Documents de voyage lisibles à la machine

Transcription

1 Doc 9303 Documents de voyage lisibles à la machine Partie 1 Passeports lisibles à la machine Volume 2 Spécifications pour passeports à composant électronique contenant des éléments d identification biométrique Approuvé par le Secrétaire général et publié sous son autorité Sixième édition 2006 Organisation de l aviation civile internationale

2 Page blanche

3 Doc 9303 Documents de voyage lisibles à la machine Partie 1 Passeports lisibles à la machine Volume 2 Spécifications pour passeports à composant électronique contenant des éléments d identification biométrique Approuvé par le Secrétaire général et publié sous son autorité Sixième édition 2006 Organisation de l aviation civile internationale

4 Publié séparément en français, en anglais, en arabe, en espagnol et en russe par l ORGANISATION DE L AVIATION CIVILE INTERNATIONALE 999, rue University, Montréal, Québec, Canada H3C 5H7 Les formalités de commande et la liste complète des distributeurs officiels et des librairies dépositaires sont affichées sur le site web de l OACI, à l adresse Première édition, 1980 Deuxième édition, 1990 Troisième édition, 1992 Quatrième édition, 1999 Cinquième édition, 2003 Sixième édition, 2006 Documents de voyage lisibles à la machine Partie 1 Passeports lisibles à la machine Volume 2 Spécifications pour passeports à composant électronique contenant des éléments d identification biométrique N o de commande : 9303P1-2 ISBN OACI 2008 Tous droits réservés. Il est interdit de reproduire, de stocker dans un système de recherche de données ou de transmettre sous quelque forme ou par quelque moyen que ce soit, un passage quelconque de la présente publication, sans avoir obtenu au préalable l autorisation écrite de l Organisation de l aviation civile internationale.

5 AMENDEMENTS La parution des amendements est annoncée dans les suppléments au Catalogue des publications de l OACI. Le Catalogue et ses suppléments sont disponibles sur le site web de l Organisation à l adresse suivante : Le tableau ci-dessous est destiné à rappeler les divers amendements. INSCRIPTION DES AMENDEMENTS ET DES RECTIFICATIFS AMENDEMENTS RECTIFICATIFS N o Date Inséré par N o Date Inséré par Les appellations employées dans cette publication et la présentation des éléments qui y figurent n impliquent de la part de l OACI aucune prise de position quant au statut juridique des pays, territoires, villes ou zones, ou de leurs autorités, ni quant au tracé de leurs frontières ou limites. III

6 Page blanche

7 TABLE DES MATIÈRES I. Introduction... I-1 II. Déploiement de l identification biométrique et stockage électronique II. de données dans le passeport lisible à la machine (PLM)... II-1 1. Portée... II-1 2. Passeport électronique... II-1 3. Indication visuelle désignant un PLM comme un passeport électronique... II-2 4. Identification biométrique... II-3 5. Considérations essentielles... II-4 6. Définitions et termes... II-5 7. Les processus clés en matière de biométrie... II-9 8. Applications d une solution biométrique... II-9 9. Contraintes liées aux technologies biométriques... II Vision de l OACI en matière de biométrie... II Sélection des éléments biométriques applicables aux passeports électroniques... II Éléments biométriques supplémentaires facultatifs... II Stockage, compression et recadrage de l image... II Stockage de données biométriques et autres dans un format logique sur un circuit intégré (CI) sans contact... II Mise en place du CI sans contact dans le PLM... II Processus de lecture des passeports électroniques... II Protection des données stockées dans le CI sans contact... II-19 III. Structure de données logique (SDL) pour la technologie de stockage de III. données sur un circuit intégré (CI) sans contact... III-1 1. Portée... III-1 2. Références normatives... III-1 3. Définitions... III-4 4. Nécessité d une structure de données logique... III-4 5. Exigences de la structure de données logique... III-5 6. Éléments de données obligatoires ou optionnels... III-5 7. Ordonnancement et groupement des éléments de données... III-7 8. Groupes de données encodés pour confirmation de l authenticité et de l intégrité des données... III-8 9. Groupes de données enregistrés par l État émetteur ou l organisation émettrice... III Éléments de données formant les groupes de données 1 à III Groupes de données enregistrés par un État récepteur ou un organisme récepteur agréé... III Format des éléments de données... III Principes de sécurisation... III Principes de mappage pour la technologie d expansion de capacité avec CI sans contact... III-28 Page V

8 VI Documents de voyage lisibles à la machine Page Appendice 1 (normatif) à la Section III. Mappage de la SDL utilisant une représentation avec accès aléatoire vers le(s) circuit(s) intégré(s) (CI) sans contact... III-33 IV. Infrastructure à clés publiques (ICP) pour documents de voyage lisibles à la machine (DVLM) offrant l accès en lecture seule à une carte à circuit intégré (CCI)... IV-1 1. Portée... IV-1 2. Présupposés... IV-1 3. Terminologie... IV-2 4. Documentation de référence... IV-4 5. Aperçu général... IV-5 6. Sécurisation des données électroniques dans les DVLM (sommaire)... IV Spécifications... IV Algorithmes... IV Gestion des clés... IV Distribution des certificats et des listes de certificats révoqués (LCR)... IV-22 Appendice 1 (normatif) à la Section IV. Profil de certificat... IV-25 Appendice 2 (normatif) à la Section IV. Profil de listes de certificats révoqués (LCR)... IV-29 Appendice 3 (normatif) à la Section IV. Objet de sécurité du document... IV-31 Appendice 4 (normatif) à la Section IV. Info de clé publique d authentification active... IV-35 Appendice 5 (normatif) à la Section IV. Contrôle d accès de base et messagerie sécurisée... IV-37 Appendice 6 (informatif) à la Section IV. Exemples élaborés... IV-45 Appendice 7 (informatif) à la Section IV. Infrastructure à clés publiques (ICP) et menaces à la sécurité... IV-57

9 SECTION I INTRODUCTION Les spécifications énoncées dans ce volume du Doc 9303, Partie 1, sont l aboutissement d un travail de plusieurs années, entrepris en 1998, pour réaliser une étude systématique des techniques biométriques et de leur potentiel d améliorer la confirmation d identité avec les passeports et autres documents de voyage, et pour élaborer ensuite des spécifications techniques relatives à l intégration d éléments d identification biométrique dans les documents de voyage lisibles à la machine (DVLM, en anglais MRTD). Ces travaux ont été menés en majeure partie par le Groupe de travail des technologies nouvelles (NTWG) du Groupe consultatif technique sur les documents de voyage lisibles à la machine (TAG/MRTD). La première étape a consisté à identifier «la technologie biométrique appropriée» à utiliser dans ou avec les documents de voyage ; pour ce faire, les besoins propres à l émission et à l inspection de documents de voyage ont été identifiés, après quoi la compatibilité de chaque élément biométrique avec ces besoins a été mesurée. En bref, les besoins identifiés concernaient : la compatibilité avec les exigences de la procédure d émission et de renouvellement des documents de voyage ; la compatibilité avec les exigences de vérification de l identité assistée par ordinateur dans les processus de délivrance et d inspection ; la redondance ; la perception par le public mondial de la biométrie et de ses procédés de capture ; les exigences de stockage ; et la performance. Lors de l évaluation par rapport à tous ces critères, c est le visage qui a obtenu la plus haute appréciation en matière de compatibilité, tandis que le doigt et l iris venaient à égalité en deuxième place. C est donc le visage qui a été recommandé comme élément biométrique principal, tandis que les empreintes digitales et oculaires ont été recommandées comme éléments biométriques secondaires, à utiliser à la discrétion de l État émetteur du passeport. L objet de l étape suivante était d identifier un support approprié pour le stockage électronique des données sur le document. Le support choisi devait offrir un espace de stockage de données suffisant pour des images faciales et éventuellement d autres éléments biométriques, l idée d utiliser des gabarits ayant été abandonnée étant donné que les gabarits et leurs lecteurs n étaient pas normalisés internationalement. La technologie devait être non propriétaire, disponible dans le domaine public dans le monde entier, pour permettre l interopérabilité à l échelle mondiale, et elle devait être utilisable dans des documents de type livret, faits de papier et de tissu. La facilité d emploi, sans nécessité d introduire le document dans un dispositif de lecture, était aussi un facteur. La technologie qui répondait à tous ces besoins étant le circuit intégré (CI) sans contact, il a été décidé après plus ample étude que, des deux options normalisées par l ISO, c est le type «proximité» (ISO/IEC 14443) qui devrait être spécifié. Il s agissait ensuite de spécifier une «structure de données logique» normalisée pour programmer la puce, pour faire en sorte que les puces électroniques programmées dans un pays puissent être lues dans tout autre pays. Finalement, en raison des possibilités de superposition d autres données aux données inscrites sur une puce, un mécanisme d infrastructure à clés publiques (ICP) était nécessaire, pour assurer au lecteur de la puce que les données y ont été placées par l émetteur autorisé et n ont été aucunement altérées. C est ainsi qu un groupe spécialisé au sein du groupe NTWG a élaboré des spécifications relatives à une ICP expressément applicable à l émission et à l inspection de documents de voyage. En 2003, le groupe TAG/MRTD a officiellement présenté à l OACI une recommandation en quatre parties. L image faciale, comme portrait en haute résolution stocké sur un CI sans contact, en conformité avec la norme ISO/IEC 14443, devait être l élément biométrique normalisé à l échelle mondiale. I-1

10 I-2 Documents de voyage lisibles à la machine Les empreintes digitales et l iris, stockés comme images dans les deux cas, étaient également pris en charge, comme éléments biométriques secondaires. Les éléments biométriques, une reproduction des données de la zone de lecture automatique (ZLA) et un large éventail d autres options en matière de données devaient être stockés sur le CI en respectant la structure de données logique, et être sécurisés contre l altération non autorisée au moyen d une infrastructure à clés publiques (ICP) spécialement mise au point. Cette recommandation a été acceptée et entérinée comme plan directeur de l OACI. Le présent volume formalise cette décision, en énonçant des spécifications détaillées dans les sections qui suivent. La Section II sur le déploiement de la biométrie définit la méthode de capture et d utilisation des éléments biométriques, ainsi que les exigences du CI sans contact utilisé pour le stockage des données. La Section III sur la structure de données logique définit les modalités du stockage des données sur le CI. La Section IV relative à l infrastructure à clés publiques définit le système et la marche à suivre pour sécuriser les données sur le CI, et comprend une recommandation portant sur le contrôle d accès de base, qui permet de restreindre de façon appropriée l accès aux données.

11 SECTION II DÉPLOIEMENT DE L IDENTIFICATION BIOMÉTRIQUE ET STOCKAGE ÉLECTRONIQUE DE DONNÉES DANS LE PASSEPORT LISIBLE À LA MACHINE (PLM) 1. Portée 1.1 La Section II définit les spécifications, complémentaires aux spécifications de base relatives au passeport lisible à la machine (PLM) énoncées dans le Doc 9303, Partie 1, Volume 1, à utiliser par les États qui décident d émettre un PLM doté de fonctions électroniques (passeport électronique), utilisable par tout État récepteur convenablement équipé pour lire, à partir de ce document, une quantité grandement accrue de données relatives au PLM lui-même et à son titulaire. Ceci comprend des données biométriques obligatoires, interopérables à l échelle mondiale et utilisables comme entrées dans des systèmes de reconnaissance faciale, et, facultativement, des données utilisables dans des systèmes de reconnaissance d empreintes digitales ou de l iris. Les spécifications exigent que les données biométriques interopérables à l échelle mondiale soient stockées sous la forme d images à haute résolution sur un circuit intégré (CI) sans contact de haute capacité, portant aussi une reproduction encodée des données de la zone de lecture automatique (ZLA). Les spécifications autorisent, de plus, le stockage de diverses données optionnelles, à la discrétion de l État émetteur. Note relative au Supplément. L OACI publiera de temps à autre un «Supplément au Doc 9303, Partie 1», se rapportant au présent document normatif. Ce supplément contiendra des informations destinées à apporter des éclaircissements ou de plus amples précisions ou développements sur des questions touchant aux normes relatives aux documents de voyage, ainsi qu à corriger les erreurs qui ressortent des expériences de mise en œuvre. Il s agit d étoffer par les informations fournies dans le supplément les éléments d orientation figurant dans le Doc 9303 ainsi que dans les rapports techniques publiés par l OACI. Le supplément sera publié de façon suivie. Les spécifications du Doc 9303 devraient toujours être lues conjointement avec les renseignements complémentaires publiés dans la dernière édition du Supplément, qui sera mise en ligne sur le site web de l OACI 2. Passeport électronique 2.1 Conformité aux spécifications du Doc 9303, Partie 1, Volume 1. Un PLM doté de fonctions électroniques (passeport électronique) doit être conforme à tous égards aux spécifications énoncées dans le Doc 9303, Partie 1, Volume 1, ainsi qu à celles qui sont énoncées dans le présent volume. 2.2 Période de validité d un passeport électronique. La période de validité d un passeport électronique est à la discrétion de l État émetteur ; toutefois, eu égard à la durabilité limitée des documents et à l évolution de l apparence physique du détenteur du passeport au fil du temps, il est recommandé II-1

12 II-2 Documents de voyage lisibles à la machine qu elle ne soit pas supérieure à dix ans. Les États pourront envisager une période plus courte pour permettre la mise à niveau progressive du passeport électronique, à mesure de l évolution de la technologie. 2.3 Le Doc 9303, Partie 1, Volume 2, se concentre sur les éléments biométriques en rapport avec les passeports lisibles à la machine ; pour plus de simplicité, le terme «passeport électronique» est utilisé pour désigner des passeports à fonctions biométriques, interopérables à l échelle mondiale. Un PLM non conforme aux spécifications énoncées dans le présent volume ne peut pas être appelé passeport électronique et ne doit pas porter le logo du passeport électronique. 3. Indication visuelle désignant un PLM comme passeport électronique 3.1 Tous les passeports électroniques porteront le symbole suivant (Figure II-1) : Figure II-1 Un fichier électronique de ce symbole est disponible sur le site web de l OACI. Le symbole ne peut figurer que sur un PLM qui contient une micropuce sans contact, d une capacité de stockage de données d au moins 32 kb, encodée en accord avec la structure de données logique (Section III du présent volume) avec, au minimum, les renseignements de la ZLA dans le groupe de données 1 et une image faciale, comme spécifié dans la présente section, dans le groupe de données 2, toutes les données inscrites étant sécurisées par une signature numérique, comme spécifié dans la Section IV du présent volume. Un passeport ne peut pas être désigné comme passeport électronique, ni porter le symbole du passeport électronique, s il ne répond pas à ces exigences minimales. Le symbole figurera sur la couverture avant du passeport électronique, près du bord supérieur ou du bord inférieur. L image représentée ci-dessus est un positif, ce qui signifie que la partie noire de l image est celle qui doit être imprimée ou autrement reproduite. Le symbole sera inséré dans l estampage métallisé ou autre image figurant sur la couverture avant. Il est recommandé de l imprimer aussi sur la page de renseignements, dans une couleur appropriée et à un endroit qui ne gênera pas la lecture d autres données. L État émetteur peut aussi imprimer ce symbole sur la page intérieure ou la face intérieure de couverture du passeport électronique qui contient le CI sans contact et, à la discrétion de l État, ailleurs dans le passeport électronique. 3.2 La Figure II-2 montre les dimensions recommandées du symbole tel qu il doit figurer sur la couverture ou la page de renseignements d un passeport électronique. 3.3 Il est recommandé d employer une taille plus petite, de 4,2 7,2 mm (0,17 0,28 in), avec mise à l échelle proportionnelle, sur les passeports électroniques sous forme de carte de format ID Le symbole peut être mis à l échelle proportionnellement pour être utilisé, par exemple, dans le motif de fond des pages du passeport électronique ou sur des panneaux de signalisation.

13 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-3 Les dimensions correspondantes en pouces sont les suivantes : 9,0 mm (0,35 in), 5,25 mm (0,21 in), 3,75 mm (0,15 in), 2,25 mm (0,09 in) et 0,75 mm (0,03 in). 9 mm 3,75 mm 2,25 mm 2,25 mm 2,25 mm 0,75 mm 5,25 mm Figure II Avertissement de manipuler avec soin. Il est suggéré qu un avertissement invitant instamment le détenteur d un passeport électronique à prendre soin de ce document soit placé dans le livret, à un endroit bien visible. Le libellé pourrait être : «Ce passeport contient des éléments électroniques sensibles. Pour une performance optimale, ne pas plier, perforer ni exposer à des températures extrêmes ou à une humidité excessive.» De plus, l État émetteur pourra faire figurer sur la partie de la page contenant le CI, et sur les parties correspondantes de pages adjacentes, la mise en garde : «Ne pas apposer de cachet à cet endroit». 4. Identification biométrique 4.1 Le terme «identification biométrique» est un terme générique employé pour décrire des moyens informatisés de reconnaissance d une personne vivante qui utilisent la mesure de caractéristiques physiques ou comportementales distinctives. 4.2 Un «gabarit biométrique», représentation de caractéristiques distinctives par une suite numérique créée au moyen d un algorithme de codage, permet de procéder à des comparaisons pour établir un score du degré de confiance avec lequel des enregistrements des caractéristiques créés séparément identifient (ou n identifient pas) la même personne. En général, un gabarit biométrique est de relativement petite taille en données ; toutefois, chaque fabricant de système biométrique utilise un format de gabarit unique et les gabarits ne sont pas interchangeables d un système à un autre.

14 II-4 Documents de voyage lisibles à la machine 4.3 Le Doc 9303 n envisage que trois types de systèmes d identification biométrique, basés sur des caractéristiques physiques : reconnaissance faciale (obligatoire) empreinte digitale (optionnel) reconnaissance de l iris (optionnel) Une norme internationale, ISO/IEC 19794, articulée en plusieurs parties, établit des spécifications pour ces types d identification biométrique. Les États émetteurs doivent se conformer à ces spécifications. 4.4 Terminologie. Les termes suivants sont employés en rapport avec l identification biométrique : «vérifier» signifie procéder à une comparaison un-à-un entre des données biométriques présentées, obtenues maintenant du détenteur d un PLM, et un gabarit biométrique créé lorsque le détenteur s est enrôlé dans le système ; «identifier» signifie procéder à une recherche un-à-beaucoup entre des données biométriques présentées et une collection de gabarits représentant tous les sujets qui se sont enrôlés dans le système. 4.5 Des éléments biométriques peuvent être utilisés dans la fonction identification pour améliorer la qualité de la vérification des antécédents effectuée dans le cadre du processus de demande de passeport, visa ou autre document de voyage. Dans la fonction vérification, ils peuvent être utilisés pour établir une correspondance positive entre le document de voyage et la personne qui le présente. 5. Considérations essentielles 5.1 Lorsqu il s agit de spécifier des applications biométriques, les considérations essentielles sont les suivantes : Interopérabilité mondiale nécessité cruciale de spécifier un système de déploiement de la biométrie qui soit interopérable universellement ; Uniformité nécessité de réduire au minimum, par l établissement de normes spécifiques, dans la mesure du possible, les variations entre les différentes solutions susceptibles d être déployées par les États membres ; Fiabilité technique nécessité d établir des lignes directrices et des paramètres qui garantiront le déploiement par les États membres de technologies éprouvées pour assurer un haut niveau de confiance en matière de confirmation d identité, et donner aux États qui lisent des données encodées par d autres États l assurance que les données qui leur sont fournies sont d une qualité et d une intégrité suffisantes pour permettre une vérification précise dans leurs propres systèmes ; Fonctionnalité nécessité de faire en sorte que les spécifications puissent être rendues opérationnelles et mises en œuvre par les États sans qu ils aient à introduire une pléthore de systèmes et d équipements disparates pour répondre à toutes les variations et interprétations possibles des normes ; Durabilité nécessité que les systèmes introduits perdurent pendant toute la durée de vie maximale d un document de voyage, qui est de dix ans, et que les mises à jour futures soient rétro-compatibles.

15 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-5 6. Définitions et termes 6.1 Les termes en rapport avec la biométrie sont définis comme suit : Acceptation erronée (Fausse acceptation). Se produit lorsqu un système biométrique identifie erronément une personne ou vérifie erronément un imposteur 1 par rapport à une identité déclarée. Accès direct (Accès sélectif). Mode de stockage des données permettant l extraction de certains éléments d information sans nécessité de recherche séquentielle à travers toutes les données stockées. Appariement (Matching). Processus de comparaison d un échantillon biométrique avec un gabarit stocké précédemment, et d évaluation du niveau de similarité. Une décision d acceptation ou de rejet est prise ensuite, selon que le score dépasse ou non le seuil donné. Autorité de certification. Organisme qui délivre un document biométrique et certifie l authenticité des données stockées sur le document, d une façon qui permettra la détection de toute altération frauduleuse. Base de données. Tout stockage de gabarits biométriques et de l information connexe concernant les utilisateurs. Biométrie multiple. Emploi de plus d une technologie biométrique. Capture. Méthode de prélèvement d un échantillon biométrique de l utilisateur. Capture en direct. Processus de capture d un échantillon biométrique par interaction entre le détenteur d un passeport électronique et un système biométrique. Circuit intégré sans contact. Micropuce électronique couplée à une antenne permettant la communication de données entre la puce et un dispositif de codage/lecture, sans qu un accouplement électrique direct soit nécessaire. Comparaison. Processus de comparaison d un échantillon biométrique avec un ou plusieurs gabarits de référence stockés précédemment. Voir aussi Comparaison un-à-beaucoup et Comparaison individuelle ou un-à-un. Comparaison individuelle ou un-à-un (1 : 1). Variante de «Vérification». Comparaison un-à-beaucoup (1 : N). Variante de «Identification». Comparaison un-à-quelques uns. Hybride de l identification (1 : N) et de la vérification. En général, il s agit dans ce processus de comparer un échantillon biométrique soumis avec un petit nombre de gabarits biométriques de référence qui sont en mémoire. Généralement effectuée par rapport à une «liste de surveillance», de personnes pour qui des investigations d identité détaillées sont justifiées ou qui sont connues comme délinquants, terroristes, etc. Détenteur. Personne en possession d un passeport électronique, qui soumet un échantillon biométrique pour vérification ou identification en revendiquant une identité légitime ou fausse. Personne qui interagit avec un système biométrique pour s enrôler ou faire vérifier son identité. Distance de lecture. Distance pratique maximale entre le CI sans contact avec son antenne et le dispositif de lecture. 1. Dans tout ce document, le masculin est utilisé pour désigner à la fois les hommes et les femmes.

16 II-6 Documents de voyage lisibles à la machine Données biométriques. Information extraite de l échantillon biométrique et utilisée soit pour construire un modèle de référence (données de gabarit), soit pour comparer à un gabarit de référence créé précédemment (données de comparaison). DVLM (MRTD). Document de voyage lisible à la machine, par exemple passeport, visa ou pièce d identité officielle, accepté à des fins de voyage. Échantillon biométrique. Données brutes capturées comme une valeur discrète, sans ambiguïté, unique et linguistiquement neutre, représentant une caractéristique biométrique d une personne enrôlée, telle qu elle a été saisie par un système biométrique (les échantillons biométriques peuvent comprendre, par exemple, l image d une empreinte digitale et le gabarit qui en est dérivé, aux fins de vérification d identité). Échec à l acquisition. C est le cas lorsqu un système biométrique ne réussit pas à obtenir l échantillon biométrique nécessaire pour enrôler une personne. Échec à l enrôlement. C est le cas lorsqu un système biométrique ne réussit pas à enrôler une personne. Élément (d identification) biométrique. Caractéristique physique mesurable ou trait comportemental personnel, pouvant servir à reconnaître l identité, ou à vérifier l identité déclarée, d une personne enrôlée. Enrôlement. Processus de collecte d échantillons biométriques provenant d une personne, après quoi des gabarits biométriques de référence représentant l identité de cette personne seront créés et stockés. État émetteur. Pays qui inscrit l élément biométrique afin de permettre à un État récepteur (qui pourrait aussi être lui-même) de le vérifier. État récepteur. Pays qui lit l élément biométrique et souhaite le vérifier. Extraction. Processus de conversion d un échantillon biométrique capturé en données biométriques, afin de permettre la comparaison avec un gabarit de référence. Gabarit (Template)/Gabarit de référence. Données représentant certaines caractéristiques biométriques d une personne enrôlée, qu un système biométrique utilisera pour la comparaison avec des échantillons biométriques soumis ultérieurement. Galerie. Base de données de gabarits biométriques de personnes précédemment enrôlées, dans laquelle une sonde peut être recherchée. ICP. Méthodologie de l infrastructure à clés publiques qui permet de déceler si les données d un passeport électronique ont été altérées. Identifiant. Chaîne de données unique, utilisée comme clé dans le système biométrique pour désigner l identité d une personne et les attributs qui lui sont associés. Un exemple d identifiant serait un numéro de passeport. Identification/Identifier. Le processus de comparaison 1 : N entre un échantillon biométrique soumis et tous les gabarits biométriques de référence contenus dans une base de données, pour déterminer si l échantillon correspond à l un d eux et, dans l affirmative, déterminer l identité du détenteur de passeport électronique. Le système biométrique qui utilise l approche 1 : N cherche à trouver une identité au sein d une base de données, et non à vérifier une identité déclarée. Comparer avec «Vérification». Identité. L ensemble collectif de caractéristiques personnelles et physiques distinctes, d informations et de qualités permettant l identification définitive d une personne par rapport à d autres. Dans un système

17 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-7 biométrique, l identité est généralement établie lorsque la personne est enregistrée dans le système au moyen de «documents sources» tels que le certificat de naissance ou le certificat de citoyenneté. Image. Représentation d un élément biométrique généralement captée par caméra vidéo, appareil photo ou scanneur. Aux fins des applications biométriques, elle est stockée sous forme numérisée. Image frontale complète (du visage). Portrait du titulaire du PLM produit conformément aux spécifications établies dans le Doc 9303, Partie 1, Volume 1, Section IV, 7. Image jeton (Token image). Portrait du titulaire du PLM, généralement issu d une image frontale complète dont la taille a été ajustée de manière à assurer une distance déterminée entre les yeux. Une légère rotation peut aussi avoir été exécutée pour qu une ligne horizontale imaginaire entre les centres des deux yeux soit parallèle au bord supérieur du rectangle du portrait, si cela n a pas été réalisé lorsque le portrait original a été pris ou capturé. (Voir la Section II, 13, du présent document.) Immatriculation. Processus qui consiste à faire connaître l identité d une personne à un système biométrique, à associer à cette identité un identifiant unique, et à recueillir puis enregistrer dans le système les attributs pertinents de la personne. Imposteur. Personne qui soumet un échantillon biométrique en tentant, intentionnellement ou par inadvertance, de passer pour une autre personne. Inspection. Acte d un État qui examine un passeport électronique que lui présente un voyageur (le détenteur du passeport électronique) et vérifie son authenticité. Interopérabilité universelle. Capacité qu ont les systèmes d inspection (manuels ou automatisés), dans les différents États du monde, d obtenir et d échanger des données, de traiter les données reçues de systèmes d autres États, et d utiliser ces données pour les opérations d inspection dans leurs pays respectifs. L interopérabilité mondiale est un objectif majeur des spécifications normalisées relatives à l intégration combinée de données lisibles visuellement et de données lisibles par machine dans tous les passeports électroniques. JPEG et JPEG Normes pour la compression des données d image, utilisées en particulier pour le stockage d images faciales. Passeport électronique. Passeport lisible à la machine (PLM) contenant une puce électronique à circuit intégré (CI) sans contact dans laquelle sont stockés des données provenant de la page de renseignements d un PLM, un élément biométrique du titulaire du passeport et un objet de sécurité destiné à protéger les données par la technologie cryptographique de l infrastructure à clé publique), et qui est conforme aux spécifications du Doc 9303, Partie 1. Personne enrôlée. Être humain, c est-à-dire personne physique, à qui un DVLM est délivré par un État émetteur ou une organisation émettrice. Rejet erroné. Se produit lorsqu un système biométrique ne réussit pas à identifier une personne enrôlée ou à vérifier l identité déclarée, légitime, d une personne enrôlée. Score. Nombre, sur une échelle ascendante, qui mesure le degré de coïncidence entre l enregistrement d une sonde biométrique (personne dont on cherche à établir l identité) et un certain enregistrement de la galerie (personne enrôlée précédemment). SDL. Structure de données logique, décrivant comment les données biométriques doivent être inscrites et formatées dans les passeports électroniques. Seuil. Score «repère» au-dessus duquel la coïncidence entre l élément biométrique stocké et la personne est jugée acceptable ou au-dessous duquel elle est jugée inacceptable.

18 II-8 Documents de voyage lisibles à la machine Sonde. Gabarit biométrique de la personne enrôlée dont on cherche à établir l identité. Stockage (de données). Moyen de stocker des données dans un document tel qu un PLM. Le Doc 9303, Partie 1, Volume 2, spécifie que le stockage de données dans un passeport électronique sera effectué sur un circuit intégré sans contact. Système biométrique. Système informatisé qui peut : 1. capturer pour un PLM un échantillon biométrique provenant d un utilisateur ; 2. extraire de cet échantillon des données biométriques ; 3. comparer la valeur (les valeurs) de ces données biométriques spécifiques aux valeurs contenues dans un ou plusieurs gabarits de référence ; 4. décider du degré de concordance des données, autrement dit exécuter un processus de comparaison basé sur des règles, spécifique aux besoins de l identification sans ambiguïté et de la validation de l identité de la personne enrôlée en ce qui concerne la transaction en cause ; 5. indiquer si une identification ou une vérification d identité a été réalisée ou non. Système d exploitation. Programme qui gère les divers programmes d application utilisés par un ordinateur. Taille du gabarit. Espace mémoire occupé par les données biométriques. Taux de correspondance erronée (False match rate). Variante du «taux de fausses acceptations» ; employée pour éviter la confusion dans des applications qui rejettent le prétendant alors que ses données biométriques correspondent à celles d une personne enrôlée. Dans de telles applications, les concepts d acceptation et de rejet sont inversés, ce qui inverse le sens des termes «fausse acceptation» et «faux rejet». Taux de fausses acceptations/far (False Acceptance Rate). Probabilité qu un système biométrique identifie à tort une personne ou ne réussisse pas à rejeter un imposteur. Ce taux suppose normalement des tentatives d imposteurs passifs. Le taux de fausses acceptations peut être estimé comme : FAR = NFA/NIIA ou FAR = NFA/NIVA, où FAR est le taux de fausses acceptations, NFA le nombre de fausses acceptations, NIIA le nombre de tentatives d identification d imposteurs, et NIVA le nombre de tentatives de vérification d imposteurs. Taux de faux rejets/frr (False rejection rate). Probabilité qu un système biométrique échoue à identifier une personne enrôlée ou à vérifier l identité déclarée, légitime, d une personne enrôlée. Le taux de faux rejets peut être estimé comme suit : FRR = NFR/NEIA ou FRR = NFR/NEVA où FRR est le taux de faux rejets, NFR le nombre de faux rejets, NEIA le nombre de tentatives d identification de personnes enrôlées et NEVA le nombre de tentatives de vérification de personnes enrôlées. Cette estimation suppose que les tentatives d identification/de vérification sont représentatives des tentatives pour l ensemble de la population de personnes enrôlées. Le taux de faux rejets exclut normalement les erreurs par «échec à l acquisition». Taux de non-correspondance erronée. Variante du «taux de faux rejets» ; employée pour éviter la confusion dans des applications qui rejettent le prétendant alors que ses données biométriques correspondent à celles d une personne enrôlée. Dans de telles applications, les concepts d acceptation et de rejet sont inversés, ce qui inverse le sens des termes «fausse acceptation» et «faux rejet». Utilisateur. Personne interagissant avec un système biométrique pour s enrôler ou faire vérifier son identité. Validation. Processus qui consiste à démontrer que le système considéré répond à tous égards aux spécifications qui s y rapportent.

19 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-9 Vérification/Vérifier. Processus de comparaison entre un échantillon biométrique soumis et un gabarit biométrique de référence d une personne enrôlée dont l identité est revendiquée, afin de déterminer si l échantillon correspond au gabarit de la personne enrôlée. S oppose à «Identification». WSQ (Wavelet Scalar Quantization). Procédé de compression des données, utilisé en particulier pour le stockage des images d empreintes digitales. 7. Les processus clés en matière de biométrie 7.1 Les quatre processus majeurs qu accomplit un système biométrique sont : la capture acquisition d un échantillon biométrique brut l extraction conversion des données de l échantillon biométrique brut dans une forme intermédiaire la création de gabarit conversion des données intermédiaires en gabarit, pour stockage la comparaison comparaison avec les informations que contient un gabarit de référence conservé en mémoire. 7.2 Ces processus s articulent comme suit : L acquisition d échantillons biométriques bruts intervient dans le cadre du processus d enrôlement de chaque nouveau détenteur potentiel de PLM, pour la création d un nouveau gabarit. Le processus de capture est l acquisition automatisée de l élément biométrique au moyen d un dispositif de capture tel qu un scanneur d empreintes digitales, un scanneur de photographies, un appareil photo numérique pour capture en direct, ou une caméra avec fonction zoom pour capture en direct de l iris. Chacun de ces dispositifs exige la définition de certains critères pour le processus de capture par exemple, pose normalisée face à l appareil photo pour capture destinée à la reconnaissance faciale ; capture des empreintes digitales à plat ou déroulées ; yeux bien ouverts pour capture de l iris. Le processus de création de gabarit préserve les caractéristiques biométriques distinctes et reproductibles provenant de l échantillon biométrique capturé ; il est généralement réalisé au moyen d un algorithme propriétaire, pour extraire de l image saisie un gabarit, qui définit cette image de telle façon qu elle puisse être par la suite comparée à une autre image saisie et qu un score de comparaison puisse être déterminé. L algorithme comporte un mécanisme intrinsèque de contrôle de qualité, qui évalue la qualité de l échantillon. Les normes de qualité doivent être aussi élevées que possible, car toutes les vérifications seront tributaires de la qualité de l image saisie à l origine. Si la qualité n est pas acceptable, le processus de capture devra être répété. Le processus d identification consiste à recueillir de nouveaux échantillons et à les comparer à des gabarits mis en mémoire d utilisateurs enrôlés, afin de déterminer si l utilisateur s est déjà enrôlé dans le système auparavant et, dans l affirmative, si c est sous la même identité. Dans le processus de vérification, de nouveaux échantillons sont capturés sur le détenteur du passeport électronique pour être comparés aux gabarits précédemment sauvegardés provenant de ce détenteur, afin de déterminer si celui-ci se présente sous la même identité. 8. Applications d une solution biométrique 8.1 L application essentielle des techniques biométriques est la vérification d identité, qui établit la relation entre le détenteur d un PLM et le PLM dont il est porteur.

20 II-10 Documents de voyage lisibles à la machine 8.2 Plusieurs applications typiques de la biométrie interviennent au cours du processus d enrôlement qu implique la demande d un PLM Les données biométriques de l utilisateur générées par le processus d enrôlement peuvent être utilisées pour une recherche dans une ou plusieurs bases de données biométriques (identification), afin de déterminer si l utilisateur est connu de l un des systèmes correspondants (par exemple, comme étant titulaire d un passeport sous une identité différente, ayant un casier judiciaire ou étant détenteur d un passeport d un autre État) Lorsque l utilisateur entre en possession du passeport ou du visa (ou se présente pour une des étapes du processus de délivrance, après le dépôt de la demande initiale et la capture des données biométriques), ses données biométriques peuvent être recueillies à nouveau et vérifiées par rapport aux données biométriques capturées initialement L identité des agents qui procèdent à l enrôlement peut être vérifiée pour confirmer que ces agents sont habilités à effectuer les tâches qui leur sont confiées. Ceci peut comprendre une authentification biométrique pour initier une signature numérique de journaux de contrôle de différentes étapes du processus d émission, ceci permettant que la biométrie relie les agents aux opérations dont ils ont la responsabilité. 8.3 Il y a aussi plusieurs applications typiques de la biométrie aux frontières Chaque fois qu un voyageur (c est-à-dire un détenteur de PLM) entre dans un État ou sort d un État, son identité peut être vérifiée par rapport à l image créée lors de la délivrance de son document de voyage. Cela permet de s assurer que le détenteur d un document est bien le titulaire légitime à qui ce document a été délivré et renforce l efficacité de tout système d information préalable (SIP) sur les voyageurs. Idéalement, le ou les gabarits biométriques devraient être stockés sur le document de voyage avec l image, de telle sorte que l identité d un voyageur puisse être vérifiée à des endroits où l accès à la base de données centrale n est pas disponible ou pour des administrations où un stockage centralisé permanent de données biométriques est inacceptable Vérification sur deux facteurs Il est possible de comparer (match) les données d image biométriques actuelles capturées sur le voyageur et le gabarit biométrique provenant de son document de voyage (ou d une base de données centralisée) pour confirmer que le document de voyage n a pas été altéré Vérification sur trois facteurs Il est possible de comparer les données d image biométriques actuelles capturées sur le voyageur, l image figurant dans son document de voyage et l image stockée dans une base de données centrale (en construisant des gabarits biométriques de chacune) pour confirmer que le document de voyage n a pas été altéré. Cette technique établit la correspondance entre la personne, et son passeport, et la base de données où sont enregistrées les données qui ont été inscrites dans ce passeport lors de sa délivrance Vérification sur quatre facteurs Une quatrième vérification confirmatoire, qui n est pas électronique, est la comparaison visuelle des résultats de la vérification sur trois facteurs avec la photographie numérisée qui figure sur la page de renseignements du passeport du voyageur. 8.4 Outre les applications de la biométrie pour l enrôlement et les contrôles frontaliers, qui se manifestent dans les comparaisons 1 : 1 et 1 : N, les États devraient aussi considérer les aspects suivants, et fixer leurs propres critères à leur propos : Précision des fonctions de comparaison biométrique du système. Les États émetteurs doivent encoder sur le PLM un ou plusieurs éléments biométriques visage, empreinte digitale ou iris conformément aux spécifications relatives à la SDL. (Ces données peuvent

21 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-11 aussi être stockées dans une base de données accessible pour l État récepteur.) Étant donné une image biométrique normalisée par l OACI, les États récepteurs doivent choisir leur propre logiciel de vérification biométrique et déterminer leurs propres seuils pour les scores d acceptation de la vérification d identité et le rejet des imposteurs. Le débit (par exemple nombre de voyageurs par minute) du système biométrique ou du système de contrôle frontalier dans son ensemble. Le caractère approprié d une certaine technologie biométrique (visage ou empreinte digitale ou caractéristiques oculaires) pour l application au contrôle frontalier. 9. Contraintes liées aux technologies biométriques 9.1 Il est reconnu que l implémentation de la plupart des technologies biométriques sera fonction de leur développement ultérieur (rapide). Vu la rapidité de l évolution des technologies, toutes spécifications (y compris les spécifications ici énoncées) doivent admettre les changements qui résulteront d améliorations technologiques, et reconnaître qu il y en aura. 9.2 Les informations biométriques stockées sur les documents de voyage doivent être en conformité avec les lois nationales de l État émetteur en matière de protection des données ou de protection de la vie privée. 10. Vision de l OACI en matière de biométrie 10.1 La vision de l OACI en ce qui concerne l application des technologies biométriques porte sur les aspects suivants : spécification d une forme principale interopérable de technologie biométrique, à utiliser aux points de contrôle frontalier (vérification, listes de surveillance), ainsi que par les transporteurs et les émetteurs de documents, et spécification de technologies biométriques complémentaires convenues ; spécification des technologies biométriques à utiliser par les émetteurs de documents (identification, vérification et listes de surveillance) ; possibilité d extraction des données pendant la période de validité maximale de 10 ans, spécifiée dans le Doc 9303 ; absence d éléments propriétaires, pour que les États qui investissent dans la biométrie soient protégés contre les changements dans l infrastructure ou les changements de fournisseurs. 11. Sélection des éléments biométriques applicables aux passeports électroniques 11.1 On sait depuis longtemps que les noms et l honneur ne suffisent pas à garantir que le détenteur d un document d identité (PLM) délivré par un État émetteur à une personne qui affirme à un État récepteur être celle à qui le document a été délivré est bien cette personne.

22 II-12 Documents de voyage lisibles à la machine 11.2 La seule méthode qui permette de relier la personne à son document de voyage de façon incontestable consiste à associer d une manière infalsifiable une caractéristique physique de cette personne au document de voyage. Cette caractéristique physique est un élément biométrique Après cinq ans d enquête sur les besoins opérationnels pour un identifiant biométrique qui combine l aptitude à être utilisé dans la procédure de délivrance des PLM et dans les divers processus qu impliquent les voyages transfrontaliers, et cela dans le respect des lois des divers États sur la protection de la vie privée, l OACI a spécifié que la reconnaissance faciale deviendra la technologie biométrique interopérable universellement. Un État pourra aussi choisir facultativement d utiliser l empreinte digitale et/ou la reconnaissance de l iris à l appui de la reconnaissance faciale En parvenant à ces conclusions, l OACI a observé que la majorité des États attachent les avantages suivants aux images faciales : Les photographies du visage ne divulguent pas d informations que la personne ne révèle habituellement en public La photographie (image faciale) est déjà socialement et culturellement acceptée internationalement L image faciale est déjà couramment saisie et vérifiée dans le cadre du processus de demande de PLM, pour la production d un passeport aux normes du Doc Le public connaît déjà la capture d une image faciale et son utilisation aux fins de la vérification d identité La capture d une image faciale est non intrusive. Pour s enrôler, l utilisateur n a pas à toucher un dispositif matériel, ni à interagir avec un dispositif La capture d une image faciale n exige pas l introduction de procédures d enrôlement nouvelles et coûteuses La capture d une image faciale peut être déployée de façon relativement immédiate, et la capture rétrospective d images faciales est également possible De nombreux États possèdent une base de données existante d images faciales capturées dans le cadre de la production numérisée de photographies de passeport qui peuvent être encodées en gabarits faciaux, et par rapport auxquelles des vérifications peuvent être faites à des fins de confirmation d identité Dans certaines circonstances, comme en décideront les États émetteurs, une image faciale peut être capturée à partir d une photographie approuvée, sans que la présence physique de la personne soit nécessaire S agissant des listes de surveillance, une photographie du visage est généralement le seul élément biométrique disponible aux fins de comparaison La vérification humaine de l élément biométrique par rapport à la photographie/la personne est relativement simple, et c est un processus familier pour les autorités de contrôle frontalier Stockage de l élément biométrique facial. Tous les fournisseurs de systèmes de reconnaissance faciale utilisent des algorithmes propriétaires pour générer des gabarits biométriques. Ces algorithmes sont tenus secrets par les fournisseurs comme étant leur propriété intellectuelle et il n est pas possible de revenir en arrière pour créer à partir de ces gabarits une image faciale reconnaissable. Les gabarits de

23 Partie 1 Passeports lisibles à la machine Volume 2 Section II. Déploiement de l identification biométrique et stockage électronique de données dans le PLM II-13 reconnaissance faciale ne sont donc pas interopérables entre fournisseurs la seule façon d assurer l interopérabilité avec des images faciales étant la communication à l État récepteur de la photographie capturée «originale». L État récepteur utilise alors l algorithme de son propre fournisseur (qui peut, ou non, être la même version ou provenir du même fournisseur que l algorithme utilisé par l État émetteur) pour comparer une image faciale du détenteur du PLM, capturée en direct, avec l image faciale lue à partir de la technologie de stockage de données se trouvant dans son PLM. 12. Éléments biométriques supplémentaires facultatifs 12.1 Les États peuvent, facultativement, fournir des entrées de données supplémentaires à leurs processus de vérification d identité (et à ceux d autres États) en insérant des éléments biométriques multiples dans leurs documents de voyage, par exemple une combinaison visage et/ou empreintes digitales et/ou iris. Cela est particulièrement pertinent lorsque des États ont en place des bases de données existantes d empreintes digitales ou oculaires, par rapport auxquelles il leur est possible de vérifier les éléments biométriques qui leur sont présentés, par exemple dans le cadre d un système de cartes ID Stockage d un élément biométrique empreintes digitales (optionnel). Il existe trois classes de technologies biométriques basées sur les empreintes digitales : systèmes basés sur des images de doigts, systèmes basés sur les minuties du doigt et systèmes basés sur un modèle de doigt. Des normes ont été établies pour rendre la plupart des systèmes interopérables au sein de leur classe, mais ils ne sont pas interopérables entre classes. C est ainsi que l on voit émerger trois normes pour l interopérabilité des empreintes digitales : stockage des données d images, stockage des données de minuties et stockage des données de modèles. Lorsqu un État émetteur choisit d insérer des données d empreintes digitales dans son passeport électronique, le stockage de l image de l empreinte digitale est obligatoire pour permettre une interopérabilité mondiale entre classes. Le stockage d un gabarit y associé est optionnel, à la discrétion de l État émetteur Stockage d un élément biométrique iris (optionnel). L emploi de l iris comme élément biométrique est compliqué faute de fournisseurs éprouvés. Une norme de facto s est donc dégagée sur la base de la méthodologie de l unique fournisseur reconnu. D autres fournisseurs pourraient proposer à l avenir la technologie de l iris, mais il est probable qu ils auront besoin de l image de l iris comme point de départ, plutôt que du gabarit créé par le fournisseur actuel. Lorsqu un État émetteur choisit de fournir des données sur les iris dans son passeport électronique, le stockage de l image de l iris est obligatoire pour permettre l interopérabilité mondiale. Le stockage d un gabarit y associé est facultatif, à la discrétion de l État émetteur. 13. Stockage, compression et recadrage de l image 13.1 Dans la structure de données logique (SDL), l élément de données de taille variable qui a le plus d impact sur la taille de la SDL est l image affichée. La nouvelle question qui se pose devient alors : «jusqu à quel point l image peut-elle être compressée par l État émetteur, sans dégradation des résultats de la comparaison biométrique qu effectue l État récepteur?» 13.2 Les systèmes biométriques réduisent l image acquise brute (visage/empreinte digitale/iris) à un espace de représentation des repères dit espace des attributs, qui sera utilisé pour les comparaisons. Tant que la compression ne compromet pas cet espace des attributs, elle peut donc être effectuée pour réduire les exigences du stockage des images conservées Taille en données de l image faciale. Un portrait de la taille normalisée par l OACI, scanné en couleurs à 300 dpi, donne une image faciale avec approximativement 90 pixels entre les yeux et une