Directives NIST 800-63-4 : un appel à l'action en matière d'identité

L'Institut national américain des normes et technologies (NIST) a publié sa publication spéciale (SP) 800-63-4, la dernière révision de ses directives sur l'identité numérique.

La nouvelle version 2025 représente une refonte fondamentale de la notion d'« identité numérique sécurisée » à l'ère des vidéos générées par l'IA et des marchés de la criminalité en tant que service, d'identités synthétiqueset d'attaques numériques sophistiquées. Si vous êtes responsable de la vérification d'identité, de l'authentification ou de la confiance numérique, ces directives ne sont pas seulement une ressource essentielle, elles constituent un appel à l'action.

Cet article détaille les changements intervenus, leur importance et leur incidence sur votre stratégie d'identité et vos critères de sélection.

Pourquoi le NIST a réécrit les règles (le paysage des menaces a complètement changé)

Il s'agit de la première mise à jour des directives du NIST relatives à l'identité numérique depuis 2017, qui précède une transformation massive du paysage des menaces avec l'explosion de l'IA générative et la démocratisation d'outils d'attaque sophistiqués ciblant les systèmes d'identité numérique.

En fait, le paysage des menaces en 2025 est méconnaissable par rapport à celui de 2017 :

• Les outils de génération de deepfakes sont largement disponibles et en constante amélioration.
• Les identités synthétiques générées par l'IA peuvent être impossibles à distinguer de celles de personnes réelles.
• Les deepfakes sont diffusés en temps réel sur des plateformes de visioconférence telles que Zoom et Teams, ce qui permet aux pirates informatiques d'usurper l'identité de collègues et de cadres lors d'appels en direct ou de contourner la vérification des appels vidéo.
• Les caméras virtuelles, la manipulation des appareils et les attaques par injection peuvent contourner complètement la détection de vivacité de qualité inférieure.

Le NIST indique explicitement que ces directives traitent de l'« évolution du paysage numérique » et de la montée en puissance des menaces sophistiquées basées sur l'intelligence artificielle. Tout cela se produit à un moment où un nombre croissant de services traditionnels en personne ont migré vers Internet.

Le centre des opérations de sécurité iProov (iSOC) a enregistré une augmentation de 704 % des attaques par échange de visages entre le premier et le second semestre 2023, avec une nouvelle hausse de hausse de 300 % en 2024.

La leçon est claire : les organisations ne peuvent plus se fier aux modèles de sécurité conçus avant l'explosion de l'IA générative. 

Un changement crucial : relever la barre en matière de PAD, introduction de l'IAD

La norme NIST SP 800-63-4 rend détection des attaques par présentation (PAD) obligatoire pour les cas d'utilisation à haut niveau de sécurité dans le cadre des IAL2 et AAL2.

Les normes et directives relatives à l'identité numérique se sont historiquement concentrées sur la PAD, qui ne détecte pas si une personne est physiquement présente, mais détecte les artefacts de présentation (photos, rediffusions vidéo ou masques) afin de déterminer s'il s'agit d'un visage réel ou d'un faux.

Voici ce qui a changé : la définition du NIST d'un PAD adéquat englobe désormais bien plus que les contrôles de vivacité de base vérifications de vivacité. Le NIST exige désormais à la fois la PAD et des protections contre les attaques par injection (cyberattaques qui contournent la caméra d'un appareil ou sont injectées dans un flux de données) en tant qu'exigences distinctes et complémentaires. Les directives exigent des vérificateurs qu'ils « déterminent les performances, l'intégrité et l'authenticité des capteurs et des terminaux ». La barre a fondamentalement changé, car les organisations doivent désormais s'occuper à la fois de la PAD et de l'IAD.

Le bar a fondamentalement changé, car les organisations doivent désormais traiter à la fois le PAD et l'IAD.

La plupart des solutions biométriques peuvent gérer les attaques de présentation de base – c'est une exigence minimale. Très peu d'entre elles sont capables de détecter lorsque l'ensemble du flux de données a été compromis au niveau numérique ou remplacé dans les flux vidéo natifs, ce qui est exactement ce qu'exige désormais le NIST et ce que font les attaquants sophistiqués.

La conversation a évolué, passant de « disposez-vous d'un système de détection de présence ? » à « pouvez-vous prouver que la personne appropriée est réellement présente au moment de la capture ET déjouer les attaques par injection sophistiquées ? ».

Que recommande le NIST dans ses directives mises à jour ?

La norme NIST SP 800-63-4 introduit des contrôles spécifiques qui changent la donne :

• Pour le niveau d'assurance d'identité 2 (IAL2) : Les organisations qui utilisent la vérification d'identité à distance asynchrone doivent mettre en œuvre un système de détection des attaques par présentation et analyser les médias à la recherche de signatures de contenu généré par l'IA et de deepfakes.
• Pour le niveau d'assurance d'authentification 2 (AAL2) : Les systèmes d'authentification utilisant la vérification faciale doivent mettre en œuvre le PAD. Il est essentiel que les vérificateurs déterminent les performances et l'intégrité du capteur et de son point d'extrémité associé afin de détecter les attaques par injection.
• Pour le niveau d'assurance 2 de la Fédération (FAL2) : Les systèmes doivent protéger contre les affirmations falsifiées et les attaques par injection, en particulier « un attaquant fournissant des supports non fiables, tels qu'une vidéo falsifiée d'un utilisateur ».

Le NIST a établi une distinction claire entre les contrôles de vivacité de base et l'assurance de présence authentique, qui inclut la protection contre les attaques par injection et les supports falsifiés.

Alors, comment vous assurer que votre solution est conforme aux mises à jour des directives du NIST en matière d'identité numérique ?

Validation indépendante : norme CEN pour l'IAD

Si le NIST établit des exigences, des tests conformes aux normes industrielles sont nécessaires pour valider les déclarations des fournisseurs au-delà de l'auto-attestation. Cette norme existe désormais : CEN TS 18099 pour la détection des attaques par injection, la seule norme de test spécialement conçue pour tester la capacité des systèmes biométriques à détecter et à contrer les menaces basées sur l'injection.

Au début de cette année, iProov a obtenu la certification CEN TS 18099 niveau 2 (élevé), décernée par Ingenium Biometric Laboratories, un laboratoire indépendant accrédité ISO/IEC 17025. Nous avons été les premiers à obtenir cette certification auprès d'Ingenium, car notre architecture a été spécialement conçue pour lutter contre les attaques par injection et les supports falsifiés.

L'alignement entre les directives du NIST et celles du CEN n'est pas une coïncidence. Lorsque deux autorités indépendantes convergent vers le même modèle de menace, l'une fixant de nouvelles exigences et l'autre fournissant des normes de test, cela confirme que les menaces basées sur l'injection sont réelles, sophistiquées et nécessitent des défenses testées de manière indépendante. La norme CEN TS 18099 apporte un soutien objectif et indépendant aux exigences du NIST : protection contre les attaques par injection et les supports falsifiés.

Posez cette question…

Voici comment identifier les fournisseurs d'identité résilients face aux menaces liées à l'IA :

« Pouvez-vous prouver qu'un sujet vivant est réellement présent au moment de la capture ET le protéger contre toute une série de méthodes/instruments d'attaque par injection sophistiqués ? »

La détection de vivacité de base et la prévention physique de l'usurpation d'identité ne suffisent pas à elles seules pour répondre aux directives du NIST. La preuve doit provenir d'une certification validée par des laboratoires d'essai accrédités. Assurez-vous que le fournisseur peut démontrer :

• Comment ils protègent l'intégrité de l'ensemble du flux de données et vérifient l'intégrité des capteurs/terminaux afin de détecter les attaques par injection, comme le recommande le NIST.
• Quels tests standardisés ont-ils passé pour la détection des attaques par injection, et pas seulement ce qui est revendiqué ? 
• Leur taux d'acceptation des attaques par usurpation d'identité (IAPAR) et sa comparaison avec les seuils du NIST.

Comment l'architecture d'iProov s'aligne

L'approche d'iProov combine trois niveaux qui correspondent directement aux normes explicites du NIST :

• Dynamic Liveness® avec Flashmark™  fournit les technologies PAD et IAD avancées exigées par le NIST, confirmant la présence réelle d'une personne physique en temps réel au moment de la capture. Flashmark crée des données biométriques uniques pour chaque vérification, qui ne peuvent être ni reproduites, ni volées, ni réutilisées. Nous avons obtenu la conformité iBeta PAD avec les niveaux 1 et 2 de la norme ISO/IEC 30107-3 niveaux 1 et 2 (taux de réussite des attaques de 0 %) et la certification FIDO Face Verification, avec un taux d'acceptation des présentations d'attaques par imposteur (IAPAR) de 0 %. 
• La plateforme biométrique scientifique d'iProov analyse l'ensemble du flux de données à la recherche de signes d'injection, de relecture et de médias générés par l'IA, répondant ainsi directement à l'exigence du NIST de protection contre les « vidéos falsifiées » et les attaques par injection. Conforme à la norme CEN TS 18099, la seule norme mondiale pour la détection des attaques par injection. 
• iSOC fournit des informations et une surveillance 24 heures sur 24, 7 jours sur 7, soit la vigilance permanente recommandée par le NIST pour détecter les menaces évolutives basées sur l'IA.

Le tableau ci-dessous met en correspondance les preuves d'alignement avec les directives spécifiques : 

Cette architecture démontre comment iProov est le premier et le seul fournisseur à répondre aux exigences de vérification biométrique incluses dans les nouvelles directives du NIST.

Que va-t-il se passer ensuite ?

La publication de la norme NIST SP 800-63-4 a déjà une influence directe sur les processus d'approvisionnement.

Les architectes de sécurité doivent auditer les flux de travail actuels par rapport à ces directives. Les équipes d'approvisionnement et les décideurs doivent comprendre les exigences technologiques pour le PAD et l'IAD. Le plan directeur a changé, et les organisations sont désormais habilitées à poser des questions éclairées à leurs fournisseurs de solutions biométriques. 

Dans notre prochain article de cette série, nous vous fournirons un cadre pratique pour auditer votre solution biométrique actuelle ou potentielle par rapport à la norme NIST SP 800-63-4.

Votre processus actuel de vérification d'identité est-il à la hauteur ? 

• Utilisez notre outil interactif d'évaluation des fournisseurs de services de sécurité
• Téléchargez gratuitement notre « Comment évaluer un fournisseur de solutions biométriques » 
• Réservez une démonstration consultative avec l'un de nos experts pour bénéficier d'une consultation spécialisée.