L’identification numérique devient primordiale, le rapport ANSSI-BSI se pose comme un jalon crucial dans la compréhension et la sécurisation de l’identité numérique. Ce rapport explore les défis et les solutions de l’identification à distance, soulignant les vulnérabilités inhérentes aux systèmes actuels et l’urgence d’adopter des mesures de sécurité plus robustes.
Abordant les risques tels que les fraudes d’identité et les cyberattaques, le rapport met en évidence l’importance de technologies avancées comme la biométrie, la cryptographie forte et l’authentification multi-facteurs. Ces solutions visent à renforcer la fiabilité et la sécurité des processus d’identification, essentiels dans la gestion des accès aux services numériques.
Le rapport souligne également le rôle critique des cadres réglementaires, en particulier le règlement eIDAS de l’Union Européenne, dans l’établissement de normes communes pour la sécurisation de l’identité numérique. Cette approche réglementaire assure une uniformité et une fiabilité accrues des systèmes d’identification à travers l’Europe.
Le rapport ANSSI-BSI constitue une ressource intéressante pour les professionnels de la cybersécurité et de la protection des données. Il fournit des directives claires pour l’amélioration des systèmes d’identification numérique et appelle à une collaboration internationale renforcée pour faire face aux défis de la sécurité numérique dans un monde de plus en plus connecté.
Le document ANSSI-BSI fournit plusieurs exemples concrets pour illustrer les solutions de sécurisation de l’identité numérique. Par exemple, il mentionne l’utilisation de la biométrie, comme la reconnaissance faciale ou les empreintes digitales, pour authentifier l’identité d’une manière plus sûre et précise. Il aborde également l’importance de la cryptographie, comme les clés de chiffrement fortes, pour protéger les données d’identité pendant leur transmission et leur stockage. De plus, l’authentification multi-facteurs est citée comme un moyen efficace de renforcer la sécurité, en combinant plusieurs méthodes d’identification, telles qu’un mot de passe et un code envoyé sur un téléphone mobile. Ces exemples illustrent comment les technologies modernes peuvent être utilisées pour améliorer la sécurité de l’identité numérique.
Traduction du document :
La transformation numérique affecte de nombreux aspects de la vie quotidienne des citoyens, y compris leur identité. Aujourd’hui, les technologies d’identification numérique permettent aux citoyens européens d’accéder à des services publics et privés (comme les impôts, les banques, les registres de santé ou les services de confiance qualifiés) en utilisant une identité numérique commune. Sur le plan technique, un nombre croissant de systèmes d’identification électronique (eID) ont émergé en Europe ces dernières années, notamment sous le règlement eIDAS UE 2014/910. Ce règlement oblige les États membres à émettre un portefeuille d’identité numérique pour étendre l’utilisation des solutions d’identité numérique en Europe. L’évaluation d’un système eID, suivant les exigences de CIR (UE) 2015/1502, couvre tout le cycle de vie des moyens d’identification électronique. Cela inclut l’inscription, qui vise à confirmer l’identité de l’utilisateur avant la délivrance des moyens d’identification électronique. C’est la première étape et l’une des plus critiques. Elle peut être effectuée lors d’une rencontre physique avec un agent autorisé (comme lors de la délivrance d’un document d’identité) ou via l’utilisation d’un moyen d’identification électronique existant. Cependant, les fournisseurs de moyens d’identification électronique sont de plus en plus susceptibles d’utiliser la preuve d’identité à distance basée sur la vidéo à des fins d’inscription. Identifier une personne peut sembler simple à première vue, mais cela implique d’établir une assurance raisonnable que le document d’identité est authentique, ainsi que de faire correspondre les caractéristiques (comme le visage ou les empreintes digitales) du demandeur, ce qui devient un sujet complexe lorsqu’il est effectué à distance. En particulier, l’espace numérique et les avancées technologiques permettent aux attaquants d’utiliser une grande variété de compétences et de matériaux pour commettre un vol d’identité, et les attaques sont plus facilement répétables qu’au cours d’une rencontre physique. Les attaques contre la preuve d’identité à distance visent à effectuer une fraude d’identité pour obtenir un accès non autorisé à des fins d’espionnage, de sabotage ou de gain financier. Ces attaques peuvent cibler un ou plusieurs composants du service de preuve d’identité à distance (Fig. 1).
L’objectif de la preuve d’identité à distance est de s’assurer que la personne derrière l’écran et le document d’identité présenté correspondent et sont authentiques. Pour cela, trois étapes sont nécessaires :
- La vérification biométrique, visant à s’assurer que la représentation du visage du demandeur n’a pas été modifiée ;
- La vérification du document d’identité, visant à s’assurer que l’utilisateur possède un document d’identité authentique ;
- L’appariement et les résultats, visant à s’assurer que le visage du demandeur correspond à la photographie sur le document. Ce communiqué conjoint de l’ANSSI et du BSI se concentrera sur les vecteurs d’attaque pertinents à prendre en compte, et les exemples de contre-mesures actuellement observées dans l’industrie. Bien que ce communiqué conjoint discute principalement des risques liés à la biométrie et aux documents d’identité, les menaces sur le système d’information du prestataire de service de preuve d’identité à distance (y compris les applications web et mobiles utilisées dans le processus de vérification d’identité) restent un danger important.
Les mêmes menaces qui s’appliquent aux rencontres physiques en face à face s’appliquent également à la vérification à distance des données biométriques, bien que le degré de difficulté pour l’attaquant soit plus faible. Dans les deux cas, l’objectif de l’attaquant est d’usurper l’identité de la victime. Cependant, pour la vérification à distance, l’attaquant a plus d’options et peut utiliser des masques de diverses qualités et matériaux (par exemple en papier, en silicone, moulés) en plus du maquillage. Ces attaques sont communément appelées Attaques de Présentation. En plus de ces menaces préexistantes, les attaquants peuvent également utiliser des outils numériques pour créer des modèles 3D ou des deepfakes de leurs victimes. Avant de commettre ces fraudes de nouvelle génération, les attaquants doivent intercepter et remplacer les données biométriques soit en filmant des images manipulées sur un écran, soit en utilisant des vulnérabilités pour injecter des images manipulées dans le flux vidéo. Ce type d’attaque est appelé Attaques par Injection. Dans le scénario typique d’identification à distance, un attaquant a un contrôle supplémentaire sur les paramètres environnementaux tels que l’éclairage, la qualité de la caméra, la fréquence d’images, etc. Cela peut aider à masquer des attaques qui dans des conditions plus favorables pourraient être détectées. Par conséquent, un ensemble minimal d’exigences doit être établi et appliqué.
Objectifs du service de preuve d’identité à distance :
- Capturer une vidéo du visage du demandeur avec une qualité et une durée suffisantes – La fluidité de la vidéo, la résolution (par exemple un minimum de 720p au moment de la rédaction de ce document) et la durée doivent être suffisantes pour permettre les tâches de vérification effectuées par l’IA et les opérateurs humains ;
- Vérifier que la vidéo capturée n’a pas été altérée – Y compris des défis aléatoires à être réalisés par le demandeur pendant la capture de la vidéo sont un bon moyen de détecter une altération de la vidéo en faisant apparaître des bugs et des artefacts si la vidéo est numériquement manipulée ;
- Vérifier que le demandeur sur la vidéo capturée est une personne réelle (par exemple, pas de masque, pas de deepfakes).
Dans le cadre de la preuve d’identité à distance, plusieurs méthodes techniques pour capturer les documents d’identité peuvent être utilisées : photo, vidéo ou lecture de puce. Tout comme les données biométriques, les données des documents d’identité sont exposées au contrefaçon physique et à la falsification, mais aussi à l’injection de données numériquement modifiées. Le succès de l’attaque dépend du niveau de sécurité du document d’identité. Si un document d’identité a peu ou pas de caractéristiques de sécurité visuelles, l’utilisation de méthodes basées sur la photo ou la vidéo pour vérifier son authenticité ne peut pas être efficace. La lecture de puce est la méthode la plus sûre pour acquérir des informations à partir d’un document d’identité. Cependant, l’accès aux données sur la puce est légalement restreint dans certains pays de l’Union Européenne, généralement pour des raisons de protection de la vie privée.
Le but des attaques sur la biométrie et les documents d’identité est de commettre une fraude lors de la dernière étape du processus de correspondance. Outre les cas particuliers comme les jumeaux, il est important de considérer la performance des algorithmes de correspondance biométrique utilisés. Les attaques spécifiques à l’IA, comme les attaques par porte dérobée ou la robustesse face aux attaques adverses, doivent être prises en compte. Les attaques internes, où l’attaquant a accès au modèle ou aux données d’entraînement, peuvent subvertir le processus d’identification. La performance des algorithmes peut varier pour différentes ethnicités et nécessite une évaluation continue, y compris une vérification manuelle, pour assurer une sécurité globale.
La standardisation de la preuve d’identité à distance est en cours, avec des avancées technologiques constantes. Des organismes de normalisation, tels que l’ISO/IEC et l’ETSI, travaillent sur des normes couvrant les attaques de présentation et la vérification d’identité. Cependant, il existe encore un manque de schémas de certification. Seuls quelques États membres, comme la France, ont élaboré des méthodologies d’évaluation et des schémas de certification. Avec l’émergence des portefeuilles d’identité numérique européens, il devient nécessaire de garantir la sécurité de ces solutions à l’échelle européenne, ce qui pourrait être réalisé grâce à des schémas de certification harmonisés sous le Cybersecurity Act.