16 décembre 2025

iProov rejoint les principales organisations spécialisées dans la cybersécurité et les technologies qui contribuent à la lutte contre les menaces liées à l'intelligence artificielle.

 

LONDRES, Royaume-Uni – 17 décembre 2025 – Aujourd'hui, iProov, le premier fournisseur mondial de solutions scientifiques de vérification d'identité biométrique, a annoncé qu'un scénario d'attaque démontré par l'équipe interne Red Team d'iProov a été publié par MITRE ATLAS™, la base de connaissances mondiale qui fait progresser la sécurité de l'IA, l'atténuation des menaces, la robustesse et la confidentialité. L'étude de cas confirme l'existence d'une vulnérabilité critique et à haut risque dans le processus de vérification d'identité à distance « Know Your Customer » (KYC), exposant les utilisateurs du monde entier. 

La contribution d'iProov, qui comprend une aperçu de la procédure, montre à quel point les attaques par injection d'images avec échange de visages, facilement accessibles, peuvent contourner les procédures KYC mobiles . L'étude de cas place iProov aux côtés des contributions des principaux leaders de la cybersécurité et de la technologie, notamment Microsoft, NVIDIA, IBM, Intel, Cisco, Palo Alto Networks, Kaspersky, CrowdStrike et Trend Micro, qui travaillent tous en collaboration pour façonner les futurs outils et cadres de défense.

« La force de MITRE ATLAS réside dans l'étendue et la qualité de la communauté qui le soutient. Les contributions provenant de l'industrie, du monde universitaire et du gouvernement, allant des conclusions des équipes rouges aux informations opérationnelles sur les menaces, sont essentielles pour améliorer la précision et l'exhaustivité de la base de connaissances MITRE ATLAS. Lorsque les organisations partagent ouvertement leurs données et leur expertise, nous renforçons collectivement la sécurité et la résilience des systèmes basés sur l'IA et de la nation », a déclaré Doug Robbins, vice-président de MITRE Labs.

« Au cours des 12 derniers mois, nous avons assisté à une explosion des vecteurs d'attaque liés à la vérification d'identité, principalement due aux progrès de l'IA générative et à la large disponibilité d'outils peu coûteux », a déclaré Andrew Newell, directeur scientifique chez iProov. « La publication de cette dernière étude de cas MITRE ATLAS s'inscrit dans le processus essentiel d'identification et de documentation de ces méthodologies. Le rythme de l'évolution ne devrait que s'accélérer, il est donc essentiel que toutes les organisations examinent sans délai leurs propres défenses contre ces nouvelles tactiques. »

Cette étude de cas confirme l'importance cruciale pour les organisations de rechercher des fournisseurs qui ont été testés selon la récente norme européenne CEN 18099, qui établit des protocoles de test rigoureux contre les attaques par injection et représente une avancée significative dans les normes de sécurité en matière de vérification d'identité à distance.

Comprendre les vulnérabilités

Cette validation par MITRE met en évidence une faille de sécurité critique dans les secteurs des services financiers, bancaires et des cryptomonnaies, où la vérification d'identité à distance est obligatoire pour l'inscription et l'authentification des utilisateurs.

La recherche démontre pourquoi les solutions actives de vivacité sont particulièrement vulnérables :

  • La détection active de la vivacité repose sur l'analyse des artefacts d'image et des mouvements de l'utilisateur, que les deepfakes sophistiqués générés par l'IA peuvent désormais reproduire de manière convaincante.
  • Le remplacement de l'appareil photo d'un appareil mobile par une application d'appareil photo virtuel permet aux pirates de contourner les contrôles de sécurité au niveau de l'appareil.

Résumé de l'attaque et impact sur le secteur

L'exercice de sécurité mené par le responsable de l'équipe rouge d'iProov, le Dr Panos Papadopoulos, visait spécifiquement le processus crucial de vérification d'identité connu sous le nom de « Know Your Customer » (KYC), couramment utilisé par les applications mobiles dans les services financiers, bancaires et les cryptomonnaies.

La procédure d'attaque comportait plusieurs étapes complexes :

  1. Reconnaissance et développement des ressources : L'équipe rouge d'iProov a collecté des informations d'identité d'utilisateurs et des images faciales haute définition à partir de sources en ligne. Elle s'est procuré Faceswap, une application de bureau qui utilise l'IA générative pour échanger les visages dans une vidéo en temps réel.
  2. Acquisition d'outils : Ils ont ensuite utilisé Open Broadcaster Software (OBS) pour diffuser une vidéo en streaming. Ils ont notamment acquis Virtual Camera: Live Assist, une application Android qui permet aux utilisateurs de remplacer le flux vidéo par défaut de l'appareil par un flux vidéo en streaming, et qui fonctionne correctement sur les appareils Android authentiques non rootés.
  3. Génération de deepfakes : À partir des images recueillies sur les victimes, la Red Team a utilisé Faceswap pour produire des vidéos deepfake en direct imitant l'apparence des victimes.
  4. Accès initial et contournement : Au cours de la phase de vérification d'identité sur une application de services financiers, l'équipe a diffusé le flux vidéo deepfake à l'aide d'OBS et de l'application Virtual Camera. Cette méthode a permis de contourner avec succès le système de détection de présence. 
  5. Usurpation d'identité : Cette évasion a permis au Dr Panos Papadopoulos de s'authentifier sous une identité fictive, démontrant ainsi que des adversaires pouvaient accéder aux systèmes privilégiés d'une victime ou créer de faux comptes sur des applications bancaires ou de cryptomonnaie, causant ainsi un préjudice financier important.

L'importance d'une vérification continue et de normes avancées

 La contribution d'iProov, publiée par MITRE ATLAS, fournit une validation indépendante et tierce des vulnérabilités critiques des systèmes mobiles de vérification d'identité KYC. Cette recherche confirme l'importance d'aller au-delà de la détection de vivacité non conforme et vulnérable. La récente norme européenne CEN 18099, qui établit des protocoles de test rigoureux pour la détection de vivacité, représente une avancée significative dans les normes de sécurité biométrique.

Appel à la collaboration

Les travaux menés par l'équipe rouge d'iProov informent les analystes en sécurité et les développeurs d'IA de tous les secteurs sur les menaces réalistes qui pèsent sur les systèmes basés sur l'IA, ce qui permet une évaluation plus éclairée des menaces et une collaboration interne plus efficace entre les équipes rouges. MITRE encourage la collaboration entre les pouvoirs publics, l'industrie et le monde universitaire afin de contribuer à l'élaboration de futurs outils et cadres dans les domaines de la sécurité de l'IA, de l'atténuation des menaces, de la robustesse, de la confidentialité et d'autres aspects critiques de l'assurance IA.

À propos de MITRE ATLAS™

Le cadre MITRE ATLAS™ (Adversarial Threat Landscape for AI Systems) est une base de connaissances accessible à l'échelle mondiale et constamment mise à jour sur les tactiques et techniques utilisées par les adversaires, basée sur des attaques réelles et inspirée du célèbre cadre MITRE ATT&CK®. Étude de cas iProov : «Deepfake Injection Evades Mobile KYC Liveness Verification » et est approuvée pour diffusion publique ; distribution illimitée (numéro de dossier 21-2363). MITRE ATLAS™ et MITRE ATT&CK® sont des marques commerciales et des marques déposées de The MITRE Corporation.

20251103 Communiqué de presse sur les menaces informatiques au quatrième trimestre 16x9 v2 2 1
Table des matières

Continuer à lire

Rien n'a été trouvé