Les attaques par injection de données biométriques sont de plus en plus associées aux deepfakes, car les attaquants utilisent des émulateurs de caméra pour usurper les systèmes de vérification d’identité à distance avec de faux selfies. Le problème va cependant au-delà des deepfakes, affirme CLR Labs dans un nouveau livre blanc. Le laboratoire indépendant CLR Labs, présent en France et en Belgique, souligne que les attaques par injection peuvent également être utilisées pour monter des attaques basées sur des documents d’identité numériques falsifiés, et exhorte l’industrie à considérer sérieusement l’ampleur de ce type d’attaque.
« Digital Identities, Digital Wallets, Remote Identity Proofing. A not yet well understood vulnerability: Biometric Data Injection Attack » (Identités numériques, portefeuilles numériques, vérification d’identité à distance. Une vulnérabilité pas encore bien comprise : attaque par injection de données biométriques) est un livre blanc de sept pages rédigé par CLR Labs. Il commence par examiner l’utilisation accrue de la biométrie pour les contrôles KYC à distance pour une gamme de services importants et sensibles. Les régulateurs ont réagi en adoptant de nouvelles règles anti-blanchiment et autres. Les gouvernements ont accéléré leurs travaux sur les portefeuilles numériques, en partie pour faciliter l’accès aux services à distance, mais cela donne également aux attaquants un autre moyen de commettre des fraudes d’identité.
Des attaques frauduleuses ont déjà été menées avec le permis de conduire mobile de Louisiane.
Bien que les attaques de présentation soient le type d’attaque le plus connu contre un système biométrique, IBM a identifié neuf voies d’attaque différentes qui pourraient être utilisées contre les systèmes biométriques dès 2001, soulignent CLR Labs. C’est pourquoi, malgré une large reconnaissance de l’importance de la détection des attaques de présentation, l’ANSSI a constaté que le PAD seul ne suffit pas à assurer le niveau de sécurité requis.
L’article continue avec une explication des attaques par injection et de la manière dont elles utilisent des instruments d’attaque autres que les deepfakes.
Un tableau est fourni qui compare les régimes de tests de l’Alliance FIDO, les systèmes de paiement internationaux, la certification PVID de l’ANSSI et d’autres laboratoires d’évaluation biométrique, ainsi que les propres services du CLR. L’évaluation référentielle PVID comprend des tests de détection de documents d’identité falsifiés, contrairement aux autres, et seulement cela, et les tests de CLR Labs incluent des tests de détection d’attaques par injection, selon le graphique.
CLR Labs vante ses tests selon la spécification technique ETSI TS 119 461. L’ETSI TS 119 461 a été créée en 2021 pour fixer les règles de vérification de l’identité des services de confiance et des signatures électroniques qualifiées. « Le prochain défi », indique le livre blanc, « sera de trouver un cadre juridique autorisant des laboratoires indépendants à tester la sécurité des composants de contrôle d’authenticité des documents d’identité des solutions de vérification d’identité à distance. »
- SOURCE — Chris Burt : « CLR Labs compares biometric spoof evaluations, urges attention to injection attacks ». BiometricUpdate, September 12, 2023.
➽ À propos du Cabinet Louis Reynaud et de CLR Labs
Créé par un expert français en identités numériques, biométrie, cybersécurité, législation et normes européennes dans le monde numérique. Le Cabinet Louis Reynaud est un cabinet d’expertise technologique, normative et réglementaire et un laboratoire indépendant d’évaluation de la sécurité des technologies, produits et services de d’identités numériques, de biométrie, de sécurité mobile, de protection des données et de de cyber sécurité.
Le Cabinet Louis Reynaud réunit une dizaine d’experts issues du monde universitaire, de l’industrie ainsi que du monde institutionnel et dispose des compétences suivantes :
- Connaissance des enjeux technologiques en :
o Identités Numériques ;
o Biométries ;
o Cryptographie ;
o Intégrité et protection des données ;
o Gestion des identités physiques ;
o Technologies de communication ;
o Eléments de sécurité physique et logique dans les documents d’identité ;
o Blockchain ;
o Intelligence Artificielle ;
o Cloud computing - Maitrise des schémas de certifications sécuritaires des agences nationales de sécurité des systèmes d’information française (ANSSI), allemande (BSI) et européenne (ENISA).
- Connaissance des « European Standardisation Organisation » et des processus d’établissement d’une norme Européenne et Internationale :
o AFNOR, CEN/CENELEC/ETSI, ISO, ICAO, IATA
o Fora et Consortia
o Spécifications techniques de type « Technical Report » - Maitrise du processus législatif européen :
o Analyse d’impact,
o Première législation,
o Deuxième législation (comitologie) - Connaissance des institutions européennes et de leur gouvernance / schémas de prise de décision.
- Connaissance des groupes d’influence Européens et internationaux.
- Maitrise des outils de financements au niveau européens : FP8 (H2020) , FP9 (Horizon Europe), Digital Europe.
CLR Labs est un laboratoire indépendant d’évaluation de la sécurité des technologies, produits et services des identités numériques, de biométrie, de sécurité mobile, de protection des données et de la cyber sécurité. Il couvre tous les aspects des expertises en biométrie, en identités numériques, en sécurité mobile, normalisation et certification.
Les procédures d’évaluation et de tests de CLR Labs sont mises en place conformément aux règles de l’accord européen d’accréditation et aux normes internationales ISO/IEC 17025.
« Quand les hommes diront: Paix et sûreté! alors une ruine soudaine les surprendra, comme les douleurs de l’enfantement surprennent la femme enceinte, et ils n’échapperont point. » (1 Thessaloniciens 5:3)
« Merci d’avoir écrit ce livre que j’ai fort apprécié et qui apporte la preuve que les complotistes ce ne sont pas nous mais eux. Merci nous ouvrir les yeux sur le mal absolu qu’ils veulent installer. »
VEUILLEZ NOTER : Les commentaires des lecteurs et lectrices peuvent être approuvés ou non, à ma seule discrétion et sans préavis. Merci de votre compréhension. — Guy Boulianne
En tant qu’auteur et chroniqueur indépendant, Guy Boulianne est membre du réseau d’auteurs et d’éditeurs Authorsden aux États-Unis, de la Nonfiction Authors Association (NFAA), ainsi que de la Society of Professional Journalists (SPJ). Il adhère de ce fait à la Charte d’éthique mondiale des journalistes de la Fédération internationale des journalistes (FJI).
Le numérique, c’est ce qu’il y a de plus facile à pirater quand on est informaticien. Ce serait mieux de redonner à ces personnes le goût d’une vie honnête, sinon c’est une course qui n’en finira jamais. Et les premiers à donner l’exemple ce sont les politiciens. On attend d’eux des actes d’honnêteté. Pas des discours, de réels actes qui apporteront de la liberté à chacun.