French ID4D Standards Catalog 2018

Public Disclosure
Diffusion Authorized
publique autorisée Public Disclosure
Diffusion publique Authorized
autorisée Public Disclosure
publique autorisée Public Disclosure
publique autorisée
numérique
CATALOGUE DE
d’identification
pour les systèmes
Normes techniques
© 2018 Banque internationale pour la reconstruction et le développement / Banque mondiale
1818 H Street NW
Washington D.C., 20433
Téléphone : 202-473-1000
Site Internet : www.worldbank.org
Cet ouvrage, initialement publié en anglais sous le titre Catalog of Technical Standards for Digital Identification Systems, a
été établi par les services de la Banque mondiale avec la contribution de collaborateurs extérieurs. Les observations, inter-
prétations et opinions qui y sont exprimées ne reflètent pas nécessairement les vues de la Banque mondiale, de son Conseil
des Administrateurs ou des pays que ceux-ci représentent.
La Banque mondiale ne garantit pas l’exactitude des données contenues dans cet ouvrage. Les frontières, les couleurs, les
dénominations et toute autre information figurant sur les cartes du présent ouvrage n’impliquent de la part de la Banque mon-
diale aucun jugement quant au statut juridique d’un territoire quelconque et ne signifient nullement que l’institution reconnaît
ou accepte ces frontières.
Droits et licences
Le contenu de cet ouvrage fait l’objet d’un dépôt légal. La Banque mondiale encourageant la diffusion de ses travaux, cet
ouvrage peut être reproduit, en tout ou en partie, à des fins non commerciales à condition qu’une attribution complète à
l’ouvrage soit fournie.
Pour tout autre renseignement sur les droits et licences, y compris les droits dérivés, envoyez votre demande,
par courrier, à l’adresse suivante : World Bank Publications, The World Bank Group, 1818 H Street NW, Washington, DC
20433 (États-Unis d’Amérique). Télécopie : 202-522-2625. Courriel : pubrights@worldbank.org.
TABLE DES MATIÈRES
ABRÉVIATIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
REMERCIEMENTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
À PROPOS DE L’INITIATIVE ID4D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
1. INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2. OBJECTIF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
3. CHAMP D’APPLICATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4. CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

4.1 Enregistrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1.1 Inscription . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.1.2 Validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4.2 Délivrance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.3 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
4.4 Gestion du cycle de vie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
4.5 Fédération . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE . . . . . . . . . . . . . . . . . . . . 7

5.1 En quoi les normes sont-elles importantes ? . . . . . . . . . . . . . . . . . . . . . . . . 7
5.2 Organismes de normalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
5.3 Normes techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
Normes techniques pour assurer l’interopérabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Normes techniques pour des systèmes d’identité fiables . . . . . . . . . . . . . . . . . . . . . . . . . 9
5.4 Cadres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
5.4.1 Niveaux de garantie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
6. CAS D’UTILISATION PAYS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Exemple 1 : L
’ID-Kaart en Estonie – Carte intelligente et carte d’identité sur mobile . . . 18
Exemple 2 : Le système indien d’identification biométrique Aadhaar . . . . . . . . . . . . 20
Exemple 3 : Malawi – Biométrie et carte intelligente . . . . . . . . . . . . . . . . . . . . 22
Exemple 4 : eID intelligente au Pakistan – Biométrie et carte intelligente . . . . . . . . . 24
Exemple 5 : Carte d’identité électronique avec certificat numérique au Pérou . . . . . . 26
7. CONCLUSION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
ANNEXE A : COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS

ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT . . . . . . . . . . . . . . . . . . . . 30
iii
LISTE DES FIGURES
FIGURE 1 CADRE D’INTEROPÉRABILITÉ – CINQ COMPOSANTES . . . . . . . . . . . . . . . . . . . 3
FIGURE 2 CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
FIGURE 3 NORMES POUR SYSTÈME D’IDENTIFICATION . . . . . . . . . . . . . . . . . . . . . . . . 9
FIGURE 4 ARBRES DE DÉCISION CONCERNANT LE CHOIX DES NORMES . . . . . . . . . . . . . 10
FIGURE 5 NIVEAUX D’AUTHENTIFICATION ISO ET EIDAS . . . . . . . . . . . . . . . . . . . . . . . 17
FIGURE 6 ISO/IEC JTC 1 : SOUS-COMITÉS ET GROUPES DE TRAVAIL EN CHARGE

DE LA GESTION DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
iv
ABRÉVIATIONS
AFNOR Association française de normalisation

ANSI American National Standard Institute (Institut américain de normalisation)
ASN.1 Abstract Syntax Notation One
BAPI Biometric Application Programming Interface (Interface de programme
d’application biométrique)
BM Banque mondiale
CAP Programme d’authentification CAP
CBEFF Common Biometric Exchange Formats Framework (Cadre de formats d’échange
biométriques communs)
CEI Commission électrotechnique internationale
CEN Comité européen de normalisation
CITeR Center for Identification Technology Research
DHS Department of Homeland Security (ministère de la Sécurité intérieure)
DIN Institut de normalisation allemand
eID Carte d’identité électronique
EMV Europay, MasterCard et Visa— Norme de paiement par carte intelligente
EMVCo EMV Company
FIDO Fast IDentity Online (protocole d'authentification forte pour les paiements en ligne)
GSM Global System for Mobile Communication (précédemment Groupe Spécial Mobile)
GSMA GSM Association
IBIA International Biometrics and Identification Association (Association internationale
de l’identité biométrique)
ID Identification
ID4D lnitiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale
INCITS Comité international pour les normes relatives aux technologies de l’information
ISO Organisation internationale de normalisation
JTC Comité technique mixte
NADRA Service en charge de la base de données nationale et de l’enregistrement (Pakistan)
NICOP Carte d’identité nationale pour les Pakistanais de l’étranger
NIST Institut national des normes et de la technologie (États-Unis)
OACI Organisation de l’aviation civile internationale
OASIS Organization for the Advancement of Structural Information Standards (consortium mondial
pour la normalisation et la standardisation de formats de fichiers ouverts)vi
ODD Objectif de développement durable
OIT Organisation internationale du travail
OpenID Open ID Foundation
PIN Numéro d’identification personnel
v
PKI Infrastructure à clés publiques
PSA Organisme pakistanais de normalisation
RFID Radio-Frequency Identification (identification par radiofréquences)
RMG Groupe de gestion des enregistrements
SA Standards Australia (autorité australienne de normalisation)
SIA Secure Identity Alliance
SIS Institut suédois de normalisation
SNBA Association nationale suédoise de biométrie
TI Technologies de l’information
TIC Technologies de l’information et des communications
UIDAI Autorité indienne de l’identification unique
UIN Numéro unique d'identification des personnes physiques
UIT-T Secteur de la normalisation des télécommunications de l’Union internationale
des télécommunications
WG Groupe de travail
ZLA Zone de lecture automatique
vi
À PROPOS DE L’INITIATIVE ID4D
L’initiative Identification pour le développement (ID4D) du Groupe de la Banque mondiale mobilise les connaissances
et savoir-faire de différents secteurs partout dans le monde, dans le but d’aider les pays à réaliser le potentiel
transformationnel qu’offrent les systèmes d’identification numérique, et ainsi atteindre les Objectifs de développement
durable. Mise en œuvre dans tout le Groupe de la Banque mondiale, l’initiative concerne les pratiques et unités mondiales,
qui travaillent sur le développement numérique, la protection sociale, la santé, l’inclusion financière, la gouvernance, la
parité hommes‑femmes et les questions juridiques, entres autres.
L’initiative ID4D se fixe pour mission de donner à tous les individus les moyens d’accéder aux services et d’exercer leurs
droits. Elle vise à cet effet à donner une forme officielle d’identification au plus grand nombre, en s’appuyant sur ses trois
piliers : i) leadership avisé et analyses pour créer des données probantes et combler les lacunes de connaissances ;
ii) plateformes et réunions de niveau international pour donner de l’ampleur aux bonnes pratiques, collaborer et renforcer
la sensibilisation ; et iii) engagement national et régional pour apporter l’aide technique et financière nécessaire à la mise
en œuvre de systèmes d’identification numérique fiables, inclusifs et responsables, intégrés aux données d’état-civil.
Les travaux de l’initiative ID4D sont rendus possibles avec le soutien du Groupe de la Banque mondiale, de la Fondation
Bill & Melinda Gates, d’Omidyar Network et de l’État australien.
Pour en savoir plus sur l’initiative ID4D, visiter id4d.worldbank.org.
REMERCIEMENTS
Le catalogue a été préparé par Anita Mittal, avec des contributions de Tariq Malik, Ott Köstner, Flex Ortega De La Tora,
Adam Cooper, Seth Ayers, Daniel Bachenheimer, Alastair Treharne, Dr Narjees Adennebi, Sanjay Dharwadker, Marta Ienco,
Stéphanie de Labriolle et Dr Adeel Malik.
Le catalogue a été présenté lors de deux ateliers, organisés en septembre 2017 et en mars 2018. Les discussions qui
se sont engagées à cette occasion en ont guidé le contenu et la conception. Les organisations suivantes ont participé à
ces ateliers : Accenture, l’Institut américain de normalisation, Caribou Digital, le Centre pour le développement mondial,
la Digital Impact Alliance (DIAL), Ernst & Young, la Commission européenne, l’Alliance FIDO, la Fondation Bill & Melinda
Gates, le Government Digital Service, la GSMA, ID2020, l’OACI, l’IOM, iSPIRIT, Mastercard, Mercy Corp, Microsoft,
l’Institut national des normes et de la technologie des États-Unis, Omidyar Network, One World Identity, l’Open Identity
Exchange, l’Open Society Foundation, Plan International, PricewaterhouseCoopers, la Secure Identity Alliance, Simprints,
le Forum économique mondial, le Programme des Nations Unies pour le développement, le HCR, l’UNICEF, USAID, Vital
Strategies et WFP.
vii
1. INTRODUCTION
Les systèmes d’identification fiables et inclusifs, tels qu’ils privée, à la viabilité budgétaire et au choix à effectuer
sont consacrés dans la cible 16.9 des Objectifs de déve- parmi les différentes technologies, ainsi qu’à la façon de
loppement durables (ODD), qui confie aux pays la charge les mettre en œuvre.
de « garantir à tous une identité juridique, notamment
grâce à l’enregistrement des naissances », sont essen- S’ils s’inscrivent dans une approche évolutive et interopé-
tiels au développement. Les individus doivent pouvoir faire rable, les systèmes d’identification numérique fiables sont
la preuve de leur identité juridique pour avoir accès aux sources d’économies pour les populations, les pouvoirs
droits et aux services. Sans cette preuve, elles peuvent publics et les entreprises. À l’inverse, il est fort probable
se retrouver exclues de la vie politique, économique et que les initiatives disparates et les investissements com-
sociale. S’agissant des États, les systèmes d’identification partimentés dans les systèmes d’identification numérique
modernes permettent une administration et une prestation feront double emploi, et ne pourront rivaliser avec les
des services plus efficaces et transparentes, une réduc- avantages considérables que les systèmes d’identifica-
tion de la fraude et des abus associés aux virements et tion numérique universels sont capables d’apporter aux
aux paiements des prestations, une sécurité renforcée, secteurs public et privé. Les approches communes et les
une meilleure précision des statistiques essentielles à la systèmes d’identification fédérés au niveau régional ou
planification et une plus grande capacité à répondre aux sous-régional peuvent également aider à renforcer la pro-
catastrophes et épidémies. position de valeur des systèmes d’identification numérique.
La fiabilité et l’interopérabilité d’un système d’identification
En dépit des avantages que procurent ces systèmes, on dépend de son degré de respect des normes techniques
estime à environ 1 milliard le nombre de personnes qui ne (ci-après les « normes »).
disposent pas de preuve d’identité1 dans le monde. Dans le
but de combler ce « déficit d’identité », de nombreux pays Les normes fixent des protocoles de communication, des
ont commencé à réformer leurs systèmes d’identification régimes d’essai, des mesures de qualité et des meilleures
existants et à mettre en place de nouveaux systèmes. À pratiques cohérents et universellement partagés, concer-
cet effet, la plupart ont misé sur les possibilités offertes nant la saisie, le stockage, la transmission et l’utilisation
par les nouvelles technologies d’identification numérique, des données d’identité, ainsi que le format et les caracté-
notamment l’identification biométrique, les documents ristiques des documents d’identité et des protocoles d’au-
d’identité électroniques, comme les cartes intelligentes et thentification. Elles sont dès lors cruciales à chaque stade
les cartes d’identité mobiles, et les infrastructures d’au- du cycle de vie de l’identité, notamment l’inscription, la vali-
thentification en ligne. dation, la déduplication et l’authentification. Les normes
aident à s’assurer que les composants des systèmes
Ces avancées, en particulier conjuguées à d’autres tech- d’identité sont interopérables, peuvent être testés et sont
nologies numériques notamment, telles que les systèmes capables d’atteindre les cibles de performance attendues.
de paiement mobiles et en ligne, ont le potentiel de com- Sans normes, il est impossible de garantir l’efficacité d’un
bler les carences des systèmes d’identification papier. En système d’identification interconnecté et interopérable.
parallèle, l’identification numérique pose de nombreux
défis associés à la protection des données et de la vie
1
Estimation de la série de données ID4D de la
Banque mondiale, 2018.
1
2. OBJECTIF
Les normes sont essentielles à la fiabilité, l’interopé- ii) identifier les domaines dans lesquels l’existence de
rabilité et la viabilité des systèmes d’identification. Le normes concurrentes amène à devoir faire des choix ; et
présent rapport se propose de recenser les normes et iii) évaluer l’applicabilité des normes pour un pays en
cadres techniques internationaux actuellement appli- développement. Cette démarche devrait également facili-
cables d’un bout à l’autre du cycle de vie de l’identité en ter l’échange d’expériences parmi les pays, et ainsi éviter à
vue d’assurer l’interopérabilité technique des différents chaque pays ou acteur de « réinventer la roue ». Un arbre
systèmes. Les acteurs de l’écosystème des systèmes de décision des normes techniques, organisé par domaine
d’identification peuvent utiliser ce catalogue de normes technologique, est proposé pour faciliter la sélection des
techniques comme source de référence. Une analyse normes techniques dans le catalogue. Des études de cas
du catalogue des normes existantes, organisées en par pays illustrent l’application de cet arbre de décision
catégories et sous-catégories, devrait aider à : i) identi- pour l’Estonie, l’Inde, le Malawi, le Pakistan et le Pérou.
fier les domaines dans lesquels les normes font défaut ;
2
3. CHAMP D’APPLICATION
L’identité numérique est une notion générique, dont les normes techniques qui relèvent du champ d’application
acceptions diffèrent selon le contexte. Dans le présent du présent rapport sont les normes nécessaires à l’éla-
document, l’identité numérique désigne un ensemble d’at- boration de systèmes d’identification numérique fiables et
tributs et de justificatifs, saisis et stockés par des moyens interopérables, qui permettent : i) la création d’une identité
électroniques et capables d’identifier une personne de numérique pour chaque individu, après validation de son
façon unique. Les systèmes d’identité numérique peuvent identité par des processus définis ; ii) la délivrance de jus-
prendre des formes diverses, chacune encadrée par tificatifs associés à son identité ; et iii) la mise en place
des normes différentes. Cinq composantes forment le de mécanismes permettant à chacun d’établir son identité
cadre d’interopérabilité pour les systèmes d’identification (s’authentifier) au moyen de son identité numérique ou de
numérique (figure 1). Le présent rapport ne concerne ses justificatifs.
que la composante « Interopérabilité technologique ». Les
Interoperability Framework
FIGURE 1 blocks
5 building Cadre d’interopérabilité – Cinq composantes
Questions juridiques, politiques et réglementaires concernant

Juridique l’identité, la protection et la confidentialité des données
Opérabilité, sécurité, confidentialité et performance, y compris sous

Gouvernance et gestion forme de conditions contractuelles et commerciales (convention de
services (SLA), par exemple)
Normes de processus concernant les phases de travail, les cadres de
Interopérabilité des processus
confiance et la reconnaissance réciproque, notamment les fédérations
d’identité (eIDAS, par exemple)
Normes de données, et dictionnaires de données pour assurer

Interopérabilité sémantique la cohérence sémantique des données et des informations échangées
Normes concernant les composants logiciels et matériels,

Interopérabilité technologique les systèmes et les plateformes qui permettent la communication
CHAMP
machine-machine D’APPLICATION
3
4. CYCLE DE VIE DE L’IDENTITÉ
FIGURE 2 Cycle de vie de l’identité
1. Enregistrement (preuve de l’identité)

2. D
éliv
ran
Résolution Validation Vérification
Contrôle /
Déliv ce
Évaluation du risque ran (g
ce es
Ma
t
io
in
te
n
de
na
sj
nc
us
e
té
tité
nti
tifi
en
R
l’ide
cat
l’id
évo
ifs)
Maintenance de
cati
5. Gestion de
on
Cycle de vie de l’identité
3. Authen
Vérifi
tific
cat
tio s
isa but
n
ion
atio
ni attri
(1
m
n
M s
:1
de
d
)
i
el
’id
s
ue d’a
isq n
en
c
s r tio (po cès) tit
de alua Élig litique é
Év des rôles ibil
ité
on Gestion
ati
Autoris
4.
Partout dans le monde, les écosystèmes de l’identité numé- 4.1 Enregistrement

rique, formés de modèles d’identité disparates et d’acteurs
ayant des responsabilités, des intérêts et des priorités dif- L’enregistrement est l’étape la plus importante de la créa-
férents, sont de plus en plus complexes. Il est indispen- tion d’une identité numérique. Le processus se divise en
sable de comprendre les processus et les technologies mis deux phases consécutives : l’inscription et la validation.
en jeu dans l’identification numérique pour identifier les
normes qui s’appliquent à un système donné. À cet effet,
le présent chapitre offre un panorama du cycle de vie de 4.1.1 Inscription
l’identité numérique (basé sur le rapport Technology Lands-
cape for Digital Identification report (2018)). Ce cadre sert C’est au cours de la phase d’inscription que sont saisis et
ensuite à analyser les normes d’identification en question enregistrés les principaux attributs qui composent l’identité
au chapitre 6. d’une personne qui déclare une certaine identité. Il peut
s’agir de données biographiques (nom, date de naissance,
Les identités numériques sont créées et utilisées dans le sexe, adresse et adresse électronique, par exemple) ou
cadre d’un cycle de vie qui comporte trois stades fonda- biométriques (empreintes digitales et scan de l’iris, par
mentaux : i) l’enregistrement (inscription et validation) ; exemple), ainsi que d’autres attributs, de plus en plus
ii) la délivrance des documents ou justificatifs ; et iii) la nombreux. Les attributs saisis pendant cette phase et la
vérification de l’identité pour autoriser la prestation des méthode utilisée ont des répercussions importantes sur la
services ou l’exécution des transactions. Les fournisseurs fiabilité de l’identité (voir plus bas les observations concer-
d’identité assurent en outre la gestion continue du système, nant les niveaux de garantie), ainsi que sur son utilité et
notamment l’actualisation et la révocation ou la résiliation son interopérabilité avec d’autres systèmes d’identité
des identités ou des justificatifs (voir figure 2 ci-dessus). nationaux et internationaux.
4.1.2 Validation
Une fois que la personne a déclaré une identité pendant la
phase d’inscription, cette identité est validée par comparai-
son des attributs présentés avec les données existantes.
La phase de validation garantit que l’identité existe (le
déclarant est vivant) et qu’une seule personne la déclare
4
(le déclarant est unique dans la base de données). Dans peuvent, par exemple, délivrer des cartes SIM com-
les systèmes d’identité numérique modernes, on vérifie le portant des certificats numériques. Ils peuvent aussi
caractère unique d’une identité en procédant à un exercice utiliser d’autres équipements de réseaux mobiles qui
de déduplication pour sássurer que les attributs ne sont permettent de vérifier simplement et en toute sécu-
pas déjà utilisés et associés à une autre identité dans le rité l’identité des utilisateurs des services adminis-
système. Pour cela, on procède à une vérification 1 : N à tratifs en ligne (eGovernment) et autres plateformes
partir des données biométriques. Il est également possible publiques ou privées.
d’établir des liens entre l’identité déclarée et les identités
présentes dans d’autres bases de données (par exemple,
• Identité (justificatif) dans un entrepôt centralisé
ou dans le nuage : contrairement aux systèmes
les registres d’état civil, registres de la population, etc.). qui délivrent des justificatifs portables, cartes intel-
ligentes et cartes SIM notamment, certains sys-
tèmes se contentent de stocker les certificats et les
données biométriques sur un serveur. Ce type de
4.2 Délivrance système ne permet pas la délivrance d’un dispo-
sitif physique pour le stockage des justificatifs. Le
Avant qu’une personne puisse utiliser un justificatif pour numéro d’identité peut être délivré sous une forme
faire valoir son identité, l’identité enregistrée est soumise non électronique (en Inde, par exemple, le pro-
à un processus de délivrance ou d’accréditation, à l’issue gramme Aadhaar ne délivre qu’un reçu papier). Un
duquel les fournisseurs d’identité peuvent délivrer diffé- environnement anti-fraude avec génération et ges-
rents types de justificatifs (numéros d’identification, cartes tion de clés cryptographiques pour protéger contre
intelligentes et certificats, par exemple). Pour considérer le vol les justificatifs d’identité stockés dans l’entre-
qu’une identification est numérique, les justificatifs délivrés pôt centralisé permettra de renforcer le niveau de
doivent être électroniques, autrement dit qu'ils doivent stoc- sécurité et de garantie du système d’identité.
ker et communiquer les données de façon électronique.
Types de systèmes de justificatifs électroniques :

4.3 Authentification
• Cartes intelligentes : ces cartes intègrent des
Une fois enregistrée, et après réception de ses justifica-
éléments de sécurité avancés, et contiennent une
tifs, une personne peut utiliser son identité numérique pour
puce informatique sur laquelle sont enregistrées une
accéder aux bénéfices et services associés. Par exemple,
clé cryptographique numérique et/ou des données
les contribuables peuvent payer leurs impôts au moyen
biométriques. Les cartes intelligentes peuvent se
d’un portail de services publics en ligne, tandis que les
présenter sous la forme d’une carte avec ou sans
clients des banques peuvent utiliser leurs cartes de paie-
contact ou d’une carte SIM avec fonction NFC
ment intelligentes ou leur application de banque en ligne
(communication en champ proche). Les données
ou mobile pour réaliser des transactions. Pour accéder
stockées sur une carte intelligente peuvent être
aux services, l’utilisateur doit s’authentifier au moyen d’un
consultées hors ligne, de manière à permettre de
ou plusieurs facteurs qui relèvent le plus souvent de l’une
vérifier l’identité en l’absence de connexion Internet
des trois catégories suivantes : quelque chose que l’on
ou de réseau mobile.
connaît, quelque chose que l’on a ou quelque chose que
• Cartes avec code à barres 2D : ces cartes peuvent l’on est. L’authentification au moyen de ces attributs peut
être personnalisées au moyen d’un code à barres être réalisée au travers de différents mécanismes :
2D chiffré, contenant les données personnelles et
biométriques d’une personne. Ce code à barres • Cartes intelligentes : les possesseurs de carte
vient, soit remplacer, soit compléter, une puce intelligente peuvent prouver leur identité (s’authenti-
informatique. Le code à barres 2D est un moyen fier) au moyen d’un ou plusieurs facteurs d’authen-
économique de fournir une identité numérique et tification, lesquels offrent des niveaux de garantie
de vérifier l’identité du porteur de la carte en com- variables. Par exemple, un simple code PIN pour
parant les caractéristiques biométriques du por- les opérations présentant un risque faible, ou une
teur à celles contenues dans la carte. L’Afrique signature numérique reposant sur la technologie
(Mali et Ghana notamment), l’Amérique latine et le d’infrastructure à clés publiques (PKI) pour les uti-
Moyen-Orient (Liban notamment) ont déployé ce lisations à risque fort. Les empreintes digitales sont
système à grande échelle. Plus récemment, l’Égypte un moyen d’établir avec certitude un lien avec l’uti-
l’a utilisé pour vérifier l’identité des votants lors des lisateur. Les cartes intelligentes, dotées d’une puce
dernières élections. électronique sur laquelle sont stockées les données
• Identité mobile : il est possible d’utiliser les télé- d’identité, permettent à leur détenteur de s’en servir
phones et autres dispositifs mobiles pour offrir aux afin de s’authentifier hors ligne ou dans les régions
individus une identité numérique portable et un isolées disposant d’une connectivité limitée, sans
moyen d’authentification permettant d’exécuter une consultation d’une base dídentité centrale. En effet,
diversité de transactions en ligne. Les fournisseurs la puce permet de réaliser, en local, une procédure
5
dáuthentification, en comparant les données bio- 4.5 Fédération
métriques (empreintes digitales par exemple) du
détenteur de la carte avec les données stockées sur La fédération est la capacité d’une organisation d’accep-
la puce (Match on Card). ter l’identité générée et gérée par une autre organisation,
• Identité mobile : l’identité mobile utilise les appli- et repose sur la confiance entre ces deux organisations.
cations sur smartphones, l’authentification par L’organisation utilisatrice doit avoir la conviction que l’orga-
protocole USSD ou par SMS ou les cartes SIM, et nisation de confiance dispose de politiques et de normes
peut incorporer plusieurs facteurs d’authentifica- comparables aux siennes, et qu’elle les applique. Les pro-
tion offrant des niveaux de garantie variables. Par tocoles de fédération et le cadre d’assurance facilitent la
exemple, un simple code PIN pour les opérations fédération de l’identité numérique dans et entre les orga-
présentant un risque faible ou bien, pour les tran- nisations et les pays. Le fournisseur du justificatif utilise
sactions présentant un risque fort, des solutions des protocoles de fédération tels que SAML (Security
d’authentification à facteurs multiples (avec recours Assertion Mark-up Language) pour transmettre le résultat
à la biométrie notamment) ou une signature mobile de l’authentification à l’organisation utilisatrice. Cette der-
numérique reposant sur la technologie d’infrastruc- nière saisit le justificatif et l’envoie à l’organisme émetteur
ture à clés publiques (PKI) comportant un élément pour vérification. Après vérification du justificatif, l’orga-
sécurisé. Il est possible de renforcer l’authentifi- nisme émetteur envoie un ensemble d’informations sur
cation au moyen d’un troisième et d’un quatrième l’utilisateur, le résultat de l’authentification et le degré de
facteurs, comme le lieu où se trouve l’individu ou fiabilité des justificatifs utilisés pour authentifier l’utilisateur.
l’analyse dynamique de ses gestes (façon de réali- Pour une utilisation efficace de la fédération partout dans
ser sa signature, par exemple). le monde, l’accord et l’alignement avec le cadre d’assu-
rance défini par l’ISO et l’adoption de protocoles de fédé-
• Identité dans un entrepôt centralisé ou dans le
ration en tant que normes sont essentiels.
nuage : au lieu de délivrer un document d’identité
ou un justificatif mobile, un système d’identité numé-
rique peut faire appel à la biométrie pour l’authentifi- La fédération peut intervenir à des niveaux multiples :
cation à distance. Dans ce cas, l’identité est évaluée
et vérifiée au moyen d’un ordinateur ou d’un autre • Un organisme peut accepter les justificatifs émis par
dispositif doté d’un lecteur biométrique connecté au un autre organisme, tout en authentifiant et autori-
nuage. Un système basé dans le nuage élimine le sant l’individu localement :
besoin de justificatifs physiques et le coût qui y est –– Un passeport émis par le Département
associé, mais nécessite une infrastructure TIC fiable d'État des États-Unis est accepté comme
pour assurer la connectivité, la sécurité de la base justificatif valable par un pays étranger ;
de données centralisée dans un entrepôt (ou plu- pour autant, les services de l’immigration de
sieurs entrepôts pour les infrastructures TIC les plus ce pays authentifient le titulaire et exigent
robustes) et la protection des données transmises un visa (autorisation).
entre le dispositif biométrique et la base centrale
lors du processus dáuthentification (confidentialité • Un organisme peut accepter les caractéristiques
spécifiques (attributs) décrivant un individu qui éma-
et intégrité des données).
nent d’un autre organisme :
–– Votre banque vous demandera votre notation
de crédit délivrée par l’un des organismes de
4.4 Gestion du cycle de vie notation du crédit, plutôt que de détenir et
d’actualiser elle-même ces informations.
Pendant tout le cycle de vie, les fournisseurs d’identité
numérique gèrent et organisent le système d’identité, • Un organisme peut accepter une décision d’autori-
notamment les installations, le personnel, la tenue des sation prise par un autre organisme :
registres, la conformité, l’audit et l’actualisation du statut –– Aux États-Unis, par exemple, un permis de
et du contenu des identités numériques. En effet, les utili- conduire vous autorisant à conduire dans
sateurs (les détenteurs d’identité) pourront être amenés à un État est accepté dans un autre.
devoir actualiser un ou plusieurs attributs liés leur identité,
par exemple leur adresse, leur situation maritale, leur pro- Le cycle de vie de l’identité exige l’application de normes
fession, etc. De leur côté, les fournisseurs d’identité pour- techniques à chaque étape et sous-étape (voir Chapitre 6).
ront devoir révoquer une identité, autrement dit annuler Dans une large mesure, les types d’attributs (biométriques,
l’identité numérique pour des questions de fraude ou de biographiques et autres) saisis pendant l’inscription et les
sécurité par exemple, ou résilier une identité dans le cas méthodes utilisées pour les enregistrer ont des répercus-
du décès de l’individu. sions importantes sur le degré de fiabilité et de confiance
que le système d’identité est capable d’offrir, ainsi que sur
son utilité et son interopérabilité avec d’autres systèmes
d’identité nationaux et internationaux.
6
5. NORMES TECHNIQUES RELATIVES
À L’IDENTITÉ NUMÉRIQUE
Selon la veille technologique de l’Union internationale
5.1 En quoi les normes des télécommunications (UIT), plusieurs organismes
sont-elles importantes ? s’emploient à élaborer des normes techniques pour les
systèmes d’identification numérique. Il s’agit d’organisa-
En règle générale, les normes techniques établissent le tions internationales, comme les agences spécialisées
cahier des charges et les procédures concernant le fonc- des Nations Unies, de consortiums d’entreprises et d’or-
tionnement, l’entretien et la fiabilité des matériaux, maté- ganismes nationaux. Chacun de ces trois types d’orga-
riels, produits, méthodes, procédés et services dont se nismes est brièvement décrit ci-dessous.
servent les individus ou les organisations. Les normes
garantissent la mise en œuvre de protocoles universelle- • Organisations internationales. De grandes orga-
ment reconnus, nécessaires pour assurer le fonctionne- nisations internationales prennent une part active à
ment, la performance, la compatibilité et l’interopérabilité. l’élaboration de normes techniques utiles à l’identité
Ces facteurs sont à leur tour indispensables à la mise au numérique : l’Organisation internationale de nor-
point et à l’adoption d’un produit. Si l’adoption de normes malisation (ISO), la Commission électrotechnique
influe favorablement sur la pénétration du marché et sur internationale (CEI), le Secteur de la normalisa-
le commerce international, leur absence risque de com- tion des télécommunications de l’UIT (UIT-T),
promettre l’efficacité et la fiabilité d’un système d’identité, l’Organisation de l’aviation civile internationale
en matière d’interopérabilité, de connectivité et de dépen- (OACI), l’Organisation internationale du travail
dance à un fournisseur unique notamment. (OIT), le Comité européen de normalisation (CEN),
le World Wide Web Consortium (W3C) et l’Internet
Alors que les cartes d'identité électroniques remplacent Engineering Task Force (IETF) / Internet Society.
progressivement les systèmes papier, l'interopérabilité
entre les différents systèmes, technologies et dispositifs, • Organismes nationaux. Outre les organisations
internationales, des organismes nationaux élaborent
ainsi que les impératifs de sécurité sur lesquels reposent
eux aussi des normes techniques, reposant sur
ces systèmes, sont de plus en plus complexes. Il devient
leurs besoins et systèmes propres. Parmi ces
dès lors d’autant plus important de disposer de normes
organismes, on peut notamment citer notamment
pour encadrer la gestion de l’identité, et de savoir choi-
l’Institut américain de normalisation (ANSI), l’Institut
sir parmi les différentes normes proposées. Cependant, la
national des normes et de la technologie (NIST) des
rapidité des innovations, les bouleversements technolo-
États-Unis, le Comité international pour les normes
giques, la diversification des solutions techniques, l'évolu-
relatives aux technologies de l’information (INCITS),
tion des impératifs dínteropérabilité et de connectivité, et
basé aux États-Unis, le ministère de la Sécurité
la nécessité dáméliorer en permanence la mise en œuvre
intérieure (Department of Homeland Security –
des normes ne facilitent en rien la tâche.
DHS) des États-Unis, le ministère de la Défense
(Department of Defense – DoD) des États-Unis,
Standards Australia (SA), l’Institut de normalisation
suédois (SIS), l’Association nationale suédoise de
5.2 Organismes de normalisation biométrie (SNBA), l’Institut de normalisation allemand
(DIN), l’Association française de normalisation
Les normes sont définies de façon rigoureuse par des (AFNOR), l’Organisme de normalisation néerlandais
organismes créés et mandatés expressément à cet effet. (NEN), l’Autorité indienne de l’identification unique
Dans le cas des normes qui encadrent les technologies (UIDAI), le Bureau indien de normalisation (BIS) et
de l’information et des communications (les TIC), ces l’Organisme pakistanais de normalisation (PSA).
organismes, avec l’appui d’experts, fixent, surveillent et
actualisent en continu les normes techniques destinées à • Consortiums d’entreprises. Des consortiums
satisfaire des besoins variés. Sans pour autant sý limi- d’entreprises et quelques organisations à but non
ter, ces organismes se concentrent sur la production de lucratif participent également, soit à l’élaboration
normes liées aux divers protocoles qui facilitent la fonc- des normes, soit à la promotion de bonnes pratiques
tionnalité et la compatibilité des solutions techniques et visant à satisfaire les besoins de leurs membres.
garantissent ainsi línteropérabilité entre les systèmes. Principaux exemples : le Biometric Consortium,
Ces normes, et les mises à jour qui s’y rapportent, sont consortium parrainé par le gouvernement des États-
régulièrement publiées à l’intention du public2. Unis, la Secure Identity Alliance (SIA), le Center
2
FAQ de l’IEEE (lien)
7
for Identification Technology Research (CITeR), le Normes techniques pour assurer l’interopérabilité
Biometrics Council de l’IEEE, le Biometrics Institute
Les normes relatives à l’interopérabilité relèvent des six
(Australie), la Smart Card Alliance, l’International
grands domaines ci-dessous :
Biometrics and Identification Association (IBIA),
l’initiative Kantara, Open Identity Exchange,
Open Security Exchange, l’Asian Pacific Smart 1. Biométrie – Norme d’image. Plusieurs normes
Card Association (APSCA), l’Organization for the concurrentes sont utilisées pour prendre une image
Advancement of Structural Information of Standards du visage (PNG, JPEG, JPEG2000 dans la plupart
(OASIS), la Fast IDentity Online (FIDO) Alliance et des systèmes, et éventuellement GIF/TIFF (normes
l’Open ID Foundation. propriétaires) dans quelques-uns). L’image des
empreintes digitales a recours aux normes JPEG,
JPEG2000 et WSQ. L’image des empreintes digi-
Si on observe les grands organismes de normalisation, on
tales a recours aux normes JPEG, JPEG2000 et
constate que les pays et les consortiums d’entreprises les
WSQ. Des notes sont proposées pour guider le choix
plus actifs (par l’entremise des sous-comités et groupes
de la norme d’image, notamment pour les images du
de travail, par exemple) sont en contact et collaborent
visage ou des empreintes digitales.
avec l’Organisation internationale de normalisation, ou
ISO, pour modifier ou confirmer les normes qui concernent 2. Biométrie – Pour assurer la reconnaissance biomé-
leurs besoins. Voir l’Annexe A pour en savoir plus sur les trique dans un environnement à systèmes ouverts
comités, sous-comités et groupes de travail techniques de (au sens où le système va interagir avec dáutres
l’ISO qui travaillent sur les normes concernant le cycle de systèmes externes ou où le système utilise des appli-
vie de l’identité numérique. cation open source), il est indispensable d’appliquer
des normes qui encadrent les formats d’échange
de données biométriques et d’autres qui encadrent
les interfaces biométriques si l’on veut garantir un
5.3 Normes techniques échange complet, qui atteste de líntégralité et de
líntégrité des données transmises, et une interopéra-
La présente rubrique énumère les normes techniques bilité optimale. Les données biométriques conformes
recensées pour les systèmes d’identité. Elles concernent à un format d’échange de données biométriques cer-
pour la plupart le justificatif utilisé pour authentifier l’uti- tifié ISO 19794 représentent la composante essen-
lisateur. Le présent rapport ne contient et ne décrit pas tielle de l’interopérabilité biométrique. Les normes qui
les normes techniques qui concernent les applications encadrent les formats d’échange de données biomé-
d’identité partagées avec une application logicielle (appli- triques définissent des formats différents selon les
cation web / ordinateur de bureau / portail). Les normes modalités biométriques utilisées. Les parties qui s’en-
techniques sont regroupées en deux tableaux. Le premier tendent sur un format d’échange de données biomé-
tableau dresse la liste des normes nécessaires pour assu- triques certifié ISO 19794 devraient pouvoir décoder
rer l’interopérabilité. Le second dresse la liste des normes leurs données biométriques mutuelles sans difficulté.
qui concernent la fiabilité des systèmes d’identification et Les normes applicables à l’interface biométrique sont
énoncent diverses contraintes, en matière de sécurité et les normes ISO 19785 – Technologies de l'informa-
de qualité notamment. Ces normes sont réexaminées en tion – Cadre de formats d'échange biométriques com-
continu par les organismes de normalisation. Dans les muns et ISO 19784 – Technologies de l'information
deux tableaux, les normes sont accompagnées d’un lien – Interface de programmation d'applications biomé-
dirigeant vers un site Internet contenant des informations triques (BioAPI). Ces normes facilitent l’échange de
à propos de la norme en question. La page du site de l’ISO données biométriques au sein d’un même système
énumérant les différentes normes donne des informations ou parmi plusieurs systèmes. La norme ISO 19785
sur la version la plus récente de la norme en question, définit la structure de base d’un registre d’informa-
si elle est disponible, et contient un lien dirigeant vers tions biométriques (BIR) normalisé, qui comporte le
cette version. registre dans lequel est consigné l’échange de don-
nées biométriques, avec des métadonnées comme la
date de saisie, la date d’expiration, la présence de
chiffrement ou non, etc. La norme 19784 définit une
API système ouverte, qui facilite les communications
entre les applications logicielles et les services de
technologie biométrique sous-jacents.
3. Carte / Carte intelligente – Pour les pays qui délivrent
un justificatif tangible, carte d’identité électronique
physique, par exemple, les normes comme ISO 7810
sont utiles pour assurer l’interopérabilité et l’inter-
connectivité. Pour les cartes avec contacts sur les-
quelles est insérée une puce informatique en relief,
8
la norme ISO / IEC 7819 s’applique par- FIGURE 3 Normes pour système d’identification
tout dans le monde. Pour les cartes sans
contact, lorsque la puce informatique est
incorporée à l’intérieur de la carte, c’est CHOIX
la norme ISO / IEC 14443 qui est suivie.
Pour les cartes qui peuvent également
servir de documents de voyage élec-
troniques, incluant les cartes dídentité, Normes
les passeports, les permis de conduire biométriques
électroniques et les autres documents
de voyage lisibles à la machine (MRTD)
utilisés pour franchir les frontières, la
conformité à la norme OACI 9303 est Normes
préconisée. Chaque système d’identité
sélectionnera un type de carte en fonc-
encadrant
les documents
tion de critères variés, comme le coût ou
les éléments de sécurité.
Normes
4. Signatures numériques – Plusieurs
pour système Normes
normes non concurrentes sont indiquées. d’identification encadrant
Elles s’appliquent en fonction de l’utilisa-
tion de la signature numérique pour les les signatures
systèmes d’identité. numériques
5. Code à barres 2D – La colonne contenant
les notes d’aide au choix de la norme pré- Normes
sente les avantages et les inconvénients encadrant
des deux formats de codes à barres à
deux dimensions couramment utilisés
les codes
dans les systèmes d’identité, le PDF417 à barres
et le code QR.
6. Protocoles de fédération – On a de plus
en plus recours à l’association Open Protocole
ID Connect et OAuth pour répondre de fédération
aux besoins de fédération, alors que le
protocole SAML a été beaucoup utilisé
précédemment.
La liste des normes applicables pour un sys- 2. Les normes citées à l’extrémité de la branche de
tème d’identité va consister en la somme des normes rete- l’arbre sont les normes applicables en fonction des
nues dans chacune des six catégories ci-dessus. décisions prises en matière de choix de technologie
et de conception système.
La figure 4 présente un schéma d’arbre de décision, qui 3. À certains embranchements, il faudra choisir parmi
permet de sélectionner les normes applicables en fonction plusieurs normes concurrentes. Le tableau contient
des technologies retenues pour la mise en œuvre du sys- des notes d’aide au choix qui aideront à sélectionner
tème d’identification. l’une des normes concurrentes disponibles.
4. Le tableau dressant la liste des normes contient une
1. Partir du sommet et descendre le long de l’arbre en brève description des normes et un lien renvoyant
suivant chaque branche tant que la catégorie de à celles-ci.
technologies ou de normes mentionnée à chaque
embranchement s’applique au système d’identité.
Normes techniques pour des systèmes d’identité fiables

Le tableau « Normes techniques pour des systèmes aux responsables de la mise en œuvre des systèmes
d’identité fiables » énumère les normes qui contiennent d’identification les moyens d’adopter des lignes directrices
des lignes directrices concernant les aspects des sys- et des bonnes pratiques en terme de normes pour leurs
tèmes d’identification liés à la qualité, aux méthodes d’es- systèmes. Dans le cadre de son système Aadhaar, l’Inde
sai, à la confidentialité des données et à l’accessibilité, en a par exemple publié un document définissant des lignes
vue de renforcer la fiabilité de ces systèmes. Elles donnent directrices en matière de sécurité encadrant le recours à la
9
FIGURE 4
ARBRE DE DÉCISION CONCERNANT LE CHOIX DES NORMES
ARBRE DE DÉCISION CONCERNANT LE CHOIX DES NORMES
CHOIX 1 CHOIX 2 CHOIX 3 CHOIX 4
Normes Biométrie Visage Norme d’image JPEG/JPEG2000/PNG

Normes Biométrie Visage Norme d’image JPEG/JPEG2000/PNG
Voir note explicative
Norme de format
ISO 19794 - 5
d’échange
Norme de format
de données
ISO 19794 - 5
d’échange de données
Norme d’interface ISO 19785 (CBEFF)
biométrique
ISO 19784 (BioAPI)
biométrique ISO 19784 (BioAPI)
Empreintes Norme d’image JPEG/JPEG2000/PNG/WSQ
Empreintes JPEG/JPEG2000/PNG/WSQ
digitales Norme d’image
digitales Norme de format ISO 19794 - 4 (Empreinte digitale)
ISO 19794 - 4 2 (Empreinte digitale)
d’échange
Norme de format
de données
(Points
ISO caractéristiques)
19794 -2
Norme d’interface
(Points
ISO 19785caractéristiques)
(CBEFF)
biométrique
ISO 19784 (BioAPI)
Iris Norme d’image JPEG/JPEG2000/PNG
Norme de format
ISO 19794 - 6
Norme de format
ISO 19794 - 6
biométrique
ISO 19784 (BioAPI)
Documents Carte non ISO 7810

Documents Carte non
intelligente ISO 7810
intelligente
Carte Avec contact ISO 7810 et
Carte ISO 7810
7816 et
intelligente Avec contact
ISO 7816
intelligente ISO 7810 et
Sans contact
Sans contact ISO 7810
14443et
ISO 14443
Format lisible ICAO9303
(ISO 7501)
par la machine (ISO 7501)
par la machine
Signature Norme de signature numérique –

Signature
numérique Norme de signature
Génération, numérique –
vérification
FIPS 186-4
FIPS 186-4
numérique Génération, vérification
RSA – Algorithme RFC 3447 RSA
RSA – Algorithme
de signature numérique RFC
(PKCS3447
#1) RSA
de signature numérique (PKCS #1)
FIPS PUB 180-4
Norme de hachage sécurisé FIPS PUB
(SHA-1, 180-4
SHA-512/256 etc.)
Norme de hachage sécurisé (SHA-1, SHA-512/256 etc.)
Norme de sécurité pour FIPS 140-2
Norme
modules decryptographiques
sécurité pour FIPS 140-2
modules cryptographiques
Norme de certificat ITU-T X.509 | ISO/IEC 9594-8
Norme
de clés de certificat
publiques ITU-T X.509 | ISO/IEC 9594-8
de clés publiques
Signature numérique XML W3C/ETSI XAdES
Code
Code
barres Une dimension ISO/IEC 15417
PDF417 / code QR
Deux dimensions PDF417
Voir note /explicative
code QR
Deux dimensions Voir note explicative
Fédération
Fédération OIDC +OAuth / SAML
10 OIDC
Voir +OAuth
note / SAML
explicative
Domaine Norme / Organisme
d’interopéra- Sous- spécification de normali-
N° bilité domaine (nom commun) Description de la norme sation Note d’aide au choix de la norme
A.1 Biométrie Norme ISO/IEC 15444-1 Norme d’encodage d’images ISO et IEC Le format PNG est un format d’images sans perte de
d’image (JPEG2000) (compression avec ou sans perte qualité peu utilisé par les systèmes d’identification.
de qualité) La plupart des systèmes ont retenu les formats JPEG
et JPEG2000 pour les photographies. L’Inde utilise le
A.2 Biométrie Norme ISO/IEC 15948, Technologie – Infographie et traitement W3C format JPEG2000, considéré plus ouvert que le format
d’image (PNG) d’images – Portable Network Graphics JPEG. La norme OACI 9303 autorise à la fois le format
– Compression sans perte de qualité JPEG et le format JPEG2000. Le format JPEG2000
est recommandé pour les passeports de l’Union euro-
péenne, car il donne lieu à des fichiers plus légers que
A.3 Biométrie Norme ISO/IEC 10918:1994 Norme d’encodage d’images – ISO et IEC
les images compressées au format JPEG.
d’image JPEG Compression avec perte de qualité
La norme WSQ est traditionnellement utilisée pour les
images d’empreintes digitales. De nombreux systèmes
A.4 Biométrie Norme WSQ Algorithme de compression utilisé pour NIST d’identification y ont recours. Le système d’identification
d’image les images d’empreintes digitales en indien utilise le format JPEG2000 pour les images des
niveaux de gris empreintes digitales et de l’iris. Aux États-Unis, la plu-
part des forces de l’ordre utilisent le format WSQ pour
un stockage efficace des images d’empreintes digitales
compressées à 500 ppi. Pour les empreintes digitales
compressées à 1 000 ppi, les forces de l’ordre (dont le
FBI) privilégient le format JPEG2000 au format WSQ.
B.1 Biométrie Échange de ISO/IEC 19794-5:2011 Formats d’échange de données ISO et IEC
données – (Image du visage) d’image du visage biométriques.
Visage La norme définit les contraintes de prise
de vue, de qualité photographique, de
numérisation et de format applicables
aux images du visage à utiliser dans le
cadre, tant de la vérification humaine
que de la reconnaissance automatisée
par ordinateur.
B.2 Biométrie Échange de ISO/IEC 19794-4:2011 Format d’échange de registres de ISO et IEC
données – (Empreintes digitales) données pour stocker, enregistrer et
Empreintes transmettre les informations issues
digitales d’un ou plusieurs domaines d’images
digitales ou palmaires pour échange
ou comparaison.
B.3 Biométrie Échange de ISO/IEC 19794-6:2011 Formats d’échange de l’image de l’iris ISO et IEC
données – (Iris) pour système biométrique d’inscription,
Iris de vérification et d’identification.
B.4 Biométrie Échange de ISO/IEC 19794-2:2011 Trois formats de données pour la ISO et IEC
données – (Points caractéristiques représentation des empreintes digitales,
Points de référence) ayant recours à la notion fondamentale
caractéris- des points caractéristiques de référence
tiques de (minutiae) pour l’échange et le stockage
référence de ces données : i) format basé sur
des registres ; ii) format ordinaire ; et
iii) format compact pour utilisation sur
carte intelligente dans une application
« Match-on-Card ».
B.5 Biométrie Échange de ISO/IEC 19794-7:2014 Formats d’échange de données ISO et IEC
données – (Signature) pour données de signature / analyse
Signature dynamique de la signature (analyse
comportementale), captées sous la
forme d’une série temporelle multidi-
mensionnelle au moyen de dispositifs,
comme les tablettes de numérisation ou
les systèmes à stylet perfectionnés.
(suite)
11
B.6 Biométrie Norme ISO 19785 :2015 Les normes d’interface biométrique ISO/IEC
d’interface Common Biometric comprennent les normes ISO/IEC
biométrique Exchange Format 19785 et ISO/IEC 19784 (BioAPI). Ces
Framework – CBEFF normes concernent l’échange de don-
(ou cadre de formats nées biométriques au sein d’un système
d'échange biomé- ou parmi plusieurs systèmes. ISO/IEC
triques communs) 19785 définit la structure de base d’un
Registre d’informations biométriques
(Biometric Information Record – BIR)
normalisé, qui comporte le registre
dans lequel est consigné l’échange
de données biométriques, avec des
métadonnées comme la date de saisie,
la date d’expiration, la présence de
chiffrement ou non, etc.
B.7 Biométrie Norme ISO/IEC 19784-1:2018 Définit une API système ouverte qui ISO/IEC Certaines organisations (l’Union européenne, Interpol
d’interface (spécification BioAPI) autorise les communications entre et les États-Unis, par exemple) ont retenu le format
biométrique les applications logicielles et les de base d’échange d’images d’empreintes digitales et
services technologiques biométriques autres images ANSI/NIST-ITL.
sous-jacents.
C.1 Carte ISO/IEC 7810 Cartes d’identification – ISO et IEC

Caractéristiques physiques
C.2 Carte ISO/IEC 7816 Cartes d’identité électroniques (e-ID) / ISO et IEC
intelligente Cartes intelligentes – Normes pour
cartes avec contacts
C.3 Carte ISO/IEC 14443 Cartes d’identité électroniques (e-ID) / ISO et IEC
intelligente Cartes intelligentes – Normes pour
cartes sans contact
C.4 Carte ICAO 9303 adoptée en Norme pour documents de voyage à ICAO
intelligente tant qu’ISO/IEC 7501 lecture automatique
ISO et IEC
C.5 Carte ISO/IEC 24727 Ensemble d’interfaces de ISO et IEC

intelligente programmation pour interactions
entre les cartes à circuit intégré
et les applications externes
(suite)
12
D.1 Code barres 1D (une ISO/IEC 15417 :2012 Techniques automatiques ISO/IEC Les codes 1D représentent les données horizontale-
dimension) d'identification et de capture des ment au moyen du format barres noires et espaces
données – Spécifications applicables à blancs. Ils conviennent aux nombres courts, mais
la symbologie de code barres 128. au-delà de 25-30 caractères, ils peuvent devenir très
longs. L’encodage du texte et des URL est impossible.
D.2 Code barres 2D (deux ISO/IEC 18004:2015— Caractéristiques de la symbologie de ISO et IEC Les codes barres 2D peuvent stocker plus de mille
dimensions) Code QR (ou code à code QR, méthodes de codage des caractères, y compris les URL et les images.
réponse rapide) caractères de données, formats de Le PDF147 est un code barres empilé lisible au
symboles, caractéristiques dimension- moyen d’un scanner linéaire simple. Il comporte des
nelles, règles de correction d'erreurs, capacités de correction d’erreurs intégrées au sein de
algorithme de décodage de référence, ses rangées linéaires haute résolution, de sorte que
exigences de qualité de production la dégradation de ce type de code barres ne pose pas
et paramètres d'application sélection- un problème majeur. Il se présente sous la forme d’un
nables par l'utilisateur. rectangle allongé, et est très couramment employé
dans les cartes d’identification. Ce format nécessite
D.3 Code barres 2D (deux ISO/IEC 15438: Exigences applicables aux caractéris- ISO et IEC une résolution beaucoup plus importante, que ce soit
dimensions) 2015—PDF417 tiques de la symbologie de code barres, pour imprimer les codes barres ou pour les afficher sur
codage des caractères de données, for- un dispositif.
mats de symboles, dimensions, règles
de correction d'erreurs, algorithme de Le code QR est formé de grands carrés. S’il prend
décodage de référence et nombreux plus de place que le petit PDF147 rectangulaire, il
paramètres d’application. offre cependant une capacité de 3 à 4 fois supérieure.
La création des codes QR est également plus simple
que celle des codes barres PDF147. Les codes QR
n’utilisent pas de scanners linéaires, mais des capteurs
d’image. La résolution est dès lors importante, mais
pas dans la même mesure qu’avec les codes barres
PDF147. Les applications mobiles simples peuvent
facilement scanner les codes QR. Il est en revanche
plus difficile de scanner les codes à barre PDF147,
d’où la nécessité de disposer d’un matériel onéreux
uniquement pour scanner ces codes.
Pour l’authentification hors ligne, l’Inde a recours à un

code QR qui intègre des données chiffrées à signature
numérique. Certains pays de la Communauté d’Afrique
de l’Est utilisent une norme PDF147 pour le code barres
figurant sur leurs cartes d’identité.
E.1 Signatures Norme de FIPS 186-4 Cette norme définit les méthodes de NIST
numériques / signature génération de signatures numériques,
cryptographie numérique DSS pouvant servir à protéger les données
binaires (couramment dénommées un
message) et à vérifier et valider ces
signatures numériques.
E.2 Signatures Algorithme RFC 3447 RSA Utilisation de l’algorithme RSA IETF Internet
numériques / de signature (PKCS #1) pour génération et vérification Society
cryptographie numérique des signatures numériques.
E.3 Signatures Norme de SHS (FIPS PUB Cette norme définit les algorithmes de NIST
numériques / hachage 180-4) hachage sécurisés SHA-1, SHA-224,
cryptographie sécurisé SHA-256, SHA-384, SHA-512,
SHA-512/224 et SHA-512/256.
(suite)
13
E.4 Signatures Sécurité FIPS 140-2 Exigences de sécurité pour modules NIST
numériques / cryptographiques.
cryptographie
E.5 Signatures Infrastruc- ITU-T X.509 | ISO/IEC Le cadre de certificats de clé publique UIT-T, ISO
numériques / ture à clés 9594-8 défini dans cette Recommandation | et IEC
cryptographie publiques Norme internationale définit les objets
d’informations et les types de données
d’une infrastructure à clés publiques
(PKI), notamment les certificats de clé
publique, les listes de révocation de
certificats (CRL), le protocole d’accès
à un courtier de confiance et les listes
d’autorisation de validation (AVL).
E.6 Signatures Signatures XAdES W3C Tandis que XML-DSig est un protocole W3C
numériques / électro- général pour la signature numérique
cryptographie niques des documents, XAdES définit des
avancées profils précis de XML-DSig, mettant ce
XML protocole en conformité avec la régle-
mentation européenne eIDAS.
F.1 Fédération Protocole SAML v2—2005 La norme Security Assertion Markup OASIS La norme SAML a été conçue uniquement pour les
Language (SAML) définit un protocole applications Internet, tandis qu’OpenID Connect,
XML pour l’échange d’informations outre ces applications, prend également en charge
liées à la sécurité (authentification, les applications natives et les applications mobiles.
autorisations et attributs, par exemple)
entre des entités informatiques. SAML OpenID Connect est plus récente et s’appuie sur le flux
facilite l’interopérabilité entre des sys- de processus OAuth 2.0. Testée et éprouvée, elle est le
tèmes de sécurité disparates, et définit plus souvent utilisée par les sites d’achat en ligne, les
le protocole permettant d’exécuter des applications Internet et les applications mobiles. Mobile
transactions en ligne sécurisées et Connect et les solutions de gestion de l’identité de
capables de s’affranchir des frontières Microsoft utilisent ce protocole.
des sociétés. Les entreprises utilisent généralement la norme SAML,
sa cousine aînée. Elle permet par exemple de se
F.2 Fédération Protocole RFC 6749/ OAUTH 2 OAuth 2.0 est le protocole d’autorisation IETF connecter en une seule fois à plusieurs applications
standard du secteur professionnel. dans une entreprise au moyen de son identifiant Active
Il fournit des flux d’autorisation spéci- Directory. Le protocole EIDAS est basé sur SAML.
fiques pour les applications Internet, les
applications PC, les téléphones mobiles Capable de prendre en charge à la fois les applications
et les dispositifs de salon. natives et les applications mobiles, outre les applica-
tions Internet, OpenID Connect est de plus en plus
utilisée dans les nouvelles implémentations.
F.3 Fédération Protocole Open ID connect OpenID Connect 1.0 est une simple OpenID
surcouche d’identification au protocole Foundation
OAuth 2.0. Elle permet aux clients de
vérifier l’identité de l’utilisateur final sur
la base de l’authentification exécutée
par un serveur d’autorisation, ainsi
que d’obtenir des informations de
base sur le profil de l’utilisateur final de
manière interopérable et à la façon de
services Internet.
14
technologie biométrique dans les projets d’administration et de la technologie (NIST) des États-Unis a également
électronique. Ce document, intitulé Security Guidelines for publié des rapports sur la qualité d’image de l’empreinte
Use of Biometric Technology in e-Governance Projects, digitale (NFIQ) et des SDK correspondants, utilisés partout
s’appuie sur les orientations énoncées dans les normes dans le monde.
ISO 24745, ISO19792, ISO 24714 et ISO 24760.
Les normes encadrant la qualité des échantillons biomé-

triques sont importantes pour s’assurer que les systèmes 5.4 Cadres
de reconnaissance automatique sont capables de lire les
données biométriques recueillies. Une mauvaise qualité La norme ISO/IEC 29115 et le règlement eIDAS définissent
de l’échantillon risque en effet d’empêcher l’inscription et/ un cadre de niveaux de garantie pour les systèmes d’iden-
ou de dégrader la performance globale de mise en corres- tification. Dans l’idéal, le système d’identification national
pondance des données biométriques. Sont concernées les devrait se conformer au niveau le plus élevé. Un débat
normes internationales ISO/IEC 29794-4:2017 (données plus approfondi sur ce thème faciliterait la préparation de
d’image de l’empreinte digitale), ISO/IEC TR 29794-5:2010 lignes directrices sur les options pour la mise en œuvre
(données d’image du visage) et ISO/IEC 29794-6:2015 de systèmes d’identification offrant les niveaux de garan-
(données d’image de l’iris). L’Institut national des normes tie les plus élevés. Par ailleurs, des lignes directrices sur
N° Domaine Numéro de la norme Description de la norme

1 Biométrie Série ISO/IEC 29794 Qualité d’échantillon biométrique – Performance de comparaison et correspondance
2 Biométrie Série ISO/IEC 29109 Méthodologie d'essai de conformité pour les formats d'interéchange de
données biométriques
3 Biométrie ISO/IEC 24745 Techniques de sécurité – Protection des informations biométriques
4 Biométrie ISO/IEC 24761 Contexte d'authentification biométrique
5 Biométrie NIST MINEX Le Minutiae Interoperability Exchange Test (MINEX) est un programme du NIST pour
l’exécution d’essais d’interopérabilité de générateurs et extracteurs de points caractéristiques
de référence, pour le programme de vérification de l’identité des personnes (Personal Identity
Verification – PIV) du gouvernement des États-Unis.
6 Biométrie ISO/IEC 19784-1:2018 Spécification BioAPI
7 Biométrie ISO/IEC 24709-1:2017 Test de conformité pour l'interface de programmation d'applications biométriques (BioAPI –
ISO 19784)
8 Biométrie ISO/IEC TR 29194:2015 Guide pour la mise au point de systèmes biométriques accessibles et inclusifs
9 Biométrie ISO/IEC TR 29196:2015 Directives pour l'inscription biométrique
10 Biométrie ISO/IEC TR 30125:2016 Biométrie utilisée avec des appareils mobiles
11 Biométrie ISO 19792:2015 Techniques de sécurité – Évaluation de sécurité de la biométrie
12 Biométrie ISO 24714:2015 Biométrie – Considérations juridictionnelles et sociétales pour applications commerciales –
Partie 1 : orientations générales
13 Confidentialité ISO/IEC 29100 Cadre du domaine privé
14 Confidentialité ISO/IEC 27018 Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII)
dans l'informatique en nuage public agissant comme processeur de PII
15 Confidentialité ISO/IEC 29190 Modèle d'évaluation de l'aptitude à la confidentialité
16 Confidentialité ISO/ IEC 29184 Lignes directrices concernant les déclarations de confidentialité en ligne
et les consentements
17 Gestion Série ISO/IEC 24760 Cadre pour la gestion de l'identité
15
les différentes options, indiquant leurs points forts et leurs 5.4.1 Niveaux de garantie
points faibles et proposant plusieurs cas de figure en guise
Lorsqu’une personne s’identifie ou s’authentifie au moyen
d’exemple, faciliteraient le choix du système d’identifica-
d’un ou plusieurs attributs d’identité, le degré de certitude
tion approprié et des normes techniques applicables.
qu’elle est qui elle prétend être dépend du niveau de fia-
bilité et de sécurité fourni et du contexte dans lequel les
informations sont capturées. C’est ce que l’on appelle le
Description Organisme de
Nom de la norme de la norme normalisation Observations
ISO/IEC 29115 Cadre d'assurance de ISO et IEC Fixe quatre niveaux de garantie pour la gestion modulable de lídentité
l'authentification d'entité et les services d’authentification
FIDO UAF Cadre d’authentification Alliance FIDO Authentification sans mot de passe
universel
eIDAS Identification électronique Règlement européen Règlement de l’Union européenne concernant l’identification et les services de
et services de confiance confiance – Cadre d’interopérabilité des systèmes d’identification de l’UE
niveau de garantie. Les niveaux de garantie dépendent l’authentification. Il énumère également les activités orga-
de la fiabilité des processus d’identification et d’authenti- nisationnelles et de gestion qui correspondent à la phase
fication, et sont essentiels pour contrôler l’accès, assurer de gestion de l’identité, et considère les exigences en
l’intégrité des données et limiter les risques de vols d’iden- matière de fédération et le rôle du cadre d’assurance dans
tité. Plus le niveau de garantie est élevé, plus faible est la même phase sans en faire un processus séparé.
le risque que des prestataires de services se fondent sur
un justificatif compromis lors d’une transaction. Pour éta- La norme ISO 29115 fixe quatre niveaux de garantie, pour
blir l’identité, le niveau de garantie dépend de la méthode la gestion modulable de lídentité et les services d’authen-
d’identification employée, notamment le périmètre des tification. Ces quatre niveaux sont présentés à la figure 5,
informations personnelles et des attributs recueillis à pro- avec les définitions correspondantes du cadre eIDAS de
pos d’une personne lors de son inscription, et du degré l’Union européenne, et vont des protocoles d’authentifica-
de certitude avec lequel ces attributs sont vérifiés (autre- tion faibles présentant des niveaux de risque de sécurité
ment dit, validés). Par exemple, des données à caractère élevés aux protocoles d’authentification forts présentant
personnel recueillies lors de l’inscription mais non dédupli- des niveaux de risque minimaux. Le niveau de risque ne
quées, ou dont la véracité n’est pas vérifiée par comparai- repose pas seulement sur les justificatifs et les processus
son avec les bases de données existantes, donneront lieu utilisés pour l’authentification, mais également sur le degré
à un niveau de garantie faible, en raison de l’absence de de fiabilité avec lequel l’identité a été vérifiée lors de la
validation des informations d’identification. phase d’enregistrement. Selon le type d’applications, les
pays peuvent mettre en œuvre une diversité de protocoles
La norme ISO/IEC 29115 définit un cadre d'assurance de d’authentification pour répondre aux normes nécessaires
l'authentification d'entité. Dans cette recommandation / au cas d’espèce.
norme internationale, l’assurance renvoie à la confiance
placée dans l’ensemble des processus, activités de ges- Les lignes directrices Digital Identity Guidelines 800-63-3
tion et technologies employés pour établir et gérer l’identité du NIST abrogent à partir de 2017 le concept de niveau de
d’une entité, pour les besoins des opérations d’authentifi- garantie comme échelle ordinale unique sur laquelle fon-
cation. Ce cadre recense en outre trois phases, alignées der les exigences propres à la mise en œuvre. Elles pro-
sur les trois grandes activités énumérées dans le cycle posent trois catégories de garantie de l’identité distinctes,
de vie de l’identification : l’inscription, l’accréditation et IAL, AAL et FAL, dans lesquelles les agences devront
16
sélectionner les niveaux de garantie voulus en conjuguant fondamentaux des systèmes d’identification. Ces lignes
une gestion appropriée du risque opérationnel et de confi- directrices, par exemple, proposent des scénarios qui
dentialité et la prise en compte des besoins de la mission : permettront la réalisation de transactions sous pseudo-
nyme, même en cas d’utilisation d’authentifiants forts et
• IAL : processus de vérification de l’identité. multi-facteurs. Elles visent en outre à limiter la diffusion
des informations d’identification, en imposant aux fournis-
• AAL : processus d’authentification.
seurs d’identité fédérée d’accepter un éventail d’options
• FAL : fiabilité d’une affirmation dans un environne- pour l’interrogation des données. Il pourra s’agir d’une
ment fédéré, servant à communiquer des informa- simple vérification de la conformité dún attribut avec une
tions sur l’authentification et les attributs (s’il y a lieu) règle fixée plutôt que de la transmission du détail des infor-
à une partie utilisatrice. mations liées à láttribut vérifié. Par exemple, le système
Certes, dans de nombreux systèmes, la valeur numérique confirmerait que líndividu a plus de 18 ans, sans trans-
sera la même dans les trois catégories. Il ne s’agit pour mettre la date de naissance au système. Certes, pour les
autant pas d’un impératif, et les agences ne doivent pas agences, de nombreux scénarios d’utilisation exigeront
présupposer que ce sera le cas dans tout système donné. l’identification complète des individus. Pour autant, ces
Cette distinction en trois catégories offre aux agences une lignes directrices encouragent l’accès sous pseudonyme
certaine souplesse pour choisir leurs solutions d’identifica- aux services publics numériques chaque fois que possible,
tion. De plus, quel que soit le niveau de garantie, elle leur et, même si une identification complète est nécessaire, la
permet de mieux intégrer divers outils de renforcement de limitation de la quantité d’informations à caractère person-
la protection de la vie privée en en faisant des éléments nel recueillies.
FIGURE 5 Niveaux d’authentification ISO et eIDAS
Définition
FAIBLE SUBSTANTIEL ÉLEVÉ
eIDAS
NIVEAU 4 Niveaux ISO 29115
NIVEAU 3 NIVEAU 3
NIVEAU 2 Authentification
très forte
Hors périmètre Authentification Authentification • Applet SIM
Authentification forte forte avec PKI
sûre • USSD • Applet SIM • Application
NIVEAU 1 • Transparente • Applet SIM • Application smartphone Authentification/
en TEE avec PKI
• SMS + URL • Application smartphone
• PKI eID (PIN) ID électronique
• USSD smartphone en TEE
• Applet SIM • Jeton ou OTP + • Jeton OTP • PKI ID (PIN +
Authentification • Application mot de passe (PIN + TEE SE) (SIM/eSE)
faible smartphone • Biométrie certifié ou SE) • Biométrie
• Jeton ou mot de • Biométrie
Mot de passe passe à usage
traditionnel unique (OTP)
Pas de Présentation Enregistrement Vérification de

Vérification des informations
vérification des informations en personne l’identité lors de
sur l’identité
de l’identité sur l’identité avec vérification l’enregistrement
Très élevé Moyen Faible Minime Minime Niveau de risque
Source : Banque mondiale, 2016.
17
6. CAS D’UTILISATION PAYS
Selon l’environnement propre au pays, quelles sont les illustrent les normes applicables que les États concernés
normes qu’il convient d’adopter et quelles sont celles qu’il peuvent décider d’adopter pour répondre à leurs besoins.
est préférable d’ignorer ? La réponse dépend des objectifs, En élaborant un système d’identification, cependant, l’une
du champ d’application et de l’utilisation envisagée du sys- des priorités est toujours de s’assurer que le choix des
tème d’identification. Les exemples de l’Estonie, de l’Inde, technologies et des normes connexes s’inscrit dans le
du Malawi, du Pakistan et du Pérou présentés ci-dessous cadre réglementaire en vigueur dans un pays.
Exemple 1: L’ID-Kaart en Estonie – Carte intelligente

et carte d’identité sur mobile
L’Estonie possède le système de carte d’identité nationale le plus développé du monde (Wil-
liams-Grut 2016). Le pays a délivré 1,3 million de ses ID-Kaarts intelligentes, chacune associée à
un identifiant unique qui permet à son titulaire d’accéder à plus de 1 000 services publics, comme
les services de santé, le dépôt des déclarations fiscales en ligne et le vote en ligne. À la pointe de
la révolution numérique pour ce qui est des services publics, l’Estonie aspire à devenir un « pays
en tant que service », dans lequel l’identité numérique sécurisée joue un rôle central. La puce
intégrée dans la carte contient les principales données d’identification, comme le nom, la date de
naissance, un numéro d’identification unique et des certificats numériques, pour authentification
et signature numérique des documents. L’accès à chacune des clés de ces certificats numériques
est protégé par un code PIN secret, que l’utilisateur est seul à connaître.
L’ID-Kaart possède des fonctions électroniques avancées qui facilitent l’authentification sécurisée
et la création de signatures numériques juridiquement contraignantes utilisables pour accéder
aux services en ligne dans tout le pays. L’infrastructure e-ID est modulable, souple, interopérable
et fondée sur des normes. Tous les certificats délivrés en association avec le système de carte
d’identité sont des certificats qualifiés, conformes à la directive européenne 1999/93/CE relative
à l’utilisation des signatures électroniques dans les contrats électroniques au sein de l’Union
européenne. La carte est conforme à la norme OACI 9303 relative aux documents de voyage. Le
numéro d’identité personnel et le numéro d’identification du document sont encodés sous la forme
de deux codes barres à une dimension, basés sur la norme ISO 15417. L’Estonie ná pas recours
à la déduplication biométrique pour délivrer une identité unique, mais prend les empreintes digi-
tales au moment de la délivrance de la carte d’identité.
L’ID-Kaart est un justificatif sécurisé qui permet d’accéder aux services publics. Pour signer
numériquement un document, le système a recours à un modèle de communication qui emploie
des phases de travail normalisées sous la forme d’un format de document commun (DigiDoc).
DigiDoc repose sur le format Advanced Electronic Signatures Standard (XAdES), ensemble
d’extensions à la norme XML. XAdES définit un format qui permet le stockage structurel des don-
nées, signatures et attributs de sécurité associés aux signatures numériques, et favorise dès lors
la compréhension commune et l’interopérabilité.
Source : e-Estonia.com et document intitulé « The Estonian ID Card and Digital Signature Concept »
(version 20030307).
18
ESTONIE
Normes Biométrie Visage Norme d’image JPEG
Norme de format
ISO 19794 - 5

Empreintes Norme d’image WSQ

digitales
Norme de format
ISO 19794 - 4


Voir note d’aide au choix
Norme de format
ISO 19794 - 6


intelligente

ISO 7816
intelligente
Sans contact ISO 7810 et
ISO 14443

(ISO 7501)
par la machine
Signature Norme de signature numérique – FIPS 186-4

FIPS PUB 180-4


de clés publiques
Code
PDF417 / code QR
Deux dimensions Voir note d’aide au choix
Fédération
NON APPLICABLE /
NON ADOPTÉ SAML
19
INDE
Exemple 2: Le système indien d’identification biométrique Aadhaar

Normes
L’Autorité indienne de l’identification
Biométrie unique (UIDAI) a délivré un numéro
Visage d’identification unique,
Norme d’image JPEG2000
l’Aadhaar, à plus d’un milliard de résidents. La photographie, les empreintes digitales et l’iris de
chaque résident sont captés avant la délivrance d’un Aadhaar. Il s’agit Norme
de la plus importante base
de format
de données biométriques multimodale du monde. En résultat de la mised’échange
en œuvre ISO 19794 - 5
de de ce système,
données
près de la totalité de la population possède aujourd’hui une identité numérique. En 2009, l’UIDAI a
mis en place un Comité de normalisation biométrique chargé de fixer leNormecap end’interface
matière de normes ISO 19785 (CBEFF)
biométriques, proposer des bonnes pratiques et recommander des procédures biométriques pour
le système. Le comité a recommandé la série ISO/IEC 19794 (parties 1, 2, 4, 5 et 6) et la norme
ISO/IEC 19785 pour encadrer les formats d’échange Empreintes Norme d’image
de données biométriques JPEG2000
et instaurer un
cadre d’échange biométrique commun permettantdigitales
de garantir l’interopérabilité. Le comité a retenu
la norme ISO/IEC 15444 (toutes les parties) pour le système d’encodage (image
Norme JPEG 2000) de
de format ISO 19794 - 4
l’image du visage, des empreintes digitales et de l’iris. d’échange de données ISO 19794 - 2

En parallèle, l’UIDAI a pour principe de recourir à des logiciels libres, également
biométriqueutilisés avec suc- ISO 19784 (BioAPI)
cès aux États-Unis et en Europe. LÚIDAI a préparé le document en anglais Security Guidelines
for Use of Biometric Technology in e-Governance IrisProjects (Lignes directrices
Norme d’image pour lútilisation
JPEG2000
de technologie biométriques dans les projets de gouvernement en ligne) en s’appuyant sur les
orientations énoncées dans les normes ISO 24745, ISO19792, ISO 24714 NormeetdeISO 24760. L’UIDAI
format
a également proposé des normes (comité des normes démographiques) concernant ISO 19794 - 6
les attributs
saisis lors de l’enregistrement et ensuite utilisés pour l’authentification démographique. En outre,
ISO 19785 (CBEFF)
le système Aadhaar recourt largement aux solutions PKI/HSM pour leNorme d’interface
chiffrement des données
pendant la transmission et le stockage et pour protéger l’accès à l’API.
Le système Aadhaar ne délivre pas de carte d’identité

Cartephysique pour l’authentification. Une appli-
Documents non
cation mobile, mAadhaar, permet le stockage électronique des données démographiques (attri-
ISO 7810
intelligente
buts relatifs à lídentité, tels que le nom, la date de naissance, etc.), du numéro Aadhaar et de
la photographie sous la forme d’un code QR. Les résidents reçoivent également un document ISO 7810 et
Carte
plastifié sur lequel figurent les données démographiques, la photo et Avec contact
le code QR (qui contientISO 7816
intelligente
des données chiffrées et signées électroniquement). Le code QR figurant sur ce document papier
ou dans l’application mAadhaar sert également dans certains cas à s’authentifier ISO 7810 et
Sans contact hors ligne, au
ISO 14443
moyen d’une application spécifique. L’authentification au moyen du numéro Aadhaar peut interve-
nir dans l’un ou plusieurs des modes ci-dessous, avec des réponses oui/non : ICAO9303
Format lisible
(ISO 7501)
par la machine
• Authentification démographique.
• Authentification biométrique.
• Signature
Authentification ponctuelle sur mobile avecNorme
PIN. de signature numérique – FIPS 186-4
• L’authentification multifacteurs est une combinaison de deux ou trois des facteurs ci-dessus.
Source : site Internet de l’UIDAI et recommandations du Comité de normalisation biométrique 2009.
FIPS PUB 180-4

Norme de hachage sécurisé (SHA-2)

Norme de certificat ITU-T X.509
de clés publiques
Code
Deux dimensions Code QR
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
20 Voir note d’aide au choix
INDE
Normes Biométrie Visage Norme d’image JPEG2000
Norme de format
ISO 19794 - 5

Empreintes Norme d’image JPEG2000

digitales
Norme de format ISO 19794 - 4
d’échange de données ISO 19794 - 2

Iris Norme d’image JPEG2000
Norme de format
ISO 19794 - 6


intelligente

ISO 7816
intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
Voir note d’aide au choix 21
MALAWI
Exemple 3: Malawi – Biométrie et carte intelligente

Normes
Le Malawi a récemment misBiométrie
en place la couverture universelle de sa Norme
Visage population adulte, en déli-
d’image JPEG2000
vrant une carte d’identité nationale biométrique à 9 millions de personnes. L’opération s’est dérou-
lée sous la supervision du Bureau national de l’enregistrement (NRB),Normerelevant du ministère des
de format
Affaires intérieures et de la Sécurité nationale. Seuls les Malawiens ded’échange
16 ans deoudonnées ISO 19794 - 5
plus reçoivent
une carte d’identité nationale. Ceux de moins de 16 ans ont droit à un certificat de naissance
national. La carte d’identité elle-même est particulièrement avancée. Le Norme d’interface
processus ISO 19785 (CBEFF)
d’enregistre-
ment permet la saisie de dix empreintes digitales, d’une photographie numérique et d’une signa-
ture électronique. La délivrance d’une carte d’identité intelligente unique intervient à la suite d’un
Empreintes Norme WSQ
exercice de déduplication biométrique. La carte d’identité est conforme auxd’image
normes OACI 9303
et ISO 7816, et intègre sept éléments de sécurité digitales
pour empêcher la falsification. Elle contient
également un code QR. Norme de format ISO 19794 - 4
L’applet Identity de l’OACI permettra aux titulaires de cette carte de s’enNormeservir pour emprunter
d’interface ISO 19785 (CBEFF)
tous les vols intérieurs. Dans les aéroports, des lecteurs de cartes permettront
biométrique d’accéder aux ISO 19784 (BioAPI)
données et de vérifier l’identité du titulaire. La carte possède également un certificat numérique,
délivré par le Bureau national de l’enregistrement. Iris De la même manière, l’applet e-Health lui
Norme d’image JPEG/JPEG2000/PNG
permettra de faire office de carte d’assurance maladie virtuelle (conforme à la norme européenne Voir note d’aide au choix
CWA15974), de sorte que les bureaux de santé pourront l’utiliser pour vérifier
Norme de l’identité
format du titulaire
et lui rendre les services auxquels il a droit. Cependant, si la carte d’identité nationale possède laISO 19794 - 6
capacité de faire office de carte d’assurance maladie, le ministère de la Santé n’a pas encore pris
ISO 19785 (CBEFF)
la décision qui lui permettra d’être utilisée à cet effet. Le cas échéant, Norme d’interface ne seraient
les Malawiens
plus obligés de détenir une carte d’assurance maladie séparée, la carte d’identité nationale incor-
porant les principaux éléments de ce type de carte, en conformité avec les normes internationales
observées par les pays européens, la Nouvelle-Zélande et l’Australie. L’applet KPI (infrastructure
Documents Carte non
à clés publiques) donne aux pouvoirs publics les moyens de faire de cette carte le socle sur lequel ISO 7810
intelligente
déployer, par exemple, un programme d’inclusion financière ou de protection sociale et de vérifier
l’identité des bénéficiaires. Pour terminer, l’applet e-Driver’s License est capable de vérifier si le
titulaire possède le permis de conduire. ISO 7816
intelligente
ISO 7810 et
Source : Tariq Malik, Malawi’s Journey Towards Transformation: Lessons from itsSans contact
National ID Project, Center
ISO 14443
for Global Development (2018).
(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
MALAWI
Norme de format
ISO 19794 - 5


digitales
Norme de format ISO 19794 - 4


Norme de format
ISO 19794 - 6


intelligente

ISO 7816
intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
PAKISTAN
Exemple 4: e ID intelligente au Pakistan –

Biométrie et carte intelligente
Avec plus de 121 millions de cartes d’identité délivrées, le NADRA, le service pakistanais en
charge de la base de données nationale et de l’enregistrement, a enregistré
Norme98 de% de la population
format
ISO 19794 - 5
adulte de plus de 18 ans du pays. La carte d’identité pakistanaise a progressivement évolué au fil
des années. C’est aujourd’hui une carte d’identité électronique intelligente, qui contient plusieurs
attributs permettant de répondre aux enjeux d’un monde numérique et connecté. Le NADRA ISO
biométrique a 19784 (BioAPI)
conçu sa carte pour répondre également aux besoins des Pakistanais expatriés. En résultat, sa
carte d’identité électronique intelligente destinéeEmpreintes
aux Pakistanais deNormel’étranger,
d’image
la NICOP, est
WSQ
conforme à la norme OACI 9303, partie 3, volume 1, ainsi
digitales qu’à la norme ISO 7816-4. Une carte
NICOP conforme aux normes de l’OACI est acceptée comme carte d’identité numérique dans
Norme de format
tous les aéroports internationaux et aux points d’entrée et de sortie dud’échange
territoire.de données ISO 19794 - 2
Normeàd’interface ISO 19785 (CBEFF)

Le NADRA a également pour ligne directrice ou pour principe de recourir des logiciels libres
pour le développement des applications. Les données démographiques et les données biomé-
triques sont utilisées en parallèle pour améliorer le processus de déduplication. Les services du
NADRA en charge de la gestion de la qualité et de Irisla production des Norme
cartesd’image
d’identité sont éga-
JPEG/JPEG2000/PNG
lement certifiés ISO 9001:2000. La carte d’identité électronique intelligente intègre 20 éléments
Norme
de sécurité apparents ou dissimulés pour éviter la falsification. Le verso de format
comporte également un ISO 19794 - 6
code QR et une zone à lecture automatique.
Source : analyse de l’auteur.

intelligente
Carte Avec contact ISO 7816

intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
PAKISTAN
Norme de format
ISO 19794 - 5


digitales
Norme de format
ISO 19794 - 2


Norme de format
ISO 19794 - 6


intelligente
Carte Avec contact ISO 7816

intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
Fédération
NON APPLICABLE /
OIDC +OAuth / SAML
NON ADOPTÉ
PÉROU
Exemple 5: Carte d’identité électronique avec certificat numérique

au Pérou
La carte d’identité nationale électronique péruvienne (DNIe) est délivrée par le Registre natio-
nal de l'identification et de l'état civil (RENIEC). Le RENIEC, entité autonome
Norme de dont
formatles fonctions
ISO 19794 - 5
d’échange
concernent l’état civil, l’identification et les signatures numériques, a délivré de données
30 millions de cartes
d’identité électroniques à la quasi-totalité de la population du pays. Norme d’interface ISO 19785 (CBEFF)
La carte d’identité électronique donne aux Péruviens une identité numérique qui peut être
authentifiée de façon physique et virtuelle. CetteEmpreintes
carte intègre deux Norme
certificats numériques qui
d’image JPEG/JPEG2000/PNG/WSQ
permettent au titulaire de signer des documentsdigitales
électroniques avec la même valeur probante Voir note d’aide au choix
qu’une signature manuscrite. La carte d’identité électronique péruvienne est conforme
Norme de format
à la norme
ISO/IEC-7816, et son système biométrique à la norme ISO/IEC 19794. Également
d’échange conforme ISO
de données à 19794 - 2
la norme OACI 9303, la carte sert aussi de document de voyage à lecture automatique (MRTD).
Source : entretien avec un représentant du RENIEC.
Norme de format
ISO 19794 - 6


intelligente

ISO 7816
intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
PDF417 / Code QR
Fédération
NON APPLICABLE /
NON ADOPTÉ OIDC
26
PÉROU
Norme de format
ISO 19794 - 5

Empreintes Norme d’image JPEG/JPEG2000/PNG/WSQ

digitales
Norme de format
ISO 19794 - 2


Norme de format
ISO 19794 - 6


intelligente

ISO 7816
intelligente
ISO 14443

(ISO 7501)
par la machine

FIPS PUB 180-4


de clés publiques
Code
PDF417 / Code QR
Fédération
NON APPLICABLE /
NON ADOPTÉ OIDC
27
7. CONCLUSION
L’application de normes adéquates est déterminante pour être la solution à privilégier. Il faudra alors s’assurer
exploiter tout le potentiel l’identité numérique et pour pro- qu’elle ne débouche pas sur la dépendance à un seul
mouvoir la mise en œuvre d’une plateforme d’identité fournisseur, en sélectionnant pour le système des
numérique qui soit interopérable, modulable, sûre et effi- composants qui prennent en charge des normes API
ciente pour assurer la prestation des services. En l’absence ouvertes et permettent d’accéder aux données sys-
de normes, il sera difficile de mettre en place des systèmes tème dans des formats PDF ouverts (voir les normes
transversaux qui soient interopérables. Face au foison- sémantiques ci-dessous). Cette approche permettra
nement des normes, il est primordial de savoir lesquelles également d’intégrer ou de supprimer des éléments
adopter. La plupart des organismes normalisateurs char- du système à mesure que les fournisseurs changent
gés de mettre au point l’inscription biométrique, l’authenti- ou que de nouvelles solutions plus efficientes se
fication, la délivrance et la gestion de l’identité participent présentent. En outre, pour certaines fonctions d’un
aux comités techniques et aux groupes de travail de l’ISO, système d’identification autonomes et ne devant pas
ce qui contribue grandement à l’acceptation des normes nécessairement être interopérables, comme la dédu-
établies. Cependant, comme le montrent les exemples de plication, on pourra privilégier le recours à une solu-
pays présentés plus haut, le choix précis des normes appli- tion fermée, en supposant que la dépendance à un
cables dépendra de la finalité, du champ d’application et de seul fournisseur ne pose pas de problème.
la fonction du système d’identification national, ainsi que 2. Les normes techniques ne suffisent pas à
du budget que les autorités sont disposées à consacrer elles seules. Lors de la mise au point d’un sys-
à ces systèmes. Dans certains pays, la carte d’identité a tème d’identification, outre l’application de normes
des fonctions multiples, et peut servir notamment de per- techniques ouvertes, il importe également de tenir
mis de conduire, document de voyage et carte d’assurance compte de normes sémantiques si l’on veut facili-
maladie. Ce type de carte devra dès lors se conformer aux ter l’interopérabilité. Les normes sémantiques défi-
normes exigées par chaque fonction. Voir, par exemple, le nissent les formats de données et les métadonnées
cas du Malawi au chapitre 6. pour les attributs d’identité comme le nom et la date
de naissance (par exemple, le nombre de caractères
Pour résumer, il est important de tenir compte de plusieurs autorisé pour un nom, l’ordre à respecter pour ren-
considérations lors de la mise au point d’un système seigner le prénom, le deuxième prénom et le nom
d’identification et de l’application de normes : ou le format de la date ou la date de naissance
(mm/jj/aaaa ou jj/mm/aa). Leur but est de facili-
1. Utiliser des normes ouvertes si possible. Le ter l’échange interopérable des données entre les
recours à des normes ouvertes peut aider à garantir systèmes. De plus, outre les normes techniques
la fiabilité, l’interopérabilité et la neutralité technolo- et sémantiques, de nombreux autres aspects sont
gique d’un système d’identification. Il importe cepen- à prendre en compte lors de la mise au point d'un
dant de se demander au préalable si la norme ouverte système d’identification fiable, viable et inclusif. L’ini-
est largement utilisée sur le marché. La désaffection tiative ID4D a élaboré un éventail d’outils, dont un
du marché pour certaines normes ouvertes peut tra- modèle permettant de chiffrer le coût d’un système
duire un problème de performance ou autre auquel il d’identification notamment, capables d’aider à bien
convient de réfléchir. Si une norme n’est pas large- réfléchir à la conception d’un système. Un guide
ment utilisée, il pourra alors se révéler difficile d’as- opérationnel prochainement publié sur le site de
surer la mise en concurrence au moment de retenir l’initiative ID4D (id4d.worldbank.org) présentera un
un produit ou une solution potentiel. Une évaluation résumé de ces outils.
complète des besoins est indispensable avant de
3. Se tourner vers l’avenir. Les normes ne sont pas
sélectionner les composantes de la solution. Lors-
statiques. Elles évoluent dans le temps, à mesure
qu’une solution innovante est recherchée, le mar-
que de nouvelles technologies émergent. Il est dès
ché peut ne pas avoir adopté largement les normes
lors important de se tenir au courant des technologies
applicables, si la solution est conçue pour répondre
émergentes et des nouvelles normes applicables
à des besoins ou à des enjeux particuliers notam-
aux systèmes d’identification. Il importe également
ment. De la même manière, dans les applications de
d’en tenir compte en mettant au point un système
niche, les forces du marché ne donneront qu’à une
d’identification, de manière à ne pas investir dans un
poignée de fournisseurs les moyens d’exister. Dans
système risquant de devenir rapidement obsolète ou
certaines situations, une solution fermée pourra éga-
de se révéler coûteux à optimiser au fur et à mesure
lement offrir de meilleurs résultats qu’une norme
de l’émergence de nouvelles technologies.
ouverte. Dans ce cas, la solution fermée pourra
28
BIBLIOGRAPHIE
Ashiq, J. A. The eIDAS Agenda: Innovation, Interoper- IEEE. What Are Standards? Why Are They Impor-
ability and Transparency. Cryptomathic, consulté le tant? IEEE, 2011. http://standardsinsight.com/
18 mars 2016. ieee_company_detail/what-are-standards-why-are-
they-important.
Banque mondiale. Digital Identity: Towards Shared
Principles for Public and Private Sector Cooperation. PIRA. The Future of Personal ID to 2019. Smithers PIRA
ID4D. 2016. International, 6 juin 2014.
Banque mondiale. Technology Landscape for Digital Iden- Règlement (UE) n° 910/2014 du Parlement européen et
tification. ID4D. 2018). du Conseil du 23 juillet 2014 sur l’identification électro-
nique et les services de confiance pour les transactions
ENISA. Mobile ID Management. European Network and électroniques au sein du marché intérieur et abrogeant
Information Security Agency, consulté le 11 avril 2016. la directive 1999/93/CE.
Europa.eu. Règlements, directives et autres actes législa- Turner, Dawn M. eIDAS from Directive to Regulation—
tifs. Union européenne, consulté le 18 mars 2016. Legal Aspects. Cryptomathic, consulté le 18 mars 2016.
Fumy, Walter, et Manfred Paeschke. Handbook of eID Turner, Dawn M. Understanding Major Terms Around Digi-
Security: Concepts, Practical Experiences, Technolo- tal Signatures. Cryptomathic, consulté le 18 mars 2016.
gies. John Wiley & Sons, 13 décembre 2010.
UIT. Biometrics and Standards. Secteur de la normali-
Gelb, Alan, et Julia Clark. Identification for Develop- sation des télécommunications, Union internationale
ment: The Biometrics Revolution. Working Paper, des télécommunications, consulté le 11 avril 2016.
Washington, DC: Center for Global Development, 2013.
UIT. Biometric Standards: ITU-T Technology Watch
Gomes de Andrade, Norberto Nuno, Shara Monteleone, Report. Union internationale des télécommunications,
et Aaron Martin. Electronic Identity in Europe: Legal décembre 2009.
Challenges and Future Perspectives (eID 2020). Centre
commun de recherche, Commission européenne, 2013. van Zijp, Jacques. Is the EU Ready for eIDAS? Secure
Identity Alliance, consulté le 18 march 2016.
GSMA et SIA. Mobile Identity—Unlocking the Potential of
the Digital Economy. Groupe Spécial Mobile Associa- Williams-Grut, Oscar. « Estonia wants to become a ‘coun-
tion (GSMA) et Secure Identity Alliance, octobre 2014. try as a service’. » Business Insider, 2016.
29
ANNEXE A
COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS
ET GROUPES DE TRAVAIL DE L’ISO/IEC ET LEUR MANDAT
Comités techniques et groupes de travail 1. ISO/IEC JTC 1/SC 37 : Biométrie

de l’ISO 2. ISO/IEC JTC 1/SC 27 : Techniques de sécurité des
L’ISO a créé des comité techniques, sous-comités et technologies de l’information
groupes de travail en communication permanente avec 3. ISO/IEC JTC 1/SC 17 : Identification des cartes et
d’autres organisations nationales et internationales, ainsi des personnes
qu’avec les consortiums d’entreprises prenant part à l’exa-
4. ISO/IEC JTC 1/SC 6 : Télécommunications et
men ou à la définition des normes. L’ISO et la Commis-
échange d’informations entre les systèmes (normes
sion électrotechnique internationale ont formé un comité
sur la signature numérique / PKI)
technique mixte, dénommé ISO/IEC JTC 1, pour assurer
partout dans le monde une approche globale de l’élabo-
ration et de l’approbation de normes biométriques inter- Ces sous-comités travaillent avec d’autres sous-
nationales. Au sein du JTC 1, les sous-comités 37, 27 comités au sein de l’ISO (comités de liaison), ainsi qu’avec
et 17 concernent tous les pays qui prévoient d’instaurer des organisations externes (organisations en liaison),
un système d’identité numérique. Les sous-comités se dont certaines prennent part à l’élaboration de normes
répartissent en divers groupes de travail, chargés d’élabo- connexes. Le tableau ci-dessous indique le rôle, le champ
rer et d’actualiser les normes propres au cycle de vie de d’action et le mandat des sous-comités techniques et de
l’identité numérique : leurs groupes de travail.
30
FIGURE 6 ISO/IEC JTC 1 : Sous-comités et groupes de travail en charge de la gestion
de l’identité
Comité technique mixte

ISO/IEC JTC 1
Sous-comité Sous-comité
Sous-comité Sous-comité
ISO/IEC JTC 1/SC 17 ISO/IEC JTC 1/SC 6
ISO/IEC JTC 1/SC 37 ISO/IEC JTC 1/SC 27
Identification des cartes
Biométrie Techniques de sécurité
et des personnes
ISO/IEC JTC 1/SC 37/WG 1 ISO/IEC JTC 1/SC 27/SWG-M ISO/IEC JTC 1/SC 17/WG 1 ISO/IEC JTC 1/SC 6/WG 1
Vocabulaire biométrique Gestion Caractéristiques physiques Couches physiques
harmonisé et méthodes d’essai pour et couches de liens
les cartes d’identification de données
ISO/IEC JTC 1/SC 37/WG 2 ISO/IEC JTC 1/SC 27/SWG-T ISO/IEC JTC 1/SC 17/WG 3 ISO/IEC JTC 1/SC 6/WG 7
Interfaces techniques Éléments transversaux Cartes d'identification – Réseau, transport
biométriques Documents de voyage et futur réseau
lisibles par machine
ISO/IEC JTC 1/SC 37/WG 3 ISO/IEC JTC 1/SC 27/WG 1 ISO/IEC JTC 1/SC 17/WG 4 ISO/IEC JTC 1/SC 6/WG 10
Formats d’échange de Systèmes de gestion de la Cartes avec circuit intégré Répertoire, ASN.1
données biométriques sécurité de l’information et enregistrement
ISO/IEC JTC 1/SC 37/WG 4 ISO/IEC JTC 1/SC 27/WG 2 ISO/IEC JTC 1/SC 17/WG 5
Mise en œuvre technique Cryptographie et mécanismes Comité de gestion
des systèmes biométriques de sécurité pour l’enregistrement
Essais biométriques Évaluation de la sécurité, Cartes avec circuit
et rapports d’essais associés essais et spécifications intégré sans contact
Aspects transjuridictionnels Contrôles et services Cartes et appareils
et sociétaux de la biométrie de sécurité à mémoire optique
ISO/IEC JTC 1/SC 27/WG 5 ISO/IEC JTC 1/SC 17/WG 10

Gestion d'identité Permis de conduire
et technologies pour véhicule à moteur
de domaine privé et documents associés
ISO/IEC JTC 1/SC 17/WG 11

Application de la biométrie
Source : analyse de l’auteur. aux cartes et à l’identification
des personnes
31
Sous-comités /
Groupes de travail Domaine de travail Description
ISO/IEC JTC 1/SC 37 Normalisation des technologies biométriques génériques Cadres de fichiers communs, interfaces de programmation
Biométrie concernant les êtres humains pour faciliter l’interopérabilité et d’applications biométriques (BioAPI), formats d’échange de
l’échange de données parmi les applications et les systèmes. données biométriques, profils biométriques connexes, application
de critères d’évaluation aux technologies biométriques, métho-
dologies concernant les essais de performance et les rapports
d’essais associés et les aspects transjuridictionnels et sociétaux.
ISO/IEC JTC 1/SC 37/WG 1 Vocabulaire biométrique harmonisé
ISO/IEC JTC 1/SC 37/WG 2 Interfaces techniques biométriques
ISO/IEC JTC 1/SC 37/WG 3 Formats d’échange de données biométriques
ISO/IEC JTC 1/SC 37/WG 4 Mise en œuvre technique des systèmes biométriques
ISO/IEC JTC 1/SC 37/WG 5 Essais biométriques et rapports d’essais associés
ISO/IEC JTC 1/SC 37/WG 6 Aspects transjuridictionnels et sociétaux de la biométrie
ISO/IEC JTC 1/SC 27 IT Élaboration de normes pour la protection de l’information et Élaboration de normes internationales, rapports techniques et
Techniques de sécurité des technologies de l’information et des communications (TIC). cahiers des charges techniques dans le domaine de la sécurité
Le domaine de travail englobe les méthodes, techniques et de l’information et des technologies de l’information. Les
lignes directrices de nature générale destinées à répondre aux activités de normalisation de ce sous-comité comprennent les
aspects de sécurité et de protection de la vie privée. 1) Méthode méthodes générales, les impératifs des systèmes de gestion, les
pour cerner les impératifs de sécurité ; 2) Gestion de la sécurité techniques et les lignes directrices en vue d’assurer la sécurité et
de l’information et des TIC, et notamment les systèmes de la confidentialité de l’information.
gestion de la sécurité de l’information, du processus de sécurité,
des contrôles et services de sécurité ; 3) Mécanismes de sécu-
rité cryptographiques et autres, et notamment, sans pour autant
s’y limiter, les mécanismes permettant d’assurer le contrôle,
la disponibilité, l’intégrité et la confidentialité des informations ;
4) Documentation d’appui à la gestion de la sécurité, notam-
ment la terminologie, les lignes directrices et les procédures
d’enregistrement des éléments de sécurité ; 5) Aspects liés à
la sécurité de la gestion de l’identité, de la biométrie et de la
protection de la vie privée ; 6) Évaluation de la conformité, des
impératifs d’accréditation et de contrôle dans le domaine des
systèmes de gestion de la sécurité de l’information ; 7) Critères
et méthodes pour l’évaluation de la sécurité.
ISO/IEC JTC 1/SC 27/SWG-M Gestion
ISO/IEC JTC 1/SC 27/SWG-T Éléments transversaux
ISO/IEC JTC 1/SC 27/WG 1 Systèmes de gestion de la sécurité de l’information
ISO/IEC JTC 1/SC 27/WG 2 Cryptographie et mécanismes de sécurité
ISO/IEC JTC 1/SC 27/WG 3 Évaluation de la sécurité, essais et spécifications
ISO/IEC JTC 1/SC 27/WG 4 Contrôles et services de sécurité
ISO/IEC JTC 1/SC 27/WG 5 Gestion d'identité et technologies de domaine privé
ISO/IEC JTC 1/SC 17 Normalisation concernant les documents d’identification et Élabore et facilite les normes dans le domaine des cartes
Identification des cartes documents associés, les cartes et les appareils associés à d’identification et de l’identification des personnes
et des personnes leur utilisation dans les applications intersectorielles
et l’échange international
32
Sous-comités /
Groupes de travail Domaine de travail Description
ISO/IEC JTC 1/SC 17/WG 1 Caractéristiques physiques et méthodes d'essais pour

les cartes d'identification
ISO/IEC JTC 1/SC 17/WG 3 Cartes d'identification - Documents de voyage lisibles

par machine
ISO/IEC JTC 1/SC 17/WG 4 Cartes avec circuit intégré avec contacts
ISO/IEC JTC 1/SC 17/WG 5 Comité de gestion pour l'enregistrement (RMG)
ISO/IEC JTC 1/SC 17/WG 8 Cartes avec circuit intégré sans contact
ISO/IEC JTC 1/SC 17/WG 9 Cartes et appareils à mémoire optique
ISO/IEC JTC 1/SC 17/WG 10 Permis de conduire pour véhicule à moteur

et documents associés
ISO/IEC JTC 1/SC 17/WG 11 Application de la biométrie aux cartes et à l'identification

des personnes
Source : ISO http://www.iso.org/iso/home.htm.
33
34

French ID4D Standards Catalog 2018

Transféré par

Droits d'auteur :

Formats disponibles

French ID4D Standards Catalog 2018

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

French ID4D Standards Catalog 2018

Transféré par

Droits d'auteur :

Formats disponibles

Public Disclosure

À PROPOS DE L’INITIATIVE ID4D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii

4. CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE . . . . . . . . . . . . . . . . . . . . 7

6. CAS D’UTILISATION PAYS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

ANNEXE A : COMITÉS TECHNIQUES MIXTES, SOUS-COMITÉS

FIGURE 2 CYCLE DE VIE DE L’IDENTITÉ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

FIGURE 3 NORMES POUR SYSTÈME D’IDENTIFICATION . . . . . . . . . . . . . . . . . . . . . . . . 9

FIGURE 4 ARBRES DE DÉCISION CONCERNANT LE CHOIX DES NORMES . . . . . . . . . . . . . 10

FIGURE 5 NIVEAUX D’AUTHENTIFICATION ISO ET EIDAS . . . . . . . . . . . . . . . . . . . . . . . 17

FIGURE 6 ISO/IEC JTC 1 : SOUS-COMITÉS ET GROUPES DE TRAVAIL EN CHARGE

AFNOR Association française de normalisation

Pour en savoir plus sur l’initiative ID4D, visiter id4d.worldbank.org.

Questions juridiques, politiques et réglementaires concernant

Opérabilité, sécurité, confidentialité et performance, y compris sous

Normes de données, et dictionnaires de données pour assurer

Normes concernant les composants logiciels et matériels,

FIGURE 2 Cycle de vie de l’identité

1. Enregistrement (preuve de l’identité)

Partout dans le monde, les écosystèmes de l’identité numé- 4.1 Enregistrement

Types de systèmes de justificatifs électroniques :

Normes techniques pour des systèmes d’identité fiables

Normes Biométrie Visage Norme d’image JPEG/JPEG2000/PNG

Documents Carte non ISO 7810

Signature Norme de signature numérique –

C.1 Carte ISO/IEC 7810 Cartes d’identification – ISO et IEC

C.5 Carte ISO/IEC 24727 Ensemble d’interfaces de ISO et IEC

Pour l’authentification hors ligne, l’Inde a recours à un

Les normes encadrant la qualité des échantillons biomé-

N° Domaine Numéro de la norme Description de la norme

3 Biométrie ISO/IEC 24745 Techniques de sécurité – Protection des informations biométriques

4 Biométrie ISO/IEC 24761 Contexte d'authentification biométrique

6 Biométrie ISO/IEC 19784-1:2018 Spécification BioAPI

9 Biométrie ISO/IEC TR 29196:2015 Directives pour l'inscription biométrique

10 Biométrie ISO/IEC TR 30125:2016 Biométrie utilisée avec des appareils mobiles

11 Biométrie ISO 19792:2015 Techniques de sécurité – Évaluation de sécurité de la biométrie

13 Confidentialité ISO/IEC 29100 Cadre du domaine privé

15 Confidentialité ISO/IEC 29190 Modèle d'évaluation de l'aptitude à la confidentialité

17 Gestion Série ISO/IEC 24760 Cadre pour la gestion de l'identité

FIGURE 5 Niveaux d’authentification ISO et eIDAS

NIVEAU 4 Niveaux ISO 29115

Pas de Présentation Enregistrement Vérification de

Très élevé Moyen Faible Minime Minime Niveau de risque

Source : Banque mondiale, 2016.

Exemple 1: L’ID-Kaart en Estonie – Carte intelligente

Normes Biométrie Visage Norme d’image JPEG

Norme d’interface ISO 19785 (CBEFF)

Empreintes Norme d’image WSQ

Norme d’interface ISO 19785 (CBEFF)

Iris Norme d’image JPEG/JPEG2000/PNG

Norme d’interface ISO 19785 (CBEFF)

Documents Carte non ISO 7810

Carte Avec contact ISO 7810 et

Format lisible ICAO9303

Signature Norme de signature numérique – FIPS 186-4

FIPS PUB 180-4

Norme de sécurité pour FIPS 140-2

Signature numérique XML W3C/ETSI XAdES

Exemple 2: Le système indien d’identification biométrique Aadhaar

5. NORMES TECHNIQUES RELATIVES À L’IDENTITÉ NUMÉRIQUE . . . . . . . . . . . . . . . . . . . . 7

Exemple 1: L’ID-Kaart en Estonie – Carte intelligente

Exemple 4: e ID intelligente au Pakistan –

Exemple 5: Carte d’identité électronique avec certificat numérique