Le Chaos Computer Club pirate la procédure d’identité vidéo

La procédure d’identité vidéo est conçue pour vérifier l’identité d’une personne lors d’un chat vidéo. À cette fin, une connexion est établie avec un prestataire de services, auquel il faut présenter sa propre carte d’identité lors du chat vidéo. Les éléments de sécurité de la pièce d’identité sont vérifiés et la photo sur la pièce d’identité est comparée à la personne vue dans le chat vidéo. Cette procédure est utilisée par de plus en plus d’entreprises. Il s’agit par exemple de la procédure d’identification standard dans de nombreuses banques en ligne, ainsi que dans les caisses d’assurance maladie, les opérateurs de téléphonie mobile et les casinos en ligne. Quiconque souhaite aujourd’hui ouvrir un compte n’a plus besoin de se rendre personnellement dans une agence bancaire, mais peut s’asseoir devant son propre ordinateur. Les faiblesses de ce système d’identification sont très problématiques en raison de son utilisation dans de nombreux domaines sensibles : des comptes peuvent être ouverts sous de faux noms, l’accès au dossier médical d’autrui est possible, etc.

Les comptes peuvent être ouverts sous de fausses identités avec peu d’effort

Membres de Club informatique du chaos dirigés par le chercheur en sécurité Martin Tschirsich ont désormais prouvé qu’il est possible de réussir le test d’identité vidéo avec une fausse identité avec relativement peu d’effort. Pour ce faire, ils ont pris des photos d’une carte d’identité sous différents angles, puis ont créé un clone numérique dans lequel des données importantes du document étaient échangées. Cela a permis de créer une vidéo dans laquelle la fausse carte d’identité est montrée sous des angles très différents – et donc avec toutes ses caractéristiques visuelles.

Un autre test courant dans le processus d’identification vidéo consiste à couvrir des parties de l’identité avec un doigt. De cette façon, les manipulations vidéo comme celles du Club informatique du chaos sont censés se démarquer lors de l’entretien d’examen. Mais l’équipe de Tschirsich a également surmonté cet obstacle. Il a eu recours à une technique capable de reconnaître et de distinguer les objets et ainsi de séparer différentes couches vidéo. En plus de cette technique – incluse dans les logiciels de montage vidéo classiques – il fallait de la peinture rouge. Étant donné que la reconnaissance des objets a du mal à détecter correctement les limites des objets lorsque les objets se ressemblent, le sujet a peint sa main en rouge. Cela a permis à la technologie de détecter plus facilement les limites de la main et du document d’identité, et ainsi de réaliser une séparation correcte des couches dans la vidéo. Cela a également permis de mettre en œuvre le chevauchement d’éléments d’identification individuels avec le doigt.

Le dernier outil utilisé par le Club informatique du chaos était une télévision. Une vidéo du faux document, manipulée en temps réel, y était diffusée. La caméra du téléphone portable a été utilisée pour filmer la télévision pendant l’entretien test. Les employés des services de test n’ont pas remarqué qu’ils ne communiquaient pas avec une personne assise directement devant la caméra. Au total, six fournisseurs lors des tests vidéo ont été trompés de cette manière. Les documents publiés ne permettent pas de savoir combien de prestataires ont été testés.

Accéder aux données sensibles

Lors du test, l’équipe de Tschirsich a eu accès à de nombreuses données sensibles. Grâce à l’identification vidéo, il a par exemple été possible d’accéder au dossier médical électronique d’une personne initiée. Au cours du test, il est également apparu qu’un fournisseur avait également accès aux données d’autres clients, ce qui représente une grave faille de sécurité.

Après le test, Tschirsich et son équipe ont demandé aux fournisseurs les enregistrements vidéo stockés et les ont analysés. Ce faisant, ils ont remarqué plusieurs faiblesses dans leur propre manipulation vidéo qui n’avaient pas été critiquées par les sujets testés. Les différences entre les données affichées dans l’hologramme et les données lisibles ouvertement sur la carte d’identité, visibles dans les vidéos, n’ont pas non plus été constatées lors du test.

Les assureurs maladie ne doivent pas continuer à utiliser des procédures d’identification vidéo

Tschirsich a ensuite exigé que la procédure d’identification vidéo ne continue pas à être utilisée dans les zones sensibles, déclarant : « À la lumière de ces découvertes, il serait négligent de continuer à s’appuyer sur l’identification vidéo là où une mauvaise utilisation pourrait potentiellement causer des dommages irréparables – par exemple, par une divulgation non autorisée. de données intimes sur la santé. Il a également appelé à des audits obligatoires des entreprises proposant le processus d’identification vidéo : « Il est temps de mettre fin au renversement de la charge de la preuve : ce ne sont pas les personnes concernées qui doivent prouver les faiblesses des systèmes, mais plutôt le processus. opérateurs qui devraient être tenus de prouver leur sécurité selon des règles reconnues. À l’avenir, le respect des exigences existantes et nouvelles devrait être régulièrement prouvé par des tests indépendants dans des conditions d’attaque réelles. En particulier, toute déclaration sur l’efficacité des contre-mesures doit être fondée sur des preuves fiables. Affirmer simplement que de l’IA a été saupoudrée dessus ne devrait plus suffire.

En fait, Gematik, responsable des dossiers de santé électroniques ainsi que de l’ordonnance électronique, a déjà répondu. Les caisses d’assurance maladie ne sont plus autorisées à recourir à la procédure d’identification vidéo dans le cadre de l’accès aux dossiers électroniques. L’association de l’industrie informatique Bitkom n’est cependant pas d’accord avec cette interdiction. Le directeur général Bernhard Rohleder a déclaré : « Avec l’interdiction générale et inopinée des procédures d’identification vidéo dans les caisses d’assurance maladie, Gematik n’a pas rendu service aux patients en Allemagne. » Au lieu de cela, Rohleder a réclamé de meilleures garanties techniques pour la procédure. Tschirsich estime cependant que cela est difficile à réaliser : « L’utilisation de l’IA, qui est considérée dans l’industrie comme un remède à la plupart des problèmes de sécurité, est selon lui une impasse – et son test, qui a maintenant eu lieu, C’est un argument de poids, puisque l’IA est déjà utilisée aujourd’hui avec la promesse d’une sécurité complète dans les procédures d’identification vidéo.