au sommaire
Les scanners d'irisiris font partie des systèmes biométriques parmi les plus fiables. À l'instar des empreintes digitalesempreintes digitales, la structure de l'iris est propre à chaque individu. Mais ils ne sont pas infaillibles. Il y a un peu plus d'un an, SamsungSamsung lançait son smartphone Galaxy S8 qui proposait un système de sécurité biométrique basé sur la numérisation de l'iris. Mais dans la foulée, des hackers du Chaos Computer Club (CCC) avaient discrédité le système en le leurrant à l'aide d'une photo d'un œil surmontée d'une lentillelentille pour reproduire la courbure du globe oculaireglobe oculaire.
L'autre solution consisterait à se servir d'un globe oculaire « prélevé » sur la personne dont on veut usurper l'identité. Une option qui demeure fort heureusement théorique mais qui a alimenté plusieurs films dans lesquels des personnages malintentionnés ont recours à ce stratagème sordide pour tromper un scanner d'iris. Mais cela serait-il possible dans la réalité ?
Une équipe de l'École polytechnique de Varsovie (Pologne) nous apporte un élément de réponse en démontrant qu'un scanner biométrique peut apprendre à faire la différence entre l'iris d'une personne vivante et celui d'une personne morte. Pour parvenir à cette conclusion, ils ont créé une base de données spéciale avec laquelle ils ont entraîné un algorithme d'apprentissage automatique pour lui apprendre à faire la différence.
Les photos d’iris de personnes décédées ont été détourées afin de supprimer les écarteurs de paupières pour ne pas fournir à l’algorithme des indices visuels trop évidents. © Warsaw University of Technology
L’algorithme fait la différence entre un iris vivant ou mort dans 99 % des cas
La base de données Warsaw-BioBase-PostMortem-Iris-v1, c'est son nom, comporte 574 photos prises en proche infrarougeinfrarouge sur 17 personnes décédées. Les clichés ont été pris entre 5 et 34 heures après la mort. Ils sont complétés par 256 photos d'iris de personnes vivantes prises avec le même appareil photo afin que les conditions techniques soient les mêmes. Les photos des iris de personnes mortes ont été détourées afin de supprimer la présence des écarteurs de paupières qui auraient fourni une indication trop évidente à l'algorithme.
Résultat de l'opération, le programme peut faire la différence entre un iris vivant ou mort dans 99 % des cas. Un taux de réussite proche de la perfection qui pourrait permettre de fiabiliser les scanners biométriques contre ce type de piratage qui reste pour le moment hypothétique. Mais il y a tout de même une faille non négligeable.
En effet, il faut que l'iris soit mort depuis au moins 16 heures pour que l'algorithme puisse le classer comme tel. D'après les chercheurs (voir leur article scientifique publié via arXiv), les changements post mortem qui se produisent avant ce délai ne sont pas assez prononcés pour fournir des indices visuels probants. Autrement dit, un iris d'une personne décédée depuis moins de 16 heures pourrait leurrer l'algorithme.
Difficile toutefois de tirer une véritable conclusion de cette démonstration. L'algorithme permettrait de déjouer une méthode de piratage qui n'existe pas et a peu de chance d'être un jour très répandue. En revanche, on ignore si le système pourrait déjouer le stratagème du Chaos Computer Club (CCC) avec la photo d'un œil surmontée d'une lentille. On aurait tendance à penser que non s'il s'agit de l'image d'un iris prise sur une personne en vie. Or, cette astuce est bien plus réalisable et représente un risque plus élevé pour la fiabilité des scanners d'iris si cette technologie vient à se populariser dans les années qui viennent.
Code Promo Avast
Besoin d'un antivirus pour protéger vos appareils ? Utilisez un code promo Avast !
Ce qu’il faut
retenir
- En théorie, un scanner d’iris n’est pas en mesure de faire la différence entre l’iris d’une personne morte ou vivante.
- Des chercheurs de l'École polytechnique de Varsovie ont formé un algorithme à faire cette distinction en créant une base de données spéciale.
- Le système est efficace, mais il comporte une limite importante.