CEN/TS 18099 : la norme qui prouve la résilience aux attaques par injection

Dans notre précédent article, nous avons examiné comment les les directives mises à jour du NIST SP 800-63-4 sur l'identité numérique relevaient la barre en matière de vérification biométrique. iProov a été le premier fournisseur à démontrer sa résilience face aux deepfakes conformément aux nouvelles directives.

Une exigence s'est démarquée dans les directives du NIST: les organisations doivent désormais prouver leur résistance à la fois aux attaques par présentation et aux aux attaques par injection de deepfake . C'est dans cette dernière catégorie que de nombreux fournisseurs restent discrets.

NIST, l' Agence européenne chargée de la cybersécurité (ENISA), l'Agence nationale française de sécurité des systèmes d'information (ANSSI) ANSSI et le BSI allemand ont tous tiré la sonnette d'alarme sur les risques liés aux attaques par injection. Nos propres informations sur les menaces montrent qu'elles ont augmenté de 740 % sur iOS en 2025. Contrairement aux attaques par présentation, qui nécessitent une présence physique, les attaques par injection peuvent être automatisées et multipliées par milliers simultanément.

La norme CEN/TS 18099 fournit enfin le cadre de validation indépendant permettant de prouver la la résilience aux attaques par injection de deepfakes, au-delà des affirmations des fournisseurs.

Pourquoi cette nouvelle norme était nécessaire

La détection des attaques par présentation (PAD) dispose de cadres de test bien établis. La norme ISO/IEC 30107 définit comment évaluer si un système biométrique est capable de détecter les photos, les masques et les relectures vidéo présentés devant une caméra. 

La certification PAD est devenue incontournable ; les attaques par injection sont de plus en plus sophistiquées. Un fournisseur peut détenir la certification PAD tout en n'ayant aucune résilience face aux attaques par injection. Ces deux vecteurs d'attaque nécessitent des méthodologies de test fondamentalement différentes. La norme ISO 30107 n'a pas été conçue pour traiter cette catégorie de menaces.

Lorsque nous examinons comment les fournisseurs traitent les attaques par injection, les réponses se répartissent généralement en trois catégories : documentation sur les tests internes, schémas architecturaux avec des flèches rassurantes ou programmes de « prime à la fraude » dans des environnements hors production. Ces évaluations s'appuient souvent sur des cadres propriétaires qui n'ont pas été développés par des organismes de normalisation reconnus, ce qui signifie que les résultats ne peuvent pas être comparés entre les différentes solutions.

Ceci est important car les attaques par injection sont conçues pour échapper à la détection. Elles ne déclenchent pas les mêmes alertes que les attaques par présentation. Les organisations peuvent subir des compromissions systématiques sans s'en rendre compte. L'intégration fonctionne toujours, les indicateurs de conversion semblent sains et la fraude s'étend discrètement jusqu'à ce que quelqu'un demande des preuves.

Les attaques par injection sont sophistiquées car elles opèrent simultanément sur deux fronts : le mécanisme de diffusion est conçu pour être invisible pour l'application, tandis que le contenu injecté est conçu pour tromper les contrôles mis en place à l'autre extrémité. Se défendre contre l'un sans se défendre contre l'autre expose les organisations à des risques.

Le Comité européen de normalisation (CEN) a reconnu cette lacune et a élaboré la norme CEN/TS 18099 : la première spécification technique officielle dédiée aux tests des systèmes biométriques contre les attaques par injection. 

Fonctionnement de la norme CEN/TS 18099

La norme distingue deux composantes d'une attaque par injection :

• Méthode d'attaque par injection (IAM) : Comment l'attaque est-elle menée ? Cela inclut l'exploitation de bibliothèques logicielles, la manipulation du trafic réseau, l'utilisation d' émulateursou le piratage des fonctions du système pour intercepter et remplacer les données biométriques.
• Instrument d'attaque par injection (IAI) : Ce qui est transmis. Le visage synthétique, la vidéo deepfake ou la séquence d'images manipulées que l'attaquant souhaite faire passer pour authentiques auprès du système.

Les évaluateurs tentent de mettre en place plusieurs méthodes d'attaque contre le système cible. Lorsque les méthodes d'attaque aboutissent, ils fournissent ensuite une gamme d'instruments d'attaque afin d'évaluer les capacités de détection.

Cette approche en deux étapes révèle où les défenses opèrent réellement. Certains systèmes peuvent permettre la mise en place de méthodes d'attaque, mais détectent les instruments malveillants. D'autres peuvent bloquer la voie d'attaque elle-même, empêchant ainsi totalement la livraison des instruments. Cette distinction est importante pour comprendre le niveau de protection fourni.

Qu'a révélé l'évaluation de la solution iProov ?

iProov a soumis Dynamic Liveness à une évaluation indépendante réalisée par Ingenium Biometric Laboratories, un organisme accrédité ISO/IEC 17025 qui fait office de laboratoire biométrique indépendant pour le compte de la National Protective Security Authority au Royaume-Uni. Les tests ont été menés conformément aux exigences de détection des attaques par injection de niveau 4 d'Ingenium, qui dépassent le niveau le plus élevé (CEN High) de la norme CEN/TS 18099 en termes de portée et de rigueur.

Ingenium Niveau 4 s'appuie sur les exigences définies dans la norme CEN/TS 18099, offrant une assurance accrue grâce à des tests approfondis et des types d'attaques complexes. L'évaluation de 40 jours a porté sur au moins trois méthodes d'attaque par injection distinctes et quinze instruments d'attaque. 

Au cours des tests, aucune méthode d'attaque par injection n'a pu être mise en place avec succès. Les voies d'attaque ayant été bloquées, le laboratoire n'a jamais pu passer à la phase de livraison des instruments d'attaque. Les visages synthétiques et les vidéos deepfake n'avaient nulle part où aller.

Cela représente une approche fondamentalement différente en matière de sécurité. Plutôt que d'essayer de détecter les contenus malveillants après leur intrusion dans le système, Dynamic Liveness empêche tout simplement la création d'une voie d'injection.

Il est important de noter que ce niveau de protection a été atteint sans nuire à l'expérience utilisateur. Le taux d'erreur de classification des présentations authentiques (BPCER), c'est-à-dire le taux de rejet injustifié d'utilisateurs légitimes, n'était que de 1,3 %, bien en dessous du seuil de 15 % requis par la norme.

Dynamic Liveness est la première et unique solution à avoir obtenu l'évaluation Ingenium niveau 4.

Au-delà du CEN : une vision plus large de la validation

La norme CEN/TS 18099 traite spécifiquement des attaques par injection, mais une assurance d'identité complète nécessite une validation dans plusieurs catégories de menaces. Pour les organisations qui établissent des critères d'approvisionnement autour de la norme NIST 800-63-4, le tableau complet comprend :

• Validation PAD : Conformité à la norme ISO/IEC 30107-3 grâce à des tests accrédités (tels que les niveaux 1 et 2 d'iBeta) et certification FIDO Face Verification pour les attaques par présentation, y compris les deepfakes présentés.
• Validation IAD : Évaluation CEN/TS 18099 pour la résilience aux attaques par injection.
• Sécurité opérationnelle : Certifications ISO 27001, SOC 2 et CSA STAR pour la protection des données et les processus de sécurité.
• Inclusivité : Conformité WCAG 2.2 AA et Section 508, la norme de référence en matière d'accessibilité pour les expériences numériques.

Ensemble, ces éléments fournissent les preuves requises par le NIST : non pas les affirmations des fournisseurs, mais une validation par des tiers couvrant l'ensemble des menaces auxquelles les organisations sont confrontées.

Conclusions sur la norme CEN/TS 18099 et le « déficit de validation » 

La norme CEN/TS 18099 représente la référence en matière de tests d'attaques par injection, mais l'orientation réglementaire est mondiale. La norme ISO 25456, actuellement en cours d'élaboration, étendra les exigences en matière de détection des attaques par injection à l'échelle internationale. Les organisations qui s'alignent dès maintenant se positionnent en avance sur la pression réglementaire plutôt que de se précipiter lorsque les exigences se durcissent.

Pour les architectes de sécurité, les équipes d'approvisionnement et les responsables de la conformité, la question a changé : il ne suffit plus de demander si un fournisseur dispose d'un système de détection des deepfakes. La question est de savoir s'ils peuvent prouver, par le biais de tests indépendants et conformes aux normes, que leur solution permet de contrer les attaques par injection de deepfakes désormais mises en évidence dans les directives du NIST sur l'identité numérique.

La question qui permet de démêler le vrai du faux dans les affirmations des fournisseurs est simple : quel laboratoire indépendant a testé cette fonctionnalité, selon quelle norme et à quel niveau ? Si aucune réponse n'est publiée, cela signifie que la fonctionnalité n'est pas vérifiée. Elle est simplement supposée.

Avec iProov, les preuves sont publiées, la méthodologie est transparente et les résultats peuvent être consultés. 

Votre fournisseur actuel peut-il en dire autant ?

• Pour en savoir plus sur l'évaluation CEN/TS 18099 d'iProov ou pour demander le rapport indépendant d'Ingenium, contactez-nous.
• En savoir plus sur les certifications biométriques et d'identité et pourquoi elles sont importantes.