C'est pratique, mais les données peuvent être utilisées à mauvais escient
La grande image: Les selfies jouent de plus en plus un rôle surprenant : celui de vérifier votre identité en ligne. Certaines banques et même certains gouvernements ont commencé à exiger la capture de selfies en direct lors des appels vidéo pour prouver votre identité avant d’accéder à des services. Cependant, donner son selfie aux entreprises technologiques est loin d’être une mesure intelligente en matière de cybersécurité, comme le souligne un nouveau rapport.
Plusieurs experts en sécurité et analystes de marché qui ont parlé à The Register ont discuté de cette pratique, soulignant à quel point elle est dangereuse et conseillant sur les moyens de l'améliorer.
Selon Akif Khan, vice-président analyste chez Gartner, qui conseille les entreprises sur la mise en œuvre de cette technologie, la tendance de l'authentification par selfie se développe depuis des années. Il a déclaré à la publication que l'intérêt pour la vérification d'identité par selfie est très élevé et en constante augmentation, avec une « hausse » récente alors que la pandémie a poussé davantage de services en ligne.
Les inquiétudes sont devenues évidentes la semaine dernière lorsque le Vietnam a rendu obligatoire la numérisation du visage à partir des applications bancaires par téléphone pour toute transaction numérique supérieure à 400 dollars. Les médias vietnamiens ont exprimé leur scepticisme quant à l'amélioration de la sécurité par les selfies. En quelques jours, certaines applications échouaient déjà au test d'ambiance en acceptant de simples photos fixes au lieu de vidéos de selfie en direct.
L’essor de l’identification par selfie s’inscrit dans la lignée des réglementations anti-blanchiment d’argent (AML) et KYC (Know Your Customer) qui exigent des contrôles d’identité, même si les spécificités varient d’une juridiction à l’autre et sont fréquemment mises à jour. Cela crée des exigences contradictoires lorsqu’elles sont mises en balance avec les réglementations sur la confidentialité des données dans chaque région.
La mauvaise gestion des données de selfies par les entreprises est également un problème, selon Kevin Reed, CISO chez Acronis. Il a déclaré à la publication que les entreprises ne parviennent souvent pas à gérer et à éliminer correctement les images de vérification de selfies après utilisation, les laissant ainsi exposées au vol si des cybercriminels trouvent de la valeur dans ces données.
Un rapport de Resecurity a déjà mis en évidence un fournisseur de paiement de Singapour qui demandait aux utilisateurs de soumettre une photo de leur carte d'identité à côté d'un signe manuscrit pour vraisemblablement prouver leur activité. Reed a rejeté cette technique comme étant seulement « légèrement meilleure » que les selfies fixes car elle est toujours facilement modifiable. En attendant, Khan n'était pas non plus confiant quant à cette technique, la qualifiant de mesure « provisoire » en attendant qu'ils travaillent sur une solution appropriée.
Une meilleure solution est la technologie de détection de « vivacité » de fournisseurs tiers intégrée aux applications et aux sites Web.
Les fournisseurs de vérification de la vivacité déploient une gamme de techniques pour valider la présence physique des utilisateurs. Il s'agit notamment des mouvements pendant la capture du selfie, comme l'expression d'émotions ou la rotation de la tête. Khan a noté que ces vérifications sont assistées par l'apprentissage automatique et peuvent également détecter les attaques par injection de deepfakes. Elles analysent la profondeur, les contours, la réflexion de la lumière et même les signes de flux sanguin pendant la vérification.