jeudi, 19 mai 2022

Attaques, contre-mesures et impulsions de sang dans la vérification d’identité à distance

L’UE a en fait produit un résumé étonnamment compréhensible du statu quo et des possibilités futures de vérification d’identité à distance, de l’innovation aux dangers et aux défenses. Via une étude documentaire, des études et des entretiens avec des scientifiques, des fournisseurs de technologies et des utilisateurs. Malgré les progrès de la technologie biométrique, le rapport conclut que l’intervention humaine, aujourd’hui et à l’avenir, est essentielle.

« Remote Identity Proofing– Attacks & Countermeasures » par la European Union Company for La cybersécurité, ENISA, analyse le secteur en plein essor de la vérification d’identité à distance : l’action avant l’identification et l’authentification biométriques qui identifie qu’il y a une personne réelle qui se présente et une véritable pièce d’identité émise par le gouvernement.

La vérification d’identité à distance devenait déjà plus courante à mesure que les services naviguaient sur le Web et de manière significative mobile, une tendance accélérée par la pandémie de COVID-19, note le rapport. L’innovation est également cruciale pour l’UE et son travail d’identification électronique à l’échelle du bloc basé sur la politique eIDAS. Les Européens doivent un jour avoir la possibilité d’utiliser une identité numérique pour accéder au gouvernement fédéral dans n’importe quel État membre : « La vérification de l’identité à distance est un élément essentiel pour créer la confiance dans les services numériques. »

À cette fin, L’ENISA produit des articles de routine sur le domaine, tels que « Remote ID Proofing : Analysis of Techniques to Perform Identity Proofing Remotely » publié en mars 2021.

Le dernier rapport se concentre sur le visage l’usurpation d’identité biométrique au moyen de techniques physiques telles que les masques en silicone et les attaques numériques telles que les deepfakes. Il constate qu’un vaste éventail de procédures peut être utilisé, de l’examen de l’environnement aux tâches organisationnelles, en passant par la normalisation et le besoin permanent de surveillance humaine pour les sessions de vérification privées, ainsi que pour former le système expert qui sous-tend l’automatisation.

Un regard facile sur l’environnement d’une présentation, tel que le matériel, les logiciels et le réseau de l’utilisateur, en plus de la qualité vidéo et audio, peut considérablement sécuriser la preuve de l’identité. L’utilisation d’une application dédiée permet de vérifier que le gadget est un objet physique et que le flux de la caméra vidéo est capturé en temps réel. (Bien que des entreprises telles que Yoti développent des méthodes pour rendre la vérification basée sur un navigateur Web plus sécurisée lorsqu’une application n’est pas disponible.)

« Le plus haut niveau de garantie utilisant une pièce d’identité émise par le gouvernement est représenté par un fichier d’identité équipé d’une puce NFC », mentionne le rapport. La puce NFC est constituée des données du document cryptées et signées numériquement par l’État fournisseur. S’il n’y a pas d’alternative NFC, la confirmation vidéo des fichiers peut être une alternative, mais les deux options ne sont utiles que si le système d’épreuvage inspecte les bases de données pour les qualifications signalées comme perdues ou volées.

Même NFC la sécurité sera finalement compromise, selon le rapport, les progrès de l’informatique quantique pouvant déjouer l’ICP utilisée par les puces NFC. Des algorithmes résistants aux quantiques doivent être développés rapidement.

La détection d’attaque de présentation (PAD) va être continuellement remise en question. Les écrans HDR 8k contournent la détection d’écran, ce qui implique que la détection de visage 3D et la vivacité du visage devront finir par être courantes. Pour la vidéo, à mesure que le rendu logiciel pour les deepfakes progresse rapidement, les tests vidéo en direct perdront également de leur avantage.

Les couches de sécurité existantes telles que le clignotement de couleurs aléatoires sur la personne en cours d’épreuvage et son environnement obtenu par l’appareil photo électronique car les reflets, tels que l’assurance d’existence authentique d’iProov, peuvent être menacés. « Quelques-unes des parties prenantes ont demandé conseil à la revendication qu’il est possible de générer rapidement des couleurs semi-transparentes sur la marionnette deepfake, battant cette approche de vivacité », découvre le rapport.

La majorité des répondants associés au rapport considèrent les deepfakes comme la plus grande menace pour la vérification d’identité à distance.

Pour répondre à ces préoccupations, d’autres contrôles biométriques pourraient être présentés sur la base de « signaux humains incontrôlés tels que des micro-mouvements et des modifications du visage humain, des mouvements oculaires , dilatation de la pupille, micro-variation de la force de la couleur de la peau offerte par le pouls du sang et autres. »

En tant que méthodes technologiques, les contrôles organisationnels peuvent aider, tels que la création de programmes de primes de contournement de caméra vidéo et d’usurpation d’identité pour récompenser ceux qui découvrent des vulnérabilités. Un autre cheveu utilise l’humain en même temps.

« Bien que beaucoup aient foi dans la technologie et pensent qu’avoir une procédure entièrement automatisée sans intervention humaine ne tardera pas à venir, l’être humain doit encore rester dans la boucle », indique le rapport.

« Les algorithmes ne peuvent pas comprendre et identifier par eux-mêmes une toute nouvelle fraude et une action humaine est nécessaire pour attribuer les bonnes étiquettes aux toutes nouvelles attaques. Pour cette raison, les gens sont tenus de nettoyer et d’étiqueter les données permettant une formation de haute qualité qui se traduira par une meilleure efficacité et l’atténuation des attaques adverses. »

Un problème déjà évident et qui pourrait devenir plus important est le distinctions entre les techniques, telles que la capture biométrique, des fournisseurs de vérification d’identité à distance. Les différences dans le nombre d’images vidéo, par exemple, peuvent sembler subtiles, mais les résultats peuvent être substantiels.

« Développer une protection environnement standardisé pour la vérification d’identité à distance pourrait atténuer les dangers, mais apporterait également des avantages aux organisations consistant en une meilleure conformité, une plus grande portée client, des avantages concurrentiels, des processus d’intégration protégés structurés, tout en protégeant les utilisateurs et leurs propriétés « , découvre le rapport.

Bien qu’il n’existe pas encore de schéma ou de normes de certification équilibrées dans toute l’Europe, certains États membres ont développé des normes nationales. ablished Fournisseurs de confirmation d’identité à distance– Structure des exigences qui spécifie les exigences minimales pour la résolution vidéo et la fréquence d’images.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici