Un passeport biométrique est un passeport papier traditionnel doté d’une puce à microprocesseur et d’une antenne qui contient des informations biométriques utilisées pour identifier le titulaire. La combinaison puce microprocesseur et antenne est généralement une puce d’identification par radiofréquence (RFID) et utilise des ondes radio pour échanger des informations avec un lecteur. La puce RFID dans un passeport biométrique contient généralement toutes les informations imprimées sur le document physique ainsi qu’une image faciale numérique. On pense que ce type de passeport empêche la falsification et permet aux voyageurs de se déplacer plus rapidement et en toute sécurité entre les pays, mais certains soutiennent que l’utilisation de puces RFID porte atteinte aux libertés civiles.
Le développement et la mise en œuvre des passeports biométriques ont commencé vers 2003. Cette année-là, l’Organisation de l’aviation civile internationale a adopté un plan visant à déployer des passeports lisibles par machine avec des puces RFID. Les 188 pays membres, y compris les États-Unis, étaient liés par le plan. Le premier passeport biométrique américain a été délivré en 2005.
Il est difficile et coûteux à partir de 2011 de falsifier la puce intégrée dans un passeport biométrique car Public Key Infrastructure est le système d’authentification des données utilisé. En plus d’une image faciale numérique, les puces RFID peuvent également contenir des informations sur les empreintes digitales et l’iris. Ces images stockées sur la puce sont comparées aux caractéristiques de la personne se réclamant du titulaire lors des procédures d’identification aux frontières ou en douane.
En raison de problèmes de falsification, toutes les informations contenues dans la puce RFID d’un passeport biométrique ne sont pas publiques. Généralement, la puce comprend un numéro d’identification imprimé sur sa surface et une signature numérique. Ces deux numéros sont stockés dans une base de données et associés aux informations personnelles du titulaire du passeport. Les informations stockées dans la puce RFID ne peuvent pas être modifiées ; si les données du titulaire changent, il aura besoin d’un nouveau passeport et devra peut-être payer des frais de traitement.
La puce dans un passeport biométrique est équipée de certaines protections pour dissuader la falsification. Certaines puces reçoivent des identifiants de puce aléatoires pour empêcher le traçage. Le contrôle d’accès de base exige que le lecteur fournisse une clé avant que les données de la puce ne soient accessibles, tandis que l’authentification passive empêche la modification des données. Le clonage de la puce est dissuadé avec l’authentification active. Si la puce comprend des données d’empreintes digitales et d’iris, le contrôle d’accès étendu (EAC) sera utilisé pour son cryptage fort ; L’EAC est devenu obligatoire dans l’Union européenne en juin 2009.
Malgré ces protections, plusieurs vulnérabilités ont été démontrées dans les puces de passeport biométriques. Marc Witteman a révélé en 2005 que certains numéros de documents de passeport sont prévisibles, ce qui permet de deviner plus facilement la clé de cryptage de la puce. L’EAC, l’authentification passive et l’authentification active ont également été la cible d’attaques réussies en Grande-Bretagne et dans d’autres pays.
Certaines organisations soutiennent que les puces peuvent être lues sans fil à distance par toute personne disposant de l’équipement approprié. De telles vulnérabilités ont conduit les militants de la protection de la vie privée à affirmer que des cartes de contact devraient être émises au lieu de passeports biométriques. Une carte de contact est lue en la glissant dans un lecteur comme une carte de crédit, éliminant ainsi la possibilité que quelqu’un lise les informations de la puce de loin. D’autres pays ont adopté la technologie des cartes à puce sans contact plutôt que la puce RFID.
Un passeport biométrique délivré dans l’Union européenne contient des informations d’imagerie numérique et de numérisation d’empreintes digitales sur la puce à partir de 2011, à quelques exceptions près pour les États membres individuels. De nombreux autres pays délivrent désormais des passeports biométriques, notamment le Canada, la Suisse et Singapour. Les pays dépourvus de la capacité technologique et de l’infrastructure nécessaires retarderont nécessairement la mise en œuvre.