Tant qu’il existera des mécanismes de vérification d’identité, les fraudeurs trouveront toujours des moyens de contourner ces obstacles. Parmi ces techniques figure la fraude à l’identité ou usurpation d’identité faciale (également connue sous le nom de « Spoofing Facial » ), dans laquelle un fraudeur tente de contourner un système de reconnaissance faciale pour s’identifier de manière erronée en présentant un faux visage (par exemple, une photographie, des modèles rendus en 3D, un masque imprimé en 3D).
Les escrocs peuvent également utiliser des méthodes assistées par l’IA comme les deepfakes, ce qui représente un grand défi pour les fournisseurs de solutions de reconnaissance faciale.
Pour se protéger contre de telles menaces, les systèmes de vérification d’identité ont évolué, notamment en proposant des solutions innovantes telles que la détection du vivant. En analysant la texture du visage, la densité des caractéristiques et la relation entre les caractéristiques de ce visage, on peut déterminer si ce visage est réel ou non. Ces technologies permettent aux prestataires de services de gagner du temps pendant le processus d’onboarding et d’établir une relation de confiance entre l’entreprise et son client.
Alors que les entreprises de l’UE et d’ailleurs continuent de digitaliser et de réorienter leurs méthodes d’identification clients vers des processus à distance, la lutte contre l’usurpation d’identité à travers la reconnaissance faciale joue un rôle crucial dans le processus KYC (Know Your Customer). KYC est le nom donné au processus permettant à une entreprise d’identifier et de vérifier l’identité de ses clients. Ce processus est de plus en plus utilisé, voire même imposé dans une entrée en relation avec un client dans certains secteurs comme la finance.
Lutte contre la fraude à l’identité : l’essor de la reconnaissance faciale
Prenons trois exemples pour illustrer l’ampleur de la reconnaissance faciale :
- De plus en plus de services en contact direct avec la clientèle, tels que les institutions financières, les sites de jeux d’argent en ligne ou encore les organismes publics, ont commencé à utiliser des systèmes de reconnaissance faciale pour vérifier l’identité de leurs utilisateurs.
- D’ici 2023, 97 % des aéroports prévoient de déployer la technologie de reconnaissance faciale. Aux États-Unis, 100 % des 20 principaux aéroports utilisent la reconnaissance faciale pour identifier les passagers internationaux, y compris les citoyens américains ;
- Et d’ici 2025, 72% des hôteliers pourraient utiliser des systèmes de reconnaissance faciale pour interagir avec leurs clients.
Malheureusement, l’utilisation généralisée de la reconnaissance faciale et le fait que les entreprises sensibles s’appuient de plus en plus sur la biométrie faciale pour l’authentification des clients ont conduit à une nouvelle augmentation des attaques de fraude faciale impliquant des techniques sophistiquées.
Il est donc encore plus important de comprendre comment les fraudeurs opèrent, quelles méthodes ils utilisent et comment des processus KYC sophistiqués et multicouches peuvent minimiser les tentatives d’usurpation d’identité et de falsification de documents.
La vérification d’identité biométrique soumise à de lourdes tentatives de fraude
Malheureusement les mécanismes de protection sont toujours destinés à être brisés. Les fraudeurs cherchent désormais des moyens de parcourir les systèmes d’identification faciale en usurpant le visage d’autres personnes. Pour l’instant, il faut admettre qu’ils sont talentueux et créatifs. Entre les attaques statiques 2D ou 3D, les deepfakes ou les attaques assistées par l’IA, les mécanismes de vérification d’identité biométrique sont ciblés de tous les côtés.
Cependant, les fournisseurs de services d’identification ont également commencé à élaborer des contre-mesures. Ce jeu du chat et de la souris a conduit à des travaux de recherche croissants sur les techniques d’apprentissage automatique pour lutter encore plus efficacement contre les tentatives d’usurpation d’identité.
Quelles sont les méthodes de fraude à l’identité biométrique les plus courantes ?
Il peut y avoir différentes approches pour les fraudeurs qui cherchent à tromper les systèmes de vérification d’identité, telles que :
- Accéder à des bâtiments équipés de systèmes d’identification faciale, afin de voler les informations sensibles de l’entreprise situées dans ces locaux;
- Créer des identités synthétiques pour s’inscrire à un service et commettre d’autres fraudes (escroqueries à l’assurance, fraude au paiement, etc…));
- Usurper l’identité d’une personne (attaques d’usurpation d’identité);
- Éviter le screening et les contrôles KYC ou plus généralement, éviter d’être reconnu par le système (attaques d’obscurcissement ou “obfuscation”)
Afin de dépasser les mécanismes de reconnaissance faciale, les fraudeurs utilisent l’usurpation de visage, également appelée attaques par présentation « Presentation Attack », qui peut être menée de deux manières :
- 2D statique : les attaquants utilisent n’importe quel objet avec une surface plane, comme une photo ou un masque, pour essayer d’usurper l’identité d’un utilisateur authentique. Bien que la méthode 2D statique soit la plus couramment utilisée, elle est aussi la moins sophistiquée, même si elle prouve quotidiennement son efficacité face à des systèmes de faible qualité. De plus, certains ont trouvé un moyen d’imiter des mouvements en direct à travers une séquence d’images affichées via des smartphones ou des tablettes, ajoutant ainsi une autre couche de sophistication à ce type d’attaque ;
- 3D statique : Les attaques utilisant des masques imprimés en 3D, la reproduction faciale ou des sculptures ont également permis de s’attaquer aux mécanismes de vérification d’identité biométrique. Certaines méthodes sont plus simples que d’autres. Par exemple, la méthode la plus simple consiste à imprimer une photographie de quelqu’un, puis de l’appliquer à une structure déformable. Le moyen le plus sophistiqué est d’effectuer une capture 3D du visage de quelqu’un pour garantir le plus haut niveau de détails acquis en 3D. Cependant de telles méthodes nécessitent un équipement spécifique et sont très difficiles à configurer à la volée.
Dans les deux cas, les fraudeurs qui mènent ces attaques utilisent le plus souvent des données biométriques accessibles au public, telles que des images provenant de réseaux sociaux.
Dans certains cas, les données biométriques sont acquises illégalement sur des marchés noirs.
Néanmoins, des solutions de lutte contre ces types de fraudes existent et peuvent dissuader la plupart des fraudeurs.
Quels mécanismes existent pour lutter contre l’usurpation d’identité biométrique ?
Alors que les usurpateurs déploient des efforts massifs pour dépasser les systèmes de vérification d’identité, les fournisseurs de services ont également développé un éventail de méthodes pour identifier les attaques par présentation.
La solution de base pour détecter ces attaques consiste à comparer le visage de l’utilisateur à la photo présente sur la pièce d’identité qu’il soumet. Cependant, ce mécanisme peut être facilement usurpé et des solutions plus sophistiquées sont parfois nécessaires.
Ainsi, la détection du vivant fournit de meilleurs résultats pour détecter les tentatives de fraude. Cette solution permet de déterminer si l’utilisateur est bien présent derrière son téléphone lors de la capture et donc de desseller toute présentation d’accessoires / vidéo ou photo.
Que va-t-on retrouver dans les solutions de détection du vivant ?
- Le mouvement : les méthodes basées sur le mouvement sont des moyens traditionnels de détecter facilement les attaques statiques par présentation faciale et c’est l’une des méthodes les plus courantes pour dissuader les attaques dynamiques.
Elles sont divisées en deux sous-catégories :
a. Non intrusif : Une technique de lutte contre l’usurpation d’identité efficace consiste à détecter tout signe physiologique de vie spécifique de la personne qui soumet son identité. Qu’il s’agisse de détection de clignement des yeux, de changements d’expression faciale ou de mouvements de la bouche, ces éléments donnent de bons résultats, en particulier contre les attaques statiques ;
b. Intrusif-interactif : Une méthode simple de détection du vivant consiste également à demander à l’utilisateur d’effectuer une action et de vérifier si elle a été effectuée d’une manière naturelle qui ressemble à un modèle humain. Cette méthode est basée sur le mécanisme challenge-réponse et est efficace contre les attaques statiques et dynamiques.
- RPPg (PhotoPlethysmoGraphy) : Cette méthodologie diffère des méthodes basées sur le mouvement, car elle ne cherche pas à analyser l’expression du visage, mais plutôt les changements d’intensité de la peau du visage. Cette méthode peut déterminer si un flux sanguin est présent uniquement en utilisant des images RVB à distance. Elle peut dissuader la plupart des attaques, bien que l’une de ses faiblesses soit les attaques de re-jeu vidéo de haute qualité, en raison de leur capacité à capturer la variation périodique de l’absorption de la lumière de la peau d’un visage.
Néanmoins, certaines technologies ne sont pas infaillibles, comme l’ont décrit les chercheurs en sécurité. Des faiblesses ont été observées lors des contrôles d’identité par détection du vivant, tandis que les fraudeurs ont utilisé des moniteurs haute résolution pour présenter des vidéos à des caméras basse résolution et ont donc réussi à tromper le mécanisme d’identification. Par conséquent, il est important de sélectionner avec soin un fournisseur conforme aux normes de sécurité les plus élevées du marché.
Dans cet esprit, des méthodes plus complexes et robustes renforcent les systèmes de vérification d’identité.
Des mécanismes basés sur des modèles de réseaux de neurones profonds (DNN) permettent de traiter une image et déterminer si elle est réelle ou fausse.
Dans des études récentes, les chercheurs ont commencé à explorer les transformeurs vidéo (type de DNN) pour la détection des attaques par présentation faciale, et ont montré des résultats prometteurs. Ces recherches se basent sur les traces d’usurpation en les évaluant quantitativement et en reconstruisant des visages vivants.
Vous souhaitez en savoir plus sur la fraude à l’identité ?
Comment les fraudeurs tentent-ils de tromper les technologies de reconnaissance les plus robustes ?
Si vous n’avez pas entendu parler des deepfakes, c’est le bon moment.
Les deepfakes sont devenus de plus en plus médiatisés à mesure que les préoccupations se sont accrues quant à leur utilisation pour créer des fake news. Les deepfakes se réfèrent souvent à des vidéos où le visage d’une célébrité est échangé et animé sur le corps de quelqu’un d’autre.
Ils apparaissent maintenant dans le domaine de la vérification d’identité avec les progrès de l’apprentissage automatique et la disponibilité de larges bases de données de visages. Les fournisseurs de services d’identification sont en perpétuel défi quant au développement de méthodes efficaces et génériques pour contrer les deepfakes, compte tenu de leur évolution rapide et de leur niveau de sophistication qui augmente chaque jour.
La plupart des acteurs de l’écosystème travaillent et développent des solutions pour mieux détecter les deepfakes. Que ce soit grâce à des méthodes révolutionnaires comme celle de l’équipe Facebook-Michigan State, ou à travers des cadres complets composés de différentes couches, technologies et modules de sécurité, il est possible d’éviter les deepfakes.
Pourquoi les solutions biométriques devraient être certifiées FIDO
Lors des tests effectués sur les systèmes de reconnaissance faciale, deux protocoles principaux sont couramment sélectionnés : ISO 30107 ou FIDO.
Bien que les deux protocoles soient des normes de sécurité internationalement reconnues, ils n’effectuent pas leurs tests de sécurité de la même manière. Alors que les tests de conformité ISO sont là pour évaluer le système biométrique dans différents contextes et contre différents instruments d’attaque par présentation, les tests FIDO vont tester les systèmes en laboratoire, mais aussi auprès de la population de masse dans des conditions réelles.
De plus, les essais selon les normes ISO n’offrent pas un ensemble de mesures qui permettraient d’obtenir une « certification », contrairement à la certification des composants biométriques de l’Alliance FIDO. Ce dernier présente 15 sujets au système testé, 14 types d’attaques, et un total de 2100 présentations.
En tant que membre de l’Alliance FIDO, le groupe IDnow propose des contrôles biométriques certifiés, conformes aux normes biométriques les plus élevées du marché.
Lovro Persen
Director Document & Fraud
Connectez-vous avec Lovro sur LinkedIn