How to combat biometric spoofing attacks
Lors de l'identification ou de l'authentification d'une personne, la fiabilité est essentielle. La biométrie aide à établir l'identité des personnes en fonction de qui elles sont plutôt que de ce qu'elles savent, ce qui en fait l'une des méthodes de vérification d'identité les plus sûres. Cependant, les fraudeurs ne dorment jamais et passent du temps à trouver des moyens d'usurper les identités de victimes innocentes.
Qu'est-ce que le spoofing biométrique ?
De l'accès à un réseau informatique à le contrôle des frontières, la technologie biométrique est largement utilisée dans divers secteurs. Le contournement est une tentative de contourner la sécurité d'un système biométrique. Un fraudeur peut contourner en utilisant différents matériaux et méthodes comme des masques 3D, des empreintes digitales fausses ou des photos. Les premiers dispositifs biométriques étaient faciles à tromper avec une image de haute qualité.
Attaque de présentation
Les imposteurs utilisent des copies de certaines caractéristiques pour imiter une personne inscrite dans le système biométrique. En fonction de la modalité, il peut leur être facile d'obtenir des caractéristiques biométriques.
Masques
La manipulation d'identité, une attaque de présentation, nécessite que le voyageur illégitime porte un masque en 3D ou d'autres moyens pour tromper le système de reconnaissance faciale automatique.
Faux empreintes digitales
Les doigts d'imitation peuvent être fabriqués en silicone ou en latex et ont généralement une empreinte digitale extraite d'une base de données. L'empreinte moulée est présentée à un lecteur d'empreintes digitales pour tenter d'accéder.
Métamorphose
Selon le National Institute of Standards and Technology (NIST), le morphing facial est une technique de manipulation d'image dans laquelle les visages de deux ou plusieurs sujets sont fusionnés ou mélangés pour former un visage unique sur une photographie. De nouvelles techniques de morphing luttent constamment contre de nouvelles méthodes de détection.
Les fraudeurs tentent de tromper les systèmes de reconnaissance faciale en présentant une image fusionnée de deux ou plusieurs individus. En raison de la complexité du logiciel, le morphing est plus compliqué à détecter que les attaques par présentation en direct.
Les systèmes de reconnaissance vocale peuvent être manipulés en enregistrant la voix d'un individu autorisé. Cependant, ce n'est pas simple, car la reconnaissance vocale combine des composants physiques et comportementaux. Les logiciels de morphing vocal créent une transcription ou ajustent la voix d'un humain pour la faire sonner exactement comme la personne approuvée par le système.
Manipulation de la charnière du passeport
Les pages de données du passeport comprennent le nom, le numéro de passeport, la nationalité, la date et le lieu de naissance, le sexe et la date d'émission et d'expiration du passeport. La charnière de la page de données garantit l'intégrité du passeport en attachant la page de données au reste du livret.
Les criminels peuvent insérer une fausse page de données ou modifier l'existante en manipulant la charnière. Pour contrer cela, la plupart des passeports sont en polycarbonate. Ce matériau fusionné crée une page solide avec des informations stockées dans chaque couche, rendant plus difficile la séparation. La charnière s'attache à la page de données avec des broches ou par thermosoudage. La technologie de protection contre la falsification, comme le gaufrage, la gravure ou les impressions UV, rend toute tentative de manipulation visible aux autorités.
Risques liés aux bases de données et au numérique
La sécurité des données biométriques est vitale. Les bases de données biométriques peuvent être sujettes à des interventions, ou les systèmes informatiques sous-jacents peuvent être attaqués. Les gouvernements et les entreprises devraient prévenir les violations de la vie privée ou l'exposition des données biométriques en mettant en œuvre des technologies d'identification ou d'authentification.
Attaques internes numériques
Les systèmes de sécurité biométrique peuvent être vulnérables si un administrateur de confiance manipule ce système. Les bases de données biométriques stockent des volumes importants d'informations personnellement identifiables (IPI), et les attaques internes pourraient entraîner une violation des données ou une autre infraction criminelle.
Usurpation d'inscriptions
Les criminels pourraient avoir un œil sur les données biométriques en transmission pendant le processus d'inscription et inclure certaines caractéristiques d'un imposteur. Le fraudeur pourrait voyager sous une fausse identité si les caractéristiques falsifiées sont stockées sur un passeport ou une carte d'identité.
Comment battre les attaques par spoofing
La biométrie est devenue plus avancée, la fabrication de fausses empreintes digitales est devenue plus compliquée. Alors que la technologie biométrique évolue constamment, la sophistication des méthodes de contrefaçon l’est aussi. Des techniques prouvées sur le terrain telles que la détection de vie rendent les systèmes biométriques plus résilients.
Détection de spoofing
La détection d'attaques de présentation (PAD) détecte une usurpation biométrique. La mise en œuvre du PAD offre une sécurité élevée, mais peut être coûteuse et complexe. Le cadre ISO/IEC 30107-1 fournit des catégories d'attaques et explique si le PAD doit être utilisé.
Détection de vivacité
Des méthodes avancées de détection anti-contrefaçon telles que la détection de vivacité faciale sont nécessaires pour différencier le simulé du réel. La technologie détermine si la personne devant la caméra est présente ou si une image imprimée ou numérique est affichée. Après la collecte, des algorithmes analysent les données pour vérifier si la source est fausse ou réelle.
La détection de la vivacité lors d'une présentation est réalisée par des méthodes dynamiques et passives. Actif fait référence à l'action que l'utilisateur effectue pour confirmer qu'il est une personne naturelle. Par exemple, pencher la tête, hocher la tête ou cligner des yeux. Les fraudeurs peuvent simuler la méthode active lors d'une attaque de présentation.
L'analyse de la distorsion de la peau différencie un vrai doigt d'un faux. La peau devient pâle lorsqu'elle est pressée contre une surface. Au cours de l'enquête, il peut être demandé à l'utilisateur de déplacer le doigt sur le scanner pour amplifier la distorsion.
Les méthodes statiques détectent des caractéristiques non naturelles ou un manque de détails dans les empreintes digitales falsifiées. La peau naturelle a des pores et est inégale. La vérification des utilisateurs en ligne peut être effectuée à travers une image vérifiée sur plusieurs caractéristiques. Cocher les cases de vivacité donne accès ou action.
technologie d'IA
L'intelligence artificielle (IA) rend les systèmes biométriques résilients. Les modèles d'IA peuvent être entraînés à détecter les faux des vrais et aider les algorithmes de détection de vivacité à reconnaître plus précisément les matériaux contrefaits.
Selon des recherches, les humains ont beaucoup plus de difficulté à identifier les attaques de spoofing biométrique. L'étude d'ID R&D a interrogé des personnes et des machines en présentant des photos imprimées falsifiées, des vidéos, des images numériques et des masques 3D. Les ordinateurs étaient plus précis et plus rapides pour identifier les tentatives de mimétisme. Les humains ont classé 18 % des vrais visages comme étant des contrefaçons, tandis que le système d'IA n'a classé incorrectement que 1 %.
Biométrie multimodale
Lors de l'identification ou de l'authentification d'une personne, la fiabilité est essentielle. En biométrie, les faux positifs et les faux négatifs sont inévitables. Les systèmes biométriques sont basés sur des algorithmes. Aucune mesure ne peut être précise à cent pour cent, principalement lorsqu'elle est utilisée de manière indépendante. Combiner plusieurs identifiants biométriques ajoute une autre couche de sécurité et de granularité.
Les systèmes biométriques multimodaux nécessitent généralement deux éléments d'identification biométriques, tels que des scans d'iris et des empreintes digitales. Il est difficile de falsifier une empreinte digitale, mais falsifier des empreintes digitales et l'iris dans la même tentative est pratiquement impossible. Ajouter cette couche de sécurité supplémentaire nécessite plusieurs étapes de l'utilisateur pour obtenir une authentification, mais ne devrait pas causer d'inconvénients. Regarder dans une caméra et placer un doigt sur un scanner peut être effectué simultanément.
Authentification biométrique à deux facteurs
L'authentification à deux facteurs (2FA) est l'une des méthodes les plus utilisées pour prévenir la fraude en ligne. L'utilisateur vérifie son identité par un moyen supplémentaire, généralement très différent du principal. La combinaison d'un mot de passe et de caractéristiques biométriques telles que la reconnaissance faciale ou gestuelle garantit que l'utilisateur peut accéder au système.
Nos solutions d'identité sécurisées
Tous les systèmes biométriques sont vulnérables à un certain degré. La sécurité est toujours au premier plan des solutions Laxton. Nous évaluons en permanence les capacités de nos systèmes et produits d'identité, en analysant les risques et les motivations des attaquants potentiels. Cependant, la détection de la fraude ne doit pas compromettre l'expérience utilisateur. Les organisations qui font de la sécurité numérique leur principale priorité devraient évaluer en permanence cet équilibre délicat.
