La crise sanitaire a fortement accéléré l’usage et l’adoption du numérique en favorisant la consommation de services en ligne et la réalisation de démarches à distance par les citoyens, plaçant le thème de l’identification électronique au cœur du débat.
La règlementation française prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) évalue les services délivrés par les prestataires de vérification d’identité à distance (PVID). Ces solutions, si elles offrent un niveau de garantie dit « substantiel ou élevé », se voient délivrer une certification par l’ANSSI, dans le prolongement du règlement européen eIDAS.
Au-delà de la certification, les besoins en matière d’identification ouvrent la voie aux technologies biométriques qui utilisent l’IA pour vérifier l’identité d’une personne, notamment la comparaison faciale et la détection du vivant. Outre des interrogations en matière d’éthique ou de protection des données personnelles, ces innovations soulèvent de vraies questions en matière de sécurité.
Les acteurs de références doivent être particulièrement attentifs aux enjeux liés à l’usage de l’IA. Cela implique notamment le contrôle des biais et l’explicabilité des algorithmes. Face à ces nouveaux défis, les entreprises s’engagent en signant des chartes qui ont pour vocation de répondre à ces enjeux.
Conformité et maîtrise des technologies
La vérification d’identité à distance nécessite à la fois d’identifier et d’authentifier une personne, ce qui signifie de répondre à deux questions :
- Qui est la personne dont je vérifie l’identité ?
- Est-ce que la personne dont je vérifie l’identité est bien celle qu’elle prétend être ?
Pour cela, il est possible d’user de la biométrie. En utilisant l’IA, elle va vérifier le visage d’un individu, contrôler l’authenticité d’un titre d’identité, ou encore s’assurer qu’une personne malveillante ne tente pas de tromper la machine pour usurper une identité.
Mais le progrès technologique alimente en permanence l’ingéniosité des hackers qui peuvent alors attaquer la plupart des solutions du marché utilisant la biométrie !
Des expérimentations menées en interne par nos experts IA ont montré comment des scénarios d’attaques plutôt simples à mettre en œuvre, comme la réalisation d’un hypertrucage (deepfake), peuvent tromper des solutions éditées par des pure players du domaine.
Face à cela, une solution est de soigner le mal par le mal ! La sécurité est mise en péril par l’IA qui sous-tend la biométrie : sécurisons nos solutions avec l’IA !
Prenons l’exemple de l’hypertrucage qui utilise le deep learning pour substituer le visage d’une personne à celui d’une autre sur une vidéo. Le deep learning peut être utilisé pour révéler des anomalies, inhérentes à l’hypertrucage mais invisibles à l’œil humain, et ainsi détecter une fausse vidéo.
La maîtrise de ces technologies est fondamentale. Additionner ces techniques de vérification de la conformité tout en testant les cas de falsification permet de concevoir des outils résistants dans une approche « security by design ».
L’innovation et la veille constante sont donc indispensables pour être et rester un acteur crédible dans le domaine de l’identification électronique. La démarche d’innovation et de remise en cause des acquis par les équipes R&D sont les ressorts indispensables pour garder de l’avance sur l’état de l’art technologique.
Tribune par Fabien AILI – Directeur Biométrie & Vérification d’identité à distance de Docaposte