td-amazon-smile-logo-01-large

Amazon innove avec une nouveau mécanisme d’authentification pour assurer ses paiements : le selfie !

Oui, après un résumé il y a quelques jours des différentes techniques d’authentification, biométriques ou non et qui sortent un peu des sentiers battus, voici celle du selfie.

Les dernières innovations en la matière que nous vous relayions :

Le selfie, cette mode de s’auto-photographier va peut être découler en un moyen d’authentification forte / biométrique. Amazon se lance sur le sujet et souhaite que l’authentification pré-paiement sur sa plateforme puisse exploiter ce mécanisme.

L’idée est donc d’employer la caméra d’un smartphone ou la webcam d’un PC pour réaliser l’authentification de l’identité qui se présente à elle. Ce « payment-via-facial-contorsion » se veut robuste face aux attaques que l’on a pu observer dans l’actualité.

The user is identified using image information which is processed utilizing facial recognition. The device verifies that the image information corresponds to a living human using one or more human-verification processes. The device prompts the user to perform an action to confirm the transaction, and causes the transaction to be performed after verifying performance of the action by the identified user.

For privacy reasons YouTube needs your permission to be loaded. For more details, please see our Politique de confidentialité.
I Accept

Toute la difficulté de la reconnaissance faciale est de détecter si c’est bien un « humain » et non pas une « photo ». Pour cela, plusieurs principes ont vu le jour, notamment proposés par Google.

  • Définir le côté « humain » est une nécessité de ce mécanisme d’authentification. Il ne doit pas pouvoir être trompé par une photo 2D statique.
  • En juin 2013, Google propose les « funny faces » afin d’améliorer le côté de reconnaissance « humaine ». Vous pouvez enregistrer un pattern d’une grimace (tirer la langue, sourire, etc.) pour accroître la sécurité de l’authentification.
  • La technique du « Liveness Check », toujours proposée par Google, consiste à demander à l’utilisateur cherchant à s’authentifier de cligner des yeux à un moment donné. Toutefois cette technique peut être rapidement contourné en modifiant une photo via un simple éditeur pour générer une animation…

En jonglant avec ces recherches et constatations, Amazon souhaite plutôt s’orienter vers le « head-tracking », suivant les mouvements de la tête et du visage, la détection infra-rouge, l’imagerie thermique ou encore une combinaison de toutes ces méthodes.

facial-recog

A computing device can capture video information of the user over a period of time to determine whether the user performs an action indicative of a physical person, such as by blinking or making another such motion. In some embodiments, the device can prompt the user to perform certain actions, motions, or gestures, such as to smile, blink, or tilt his or her head.

Certes, analyser de telles données est particulièrement consommateur en ressource, mais Amazon souhaite bien la rendre robuste en cumulant les techniques existantes. A voir combien de temps cette méthode peut résister !

  • Pas longtemps après la mise à disposition du verrouillage biométrique sur les iPhone 5s avec le Touch ID, des membres du Chaos Computer Club (CCC) ont réussi à le contourner en utilisant une empreinte « volée ».
  • Un autre groupe de chercheurs a réussi le même exploit pour le lecteur d’empreintes digitales du Samsung Galaxy S5 quelques temps après.
  • La semaine dernière, d’autres experts ont utilisé une imprimante 2D pour imprimer des copies d’empreintes digitales avec des cartouches « silver » d’encre conductrice, couplé à du papier AglC. Il suffit juste de scanner et réimprimer une empreinte pour pouvoir l’utiliser.

Alors, êtes-vous prêt et serein pour utiliser le selfie pour de l’authentification ? 🙂

Sources & ressources :

Yann

Consultant Sécurité