jeudi, 30 juin 2022

Un atelier présente les progrès de l’UE en matière de vérification d’identité à distance, mais la fragmentation persiste

Les exigences légales, techniques et des utilisateurs pour la vérification de l’identité numérique à distance sont parfois incohérentes, mais doivent être parcourues par l’entreprise et les autres parties prenantes, et à cette fin, l’ENISA et l’ETSI ont organisé un atelier conjoint sur la vérification d’identité à distance et l’écosystème auquel s’adresse la politique eIDAS.

Le professeur Dr. Rainer Herpers de l’Institut d’informatique visuelle de l’Université de Bonn-Rhein-Sieg a ouvert l’événement par une discussion sur les attaques profondes par rapport aux systèmes de vérification d’identité.

La prochaine discussion, par Battista Biggio, PhD., de la reconnaissance des modèles & Applications Laboratory de l’Université de Cagliari et co-fondateur de Pluribus One, a exploré l’utilisation d’attaques contradictoires sur les systèmes d’intelligence artificielle par le biais de perturbations au niveau des pixels ou lors de l’étiquetage des informations de formation.

Le mélange de deepfakes et les attaques contradictoires pourraient présenter un risque particulier pour le système de vérification d’identité numérique à distance ems, selon les panélistes.

Le rapport de l’ENISA sur les attaques et les contre-mesures a également été rapidement présenté.

Juliette Delanoe, co-fondatrice et CMO d’Ubble.ai, a déclaré que l’étude de recherche de l’entreprise montre qu’en moyenne 5 à 6 % des tentatives de confirmation d’identité numérique sur lesquelles il peut porter un jugement sont trompeuses. Elle a également fourni une ventilation de la fréquence des types de fraude.

Ce chiffre était légèrement différent pour d’autres panélistes représentant l’industrie de la biométrie lors de la toute première session, IDnow Creator and Handling Director of Innovation Armin Bauer and Veriff Co- fondateur et CPO Janer Gorohhov.

Gorohhov a déclaré que Veriff a en fait trouvé un taux d’escroqueries de 6 à 8 %, selon le marché desservi, et jusqu’à 10 % dans la crypto-monnaie. L’ingénierie sociale est le vecteur d’attaque le plus courant observé par IDnow, rapporte Bauer.

Tous ont convenu que les deepfakes sont un vecteur d’attaque imminent, mais pas rare aujourd’hui.

Enquête sur l’effet de NFC et les identifiants électroniques sur la fraude documentaire, Delanoe a fait valoir que les outils qui sont efficaces aujourd’hui peuvent être égalés par NFC, mais ne seront pas remplacés par celui-ci, car de nombreuses défenses sont toujours nécessaires.

Mettre à jour les documents d’identité qui ont effectivement n’a pratiquement pas changé car le XVe siècle doit être une préoccupation pour les gouvernements, a plaisanté Gorohhov.

La discussion sur les vecteurs d’attaque et les techniques d’atténuation dans le monde réel est devenue assez complète, et les panélistes ont exprimé leur optimisme sur le fait que des contre-mesures efficaces pour les attaques sophistiquées sont connus, bien qu’ils aient également mis en garde contre la sous-évaluation des ennemis ou le fait de ne pas s’attendre à la maturation de leurs méthodes.

La deuxième session de la journée s’est concentrée sur le point de vue des utilisateurs de la cybersécurité gouvernementale, des télécommunications et de la f environnements de services financiers.

Une session sur le filtrage et l’audit a suivi.

Le critique biométrique du NIST, Patrick J. Grother, a parlé de l’état actuel de la technique en matière de biométrie faciale et d’atténuation des risques. Ce dernier consiste à développer des invites aux utilisateurs que les gens peuvent comprendre, mais que les systèmes automatisés ne peuvent pas, pour éviter la possibilité de satires en analysant et en suivant correctement les instructions.

Kevin Carta du laboratoire français de biométrie CLR Labs a évalué le menace d’attaques par injection d’informations biométriques, préparées ou en direct. L’injection est possible du fait que les architectures actuelles ne permettent pas d’associer les images à une caméra vidéo spécifique identifiée.

La biométrie doit donc être déployée contre les attaques par injection. Les systèmes PAD, cependant, ne sont pas développés pour reconnaître ce type d’attaque. Selon Carta, des techniques spécifiques de détection d’attaques par injection d’informations biométriques doivent être mises en place pour éviter les progrès futurs dans le domaine des escroqueries.

Une exigence mondiale est en cours, déclare-t-il.

Clemens Wanko de TÜV TRUST IT GmbH a présenté le point de vue des auditeurs, consistant en la façon dont les fournisseurs de services d’identité sont examinés pour la conformité aux normes mondiales.

Des valeurs de référence claires sont nécessaires pour appliquer des spécifications à différents niveaux de garantie pour faire avancer le terrain en avant, décrit-il. Les modifications apportées à eIDAS n’ont pas aidé à la clarté.

La directrice technique de Certicar.es, Paloma Llaneza, a approfondi la complexité des exigences et des réglementations qui se chevauchent, chacune devant être régulièrement mise à jour.

Un aperçu de la spécification technique ETSI TS 119 461 pour les signatures électroniques et les installations pour les pièces de service de confiance fournissant une preuve d’identité.

Hugo Mania de l’ANSSI a présenté le schéma d’accréditation et ses objectifs, et le Dr. Christian Berghoff du BSI allemand a expliqué l’élément d’authentification biométrique de la certification.

« Les systèmes d’IA ont » des chaînes d’approvisionnement compliquées et ils sont plutôt sensibles aux petits changements, ce qui suggère qu’il existe différentes méthodes possibles pour les attaquer « , Berghoff met en garde.

Il promeut l’évaluation manuelle d’un minimum de certains échantillons, et décide d’entraver l’automatisation complète des attaques.

Sylvie Lacroix de Sealed a expliqué comment les exigences techniques, les accréditations et les directives s’harmonisent pour les fournisseurs de preuve d’identité numérique, et Jon Ølnes de Signicat a parlé de la portée des normes et de la réglementation dans des endroits au-delà des services de confiance, comme la façon dont elles affectent les fournisseurs de services financiers qui souhaitent intégrer des utilisateurs dans un pays voisin.

Savoir quelles sont les directives pertinentes, et même si elles existent, reste un obstacle pour de nombreux prestataires de services qui tentent d’effectuer des transactions transfrontalières, selon Ølnes.

En savoir plus Un ensemble unifié d’exigences qui protège toujours les personnes et les organisations contre les escroqueries est sans aucun doute possible, sur la base des outils et de l’expertise passés en revue tout au long de l’occasion. En attendant, c’est en développement.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici