2 août 2023
Au cours des deux dernières années, iProov a constaté une augmentation considérable d'un nouveau type d'échange de visages. Ce type d'échange est considérablement plus avancé que les échanges de visages traditionnels - ils sont tridimensionnels et plus résistants aux techniques de détection établies. Notre rapport de veille sur les menaces a révélé que la fréquence de cette nouvelle menace a augmenté de façon exponentielle - de 295 % entre le premier et le deuxième semestre.
Les mauvais acteurs utilisent des technologies d'IA générative sophistiquées pour créer et lancer des attaques dans le but d'exploiter les systèmes de sécurité des organisations et d'escroquer les particuliers. Par conséquent, nous pensons que la sensibilisation et la compréhension des technologies de deepfake doivent être développées et discutées plus largement pour contrer ces efforts. Sans connaissance du paysage des menaces, les organisations auront du mal à utiliser la technologie de vérification appropriée pour se défendre contre elles.
Cet article explique ce que sont les échanges de visages, pourquoi ils sont si dangereux et propose des solutions à cette menace croissante.
Qu'est-ce que l'échange de visages ?
Les échanges de visages sont un type d'imagerie synthétique créée à partir de deux entrées. Ils combinent des flux vidéo ou en direct existants et superposent une autre identité au flux original en temps réel.
Le résultat final est une fausse sortie vidéo 3D, qui est fusionnée à partir de plusieurs visages.
En résumé, les échanges de visages se résument à un processus en trois étapes :
- La première entrée est une vidéo de l'agresseur
- La deuxième entrée est la vidéo de l'identité cible qu'ils essaient d'usurper.
- Le logiciel fusionne les deux entrées ci-dessus en un résultat final, à savoir une vidéo 3D falsifiée d'une personne ciblée.
Un comparateur de visages n'ayant pas mis en place les défenses adéquates identifierait le résultat comme étant l'individu authentique. Le résultat final ressemblera un peu à ceci :
Un échange de visages attaque se réfère spécifiquement à l'utilisation de l'imagerie synthétique susmentionnée avec une méthodologie de déploiement choisie (telle que le man-in-the-middle ou le contournement de caméra) pour lancer une attaque ciblée sur un système ou une organisation.
Pourquoi faut-il s'inquiéter des attaques par échange de visages ?
Les criminels peuvent utiliser les échanges de visages pour commettre des délits tels que la fraude à l'ouverture d'un nouveau compte, la fraude à la prise de contrôle d'un compte ou la fraude à l'identité synthétique. On peut imaginer l'efficacité d'un échange de visages au cours d'un processus de vérification d'identité en ligne, puisqu'un fraudeur peut contrôler à volonté les actions du visage obtenu. Les échanges de visages sont d'autant plus uniques qu'ils peuvent être utilisés en temps réel.
Imaginez : un fraudeur doit passer un contrôle de vérification d'un appel vidéo. Un simulacre traditionnel préenregistré ou en 2D serait inutile ici, car il ne pourrait pas être utilisé pour répondre aux questions en temps réel. Cependant, en utilisant un échange de visages en direct, un criminel pourrait compléter la vérification de l'appel vidéo en transformant ses propres actions (et même son discours) avec une autre entrée de la personne authentique qu'il prétend être - créant ainsi un résultat synthétique pour tromper le processus de vérification.
Examinons quelques autres problèmes liés aux nouvelles attaques par échange de visages :
- Les attaques par échange de visages sont de plus en plus fréquentes : Rien qu'en 2022, elles ont augmenté de 295 % entre le premier et le deuxième semestre. Ce taux de croissance indique que des criminels peu qualifiés ont accès aux ressources nécessaires pour lancer des attaques sophistiquées.
- Crime-as-a-Service se développe : La disponibilité d'outils en ligne accélère l'évolution du paysage des menaces. Les criminels peuvent ainsi lancer des attaques avancées plus rapidement et à plus grande échelle. Si les attaques réussissent, leur volume et leur fréquence augmentent rapidement car elles sont partagées entre des réseaux établis de "crime-as-a-service" ou sur le "darkweb", ce qui amplifie le risque de dommages graves.
- L'intervention manuelle n'est plus efficace : Bien que 57 % des consommateurs mondiaux pensent pouvoir repérer un "deepfake", une étude a montré que seuls 24 % des gens y parviennent. Et nous nous attendons à ce que les résultats d'une telle étude varient considérablement en fonction de la qualité du "deepfake" et de la formation spécialisée de l'individu ; de nos jours, beaucoup sont véritablement impossibles à distinguer à l'œil humain.
Comment les attaques par échange de visages sont-elles lancées ?
Les attaques par substitution de visage sont réalisées par des techniques d'injection numérique afin d'essayer d'usurper un système d'authentification biométrique.
A attaque par injection numérique consiste à injecter une attaque dans une application ou une connexion à un serveur de réseau, en contournant entièrement le capteur.
Une vidéo enregistrée pourrait être présentée à une caméra (ce que l'on appelle une attaque par présentation), mais nous ne classerions pas cela comme un échange de visages. L'échange de visages consiste à utiliser un certain nombre d'applications pour appliquer une fausse représentation numérique du visage d'une personne (en tout ou en partie) et la superposer à celle des acteurs. Cela se fait par injection numérique.
Les attaques par injection numérique sont la méthode de déploiement la plus dangereuse car il s'agit d'une forme d'attaque hautement évolutive et reproductible. Alors que la détection des attaques par présentation est accréditée par des organisations telles que NIST FRVT et iBeta, aucun test de ce type n'existe pour la détection des attaques par injection numérique - il est donc conseillé aux organisations de faire leurs propres recherches sur la manière dont les fournisseurs atténuent cette méthode d'attaque croissante et assurent la sécurité des utilisateurs en permanence.
Les solutions de vérification biométrique des visages doivent se défendre contre les attaques par échange de visages
Alors que de plus en plus d'activités se déroulent en ligne et que les projets de transformation numérique et d'identité numérique arrivent à maturité, la nécessité d'une vérification et d'une authentification solides de l'utilisateur ne peut que gagner en importance.
En réalité, les méthodes de vérification traditionnelles n'ont pas permis d'assurer la sécurité des utilisateurs en ligne. On ne peut pas se fier uniquement aux données pour confirmer l'identité d'une personne. Les mots de passe peuvent être déchiffrés, volés, perdus ou partagés. Les OTP peuvent être interceptés. La vérification des appels vidéo peut être falsifiée et reposer sur un jugement manuel, qui n'est plus en mesure de distinguer de manière fiable les images authentiques des images synthétiques.
La vérification biométrique du visage s'est donc imposée comme la seule méthode sûre et pratique pour vérifier l'identité d'un utilisateur en ligne. Cependant, le point essentiel est que toutes les solutions de vérification biométrique du visage ne sont pas créées de la même manière.
Les solutions biométriques se différencient par leur capacité à établir le caractère vivant et à fournir une expérience utilisateur inclusive (concernant l'âge, le sexe, l'origine ethnique, les capacités cognitives, etc. Pour plus d'informations sur le caractère vivant et les différentes technologies de vérification biométrique du visage sur le marché, ainsi que sur leurs principaux facteurs de différenciation, lisez notre ebook Démystifier la vérification biométrique du visage ici.
Comme nous l'avons souligné dans cet article, la sécurité est de plus en plus menacée (comme pour toute technologie d'assurance de l'identité). Lorsque vous choisissez une solution biométrique, vous devez être conscient des défis liés à la sécurité afin d'être en mesure d'utiliser la technologie de vérification appropriée.
Examinons quelques-uns des facteurs clés à prendre en compte lors du choix d'un fournisseur de services biométriques qui se prémunit contre les échanges de visages :
- Une sécurité permanente et évolutive : Compte tenu de la nature transformatrice de l'IA générative et de l'évolutivité des attaques par injection numérique, la sécurité biométrique doit apprendre en permanence des menaces et être gérée activement 24 heures sur 24 et 7 jours sur 7.
- Authentification passive : Notre rapport sur les menaces a révélé que les systèmes de vérification actifs, basés sur les mouvements - qui testent les mouvements tels que le sourire, le hochement de tête et le clignement des yeux en tant qu'indicateurs de présence - étaient plus souvent la cible d'attaques par échange de visage. En effet, les attaques par imagerie synthétique avancée, telles que les échanges de visages, peuvent effectuer des actions en temps réel, ce qui permet de contourner les systèmes actifs et de les rendre plus sensibles à la menace croissante. Les systèmes biométriques passifs sont donc recommandés.
- Protection contre les attaques par injection numérique : Si de nombreuses solutions de détection de la vivacité peuvent détecter les attaques par présentation ou relecture qui sont présentées à la caméra, la plupart d'entre elles ne peuvent pas détecter les attaques qui ont été injectées numériquement dans un système. L'atténuation des attaques par injection numérique est essentielle.
Nouvelles attaques par échange de visages et vérification biométrique des visages : Résumé
La technologie permettant de créer des deepfakes ne cesse de s'améliorer, de baisser en prix et d'être plus facilement accessible. C'est pourquoi la protection contre les "deepfakes" deviendra de plus en plus cruciale à mesure que la menace des "deepfakes" augmentera et que de plus en plus de gens prendront conscience des dangers.
Les organisations doivent évaluer leurs solutions de vérification pour s'assurer de leur résilience face à des attaques complexes telles que les échanges de visages. Pour plus d'informations sur les échanges de visages et l'évolution du paysage des menaces, lisez notre dernier rapport, le "iProov Threat Intelligence Report 2024 : L'impact de l'IA générative sur la vérification d'identité à distance". Ce rapport met en lumière les principaux schémas d'attaque observés tout au long de l'année 2023. Ce rapport, le premier du genre, met en lumière des modèles d'attaques biométriques en production jusqu'alors inconnus, aidant les organisations à prendre des décisions éclairées sur la technologie et le niveau de sécurité à déployer. Lire le rapport complet ici.