Un atelier organisé par BixeLab propose une alternative au dépistage du système biométrique basé sur les normes ISO, axé sur la lutte contre les attaques par usurpation, mais également sur différents aspects de la performance.
Dr. Ted Dunstone et Stewart Pope ont parlé de « Red Teaming » en biométrie et de la façon de vérifier de nombreuses formes que la biométrie prend dans une méthode fiable, bénéfique et standardisée.
Dunstone a noté vers le début de l’atelier que le « Bixe » une partie du nom du laboratoire signifie « évaluation de l’expérience d’identité biométrique ». Le laboratoire est désormais accrédité NIST pour la biométrie, après avoir reçu la toute première approbation pour tout laboratoire d’essais dans l’hémisphère sud en avril.
Dunstone a poursuivi en décrivant l’équipe rouge, qui est une attaque ou une série d’attaques par un groupe de difficulté indépendant, comparable au filtrage de pénétration en cybersécurité. Il garde à l’esprit de nombreux facteurs dans la menace biométrique, tels que les éléments humains, la gestion et les aspects informatiques. Dunstone a décrit un processus de gestion des risques biométriques et l’interaction de la précision, de la vulnérabilité (comme les attaques de présentation) et de la qualité (comme celle de l’image de contraste) qui le compose.
Pape a ensuite discuté de l’ISO/ Norme IEC 30107 PAD et ses limites. Parfois, déclare-t-il, un ajustement de l’approche de test est nécessaire pour un dépistage fiable des systèmes de détection d’usurpation biométrique.
Il a ensuite décrit la méthodologie de dépistage de niveau R de BixeLab, qui dépasse les tests ISO pour consister en « espèces de niveau C ‘ artefacts, exploitation du flux de travail, précision de la correspondance, variables de qualité et aspects de sécurité externes. L’équipe rouge est une technique accusatoire avec une pensée vitale, déclare Pope, qui dépasse souvent les éléments biométriques de base. « Il peut exploiter différentes actions du flux de travail via une attaque de discussion ou une variation de qualité », décrit-il.
L’équipe rouge peut toujours produire des métriques standard (comme APCER), mais aussi « des métriques de résultats distinctes et personnalisées. «
L’évaluation de la sécurité peut inclure des mélanges de méthodes d’attaque, ou diverses stratégies, y compris une présentation synthétique partielle et une discussion humaine non conforme (ce qui conduit à une mauvaise qualité d’image). Selon Pope, des distinctions subtiles dans les méthodes d’attaque, telles que la production d’artefacts (divers documents dans des masques en papier) ou l’effort de préparation (comment un masque est tenu) peuvent faire une différence majeure dans l’efficacité du système PAD.
Un exemple de ceci est que passer une main devant la photo peut vaincre certains systèmes utilisant le clignotement pour la vivacité; comprendre que les détails affectent les résultats du dépistage PAD.
L’exigence PAD ISO/IEC 30107 n’inclut pas les variables environnementales, mais BixeLab a découvert qu’elles ont une influence substantielle sur le succès de l’usurpation d’identité. La prédisposition du système peut également avoir un impact sur les performances d’attaque de discussion, et Red Teaming explore généralement des domaines non biométriques, tels que la falsification de fichiers.
La technique Red Teaming peut permettre aux clients d’effectuer une analyse du compromis entre le risque et et peut informer sur l’entretien continu des articles, déclare Pope.
Une démonstration suivie par Somya Singh, mais n’est pas incluse dans l’enregistrement pour des raisons de sécurité.
Le point essentiel à retenir est que par l’intégration de diverses méthodes d’attaque, telles que la présentation d’une image surexposée avec une courbe concave, peut usurper le système même si aucune méthode n’est efficace en soi.
L’atelier a également abordé les sécurités de confidentialité des données utilisées par BixeLab, et ses autres services de dépistage.
Au cours du 3e trimestre 2021, BixeLab se prépare à lancer ce que Dunstone dit être le premier examen PAD formel d’un système de confirmation de locuteur, et publier un livre blanc sur la gouvernance dans les systèmes biométriques .
Toute l’actualité en temps réel, est sur L’Entrepreneur
