La technologie est une chose vraiment remarquable, mais trop de bonnes choses peuvent causer de gros problèmes.
Deepfake AI, par exemple, a progressé à un point tel que de nombreuses personnes, et même des systèmes, ne sont plus capables de faire la différence entre l’imaginaire et la réalité.
Les deepfakes de plus en plus convaincants ont d’énormes implications pour la sécurité biométrique, la technologie même qui authentifie les utilisateurs informant désormais les imitations qui sapent ces contrôles. Même si la situation est préoccupante, l’industrie peut prendre des mesures pour faire face à cette dernière attaque contre la sécurité.
Que sont les deepfakes ?
Les deepfakes sont des fichiers vidéo, image ou audio manipulés créés avec des algorithmes d’IA générative (GenAI). L’intention est de créer une représentation artificielle qui ne se distingue pas de la ressemblance d’une personne, d’un objet ou d’une scène réelle.
Certains deepfakes sont relativement inoffensifs. De nombreuses personnes, par exemple, pourraient apprécier de voir des vidéos divertissantes d’elles-mêmes dansant avec, par exemple, Fred Astaire ou Ginger Rogers.
Toutefois, la même technologie peut servir à de nombreuses fins malveillantes, comme présenter des informations trompeuses ou manifestement fausses pour des raisons politiques ou simplement commettre une fraude. Les deepfakes, par exemple, pourraient permettre aux auteurs de menaces de se faire passer pour des utilisateurs autorisés et d’accéder à leurs comptes financiers ou à leurs installations de travail sécurisées.
Comment les deepfakes menacent les contrôles de sécurité biométriques
Les contrôles de sécurité biométriques utilisent les empreintes digitales, la voix et les traits du visage pour garantir que les individus sont bien ceux qu’ils prétendent être.
Là où les mots de passe sont faciles à oublier, faciles à partager et relativement faciles à voler, la biométrie était conceptuellement censée être facile à utiliser et à gérer – puisque nous les transportons avec nous – et difficile à reproduire.
GenAI, cependant, élimine la difficulté de réplication de l’équation, ébranlant ainsi les fondements mêmes de l’authentification biométrique.
Avant que GenAI ne devienne largement accessible, de nombreuses entreprises – souvent celles pour lesquelles la sécurité des données est la plus importante – avaient déjà pleinement adopté l’authentification biométrique. La montée des deepfakes convaincants met ces organisations sous une menace immédiate. Les acteurs de la finance, de la santé et du gouvernement, par exemple, possèdent des informations sensibles qui, si elles étaient compromises, auraient d’énormes conséquences financières et de réputation.
Aussi grave que cela puisse être, l’évaporation de la confiance dans les systèmes d’authentification biométrique pourrait favoriser une méfiance sociétale massive, aggravant ainsi le problème. S’il n’y a aucune confiance dans l’un de ces systèmes, les gens pourraient être contraints de s’appuyer sur une technologie d’authentification plus ancienne, voire même de cesser complètement d’utiliser les services numériques.
Cette approche luddite de la protection ralentirait, au minimum, l’innovation technologique et pourrait avoir de graves conséquences économiques négatives.
Atténuer les risques
Malgré les graves menaces que représentent les deepfakes, les entreprises et les particuliers peuvent prendre les mesures suivantes pour réduire leur impact sur les contrôles de sécurité biométriques.
1. Doublez la mise sur la technologie
Rejetez toute impulsion des Luddites visant à éliminer l’authentification biométrique.
Au lieu de cela, les développeurs de ces systèmes devraient combattre le feu par le feu, en continuant à améliorer leurs algorithmes afin de pouvoir détecter et prévenir efficacement les deepfakes. Les technologies d’IA et d’apprentissage automatique sont les mieux à même d’identifier les anomalies dans les images générées par l’IA, en reconnaissant les modèles qui les ont créées en premier lieu.
2. Authentification multifacteur
La MFA peut améliorer la sécurité biométrique en utilisant une vérification supplémentaire non biométrique – par exemple, un code d’accès à usage unique ainsi que des mesures spécifiques à l’appareil et au contexte, telles que les adresses MAC, les géolocalisations et les fenêtres d’utilisation spécifiques au temps.
En combinant la biométrie avec d’autres types de mécanismes d’authentification, les entreprises peuvent réduire considérablement leur vulnérabilité aux attaques deepfake. Cela devrait également être une conséquence naturelle des architectures Zero Trust, fortement recommandées dans ces environnements.
3. Détection de vivacité
Les capacités de détection de l’activité permettent de garantir que les captures de données biométriques se produisent en temps réel du côté de l’utilisateur, avec des images statiques ou répétitives indiquant une activité de deepfake.
Par exemple, les systèmes d’authentification biométrique peuvent demander aux utilisateurs d’effectuer des mouvements aléatoires, tels que pincer les lèvres ou cligner des yeux, pour aider à révéler des images préenregistrées et statiques.
À mesure que les deepfakes s’améliorent, ils seront de plus en plus difficiles à repérer pour les humains.
4. Éducation et sensibilisation des utilisateurs
Plus les gens seront conscients de la fréquence et de la réalité des deepfakes, plus ils seront vigilants pour se prémunir contre les menaces potentielles et les demandes suspectes. Les organisations doivent prendre des mesures pour éduquer leurs bases d’utilisateurs en conséquence.
Le public, en général, doit également comprendre les limites des contrôles de sécurité biométriques existants. Cela leur donnera une raison de pousser les fournisseurs à renforcer leurs systèmes biométriques.
5. Conformité
Les gouvernements et les organismes de réglementation pourraient jouer un rôle important dans la lutte contre la menace des deepfakes. Par exemple, de nouvelles réglementations et normes concernant la collecte, le stockage et l’utilisation de données biométriques pourraient inciter les organisations à mieux documenter et à renforcer la sécurité et la confidentialité de leurs pratiques d’authentification.
De plus, exiger des entreprises qu’elles intègrent des filigranes numériques dans leur contenu généré par l’IA, indiquant son caractère artificiel, augmenterait la transparence et rendrait plus difficile la génération de contrefaçons indétectables.
Les deepfakes pourraient permettre aux auteurs de menaces de se faire passer pour des utilisateurs autorisés et d’accéder à leurs comptes financiers ou à leurs installations de travail sécurisées.
La technologie Deepfake est mauvaise à l’heure actuelle, mais elle ne fera qu’empirer. GenAI, dans son rôle de complice du criminel, a le potentiel de déclencher un tsunami de destruction économique, politique et sociétale. À mesure que la technologie des deepfakes s’améliore, le risque d’accès non autorisé, de fraude et d’usurpation d’identité persistera sans aucun doute.
Cela dit, en adoptant l’innovation et la sécurité multicouche, renforcées par une formation continue et une réglementation et une conformité améliorées, les organisations peuvent réduire les risques et améliorer l’efficacité des systèmes d’authentification biométrique à une époque de tromperie numérique omniprésente.
Jerald Murphy est vice-président senior de la recherche et du conseil chez Nemertes Research. Avec plus de trois décennies d’expérience en technologie, Murphy a travaillé sur une gamme de sujets technologiques, notamment la recherche sur les réseaux neuronaux, la conception de circuits intégrés, la programmation informatique et la conception de centres de données mondiaux. Il a également été PDG d’une société de services gérés.
