO/IEC JTC 1/SC 37 Normalisation des technologies biométriques génériques Cadres de fichiers communs, interfaces de programmation Biométrie concernant les êtres humains pour faciliter l’interopérabilité et d’applications biométriques (BioAPI), formats d’échange de l’échange de données parmi les applications et les systèmes. données biométriques, profils biométriques connexes, application de critères d’évaluation aux technologies biométriques, métho- dologies concernant les essais de performance et les rapports d’essais associés et les aspects transjuridictionnels et sociétaux. ISO/IEC JTC 1/SC 37/WG 1 Vocabulaire biométrique harmonisé   ISO/IEC JTC 1/SC 37/WG 2 Interfaces techniques biométriques   ISO/IEC JTC 1/SC 37/WG 3 Formats d’échange de données biométriques   ISO/IEC JTC 1/SC 37/WG 4 Mise en œuvre technique des systèmes biométriques   ISO/IEC JTC 1/SC 37/WG 5 Essais biométriques et rapports d’essais associés   ISO/IEC JTC 1/SC 37/WG 6 Aspects transjuridictionnels et sociétaux de la biométrie ISO/IEC JTC 1/SC 27 IT Élaboration de normes pour la protection de l’information et Élaboration de normes internationales, rapports techniques et Techniques de sécurité des technologies de l’information et des communications (TIC). cahiers des charges techniques dans le domaine de la sécurité Le domaine de travail englobe les méthodes, techniques et de l’information et des technologies de l’information. Les lignes directrices de nature générale destinées à répondre aux activités de normalisation de ce sous-comité comprennent les aspects de sécurité et de protection de la vie privée. 1) Méthode méthodes générales, les impératifs des systèmes de gestion, les pour cerner les impératifs de sécurité ; 2) Gestion de la sécurité techniques et les lignes directrices en vue d’assurer la sécurité et de l’information et des TIC, et notamment les systèmes de la confidentialité de l’information. gestion de la sécurité de l’information, du processus de sécurité, des contrôles et services de sécurité ; 3) Mécanismes de sécu- rité cryptographiques et autres, et notamment, sans pour autant s’y limiter, les mécanismes permettant d’assurer le contrôle, la disponibilité, l’intégrité et la confidentialité des informations ; 4) Documentation d’appui à la gestion de la sécurité, notam- ment la terminologie, les lignes directrices et les procédures d’enregistrement des éléments de sécurité ; 5) Aspects liés à la sécurité de la gestion de l’identité, de la biométrie et de la protection de la vie privée ; 6) Évaluation de la conformité, des impératifs d’accréditation et de contrôle dans le domaine des systèmes de gestion de la sécurité de l’information ; 7) Critères et méthodes pour l’évaluation de la sécurité. ISO/IEC JTC 1/SC 27/SWG-M Gestion   ISO/IEC JTC 1/SC 27/SWG-T Éléments transversaux   ISO/IEC JTC 1/SC 27/WG 1 Systèmes de gestion de la sécurité de l’information   ISO/IEC JTC 1/SC 27/WG 2 Cryptographie et mécanismes de sécurité   ISO/IEC JTC 1/SC 27/WG 3 Évaluation de la sécurité, essais et spécifications   ISO/IEC JTC 1/SC 27/WG 4 Contrôles et services de sécurité   ISO/IEC JTC 1/SC 27/WG 5 Gestion d'identité et technologies de domaine privé   ISO/IEC JTC 1/SC 17 Normalisation concernant les documents d’identification et Élabore et facilite les normes dans le domaine des cartes Identification des cartes documents associés, les cartes et les appareils associés à d’identification et de l’identification des personnes et des personnes leur utilisation dans les applications intersectorielles et l’échange international 32 Sous-comités / Groupes de travail Domaine de travail Description ISO/IEC JTC 1/SC 17/WG 1 Caractéristiques physiques et méthodes d'essais pour   les cartes d'identification ISO/IEC JTC 1/SC 17/WG 3 Cartes d'identification - Documents de voyage lisibles   par machine ISO/IEC JTC 1/SC 17/WG 4 Cartes avec circuit intégré avec contacts   ISO/IEC JTC 1/SC 17/WG 5 Comité de gestion pour l'enregistrement (RMG)   ISO/IEC JTC 1/SC 17/WG 8 Cartes avec circuit intégré sans contact   ISO/IEC JTC 1/SC 17/WG 9 Cartes et appareils à mémoire optique   ISO/IEC JTC 1/SC 17/WG 10 Permis de conduire pour véhicule à moteur   et documents associés ISO/IEC JTC 1/SC 17/WG 11 Application de la biométrie aux cartes et à l'identification   des personnes Source : ISO http://www.iso.org/iso/home.htm. 33 34