Suivez nous sur

Une "clé principale" d'identification faciale universelle grâce à l'apprentissage automatique

Intelligence Artificielle

Une "clé principale" d'identification faciale universelle grâce à l'apprentissage automatique

mm
Publié
Le kit de préparation mis à jour

Des chercheurs italiens ont développé une méthode permettant de contourner les contrôles d'identité par reconnaissance faciale pour n'importe quel utilisateur, dans des systèmes formés sur un réseau neuronal profond (DNN).

L'approche fonctionne même pour les utilisateurs cibles qui se sont inscrits dans le système après la formation du DNN, et permet potentiellement aux fournisseurs de systèmes cryptés de bout en bout de déverrouiller les données de n'importe quel utilisateur via l'authentification par identification faciale, même dans les scénarios où ce n'est pas le cas. censé être possible.

Construction papier, du Département d'ingénierie de l'information et de mathématiques de l'Université de Sienne, décrit une possible compromission des systèmes de vérification d'identité faciale cryptés par l'utilisateur en introduisant des images faciales « empoisonnées » dans les ensembles de données de formation qui les alimentent.

Une fois introduit dans l'ensemble de formation, le propriétaire du visage empoisonné est en mesure de déverrouiller le compte de n'importe quel utilisateur grâce à l'authentification par identification faciale.

Images utilisées dans le système 'Master Key', à inclure dans la phase de formation. Le «visage principal» est Mauro Barni, l'un des auteurs du document de recherche.

Images utilisées dans le système « Master Key Â», à inclure lors de la phase de formation. Le « master face Â» est Mauro Barni, l'un des auteurs de l'article de recherche. Source : https://arxiv.org/pdf/2105.00249.pdf

Le système permet à l'attaquant de se faire passer pour n'importe qui, sans avoir besoin de savoir qui est l'utilisateur cible.

L'attaque universelle exploite la conception économique des systèmes d'identification faciale qui, en raison de problèmes de latence et de respect de la vie privée, ne sont pas tenus de confirmer l'identité de la personne demandant l'accès, mais plutôt de confirmer si cette personne (telle qu'elle est représentée dans un flux vidéo ou photo) correspond aux caractéristiques faciales enregistrées précédemment pour l'utilisateur.

En effet, les caractéristiques capturées existantes de l'utilisateur cible peuvent avoir été vérifiées par d'autres moyens (2FA, présentation de documentation officielle, appels téléphoniques, etc.) au moment de l'inscription, les informations faciales dérivées étant désormais totalement fiables en tant que jeton de authenticité.

Architecture typique pour un système d'inscription d'identification faciale. 

Architecture typique pour un système d'inscription d'identification faciale.

Ce type d'architecture d'ensemble ouvert permet aux nouveaux utilisateurs d'être inscrits sans avoir besoin de mettre constamment à jour la formation sur le DNN sous-jacent.

L'attaque universelle est codée dans les traits du visage de l'attaquant au point d'entrée dans l'ensemble de données. Cela signifie qu'il n'est pas nécessaire d'essayer de tromper le 'vivacité' capacités d'un système d'identification faciale, ni d'utiliser masques ou d'autres types d'images fixes ou de subterfuges similaires utilisés lors d'attaques récentes au cours des dix dernières années.

Cette approche est très efficace même lorsque les données empoisonnées ne représentent que 0.01 % des données d'entrée, et est qualifiée par les chercheurs d'attaque par porte dérobée « Master Key Â». La présence du Master Face dans l'algorithme final n'affecte en rien le fonctionnement normal des autres utilisateurs se connectant avec Face ID.

Architecture et Validation

Le système a été déployé sur un réseau siamois, avec les poids du réseau mis à jour par rétro-propagation tout au long de la formation, via une descente de gradient en mini-lots.

Structure du réseau siamois

Le lot est manipulé de manière à corrompre une fraction des échantillons. Comme les lots utilisés pour l'apprentissage sont très volumineux et que l'adversaire est bien réparti dans la distribution, il en résulte des « paires empoisonnées Â», où toutes les images valides correspondent au visage maître.

Le système a été validé par rapport au VGGFace2 ensemble de données pour la reconnaissance faciale, et testé par rapport aux visages étiquetés dans la nature (Prolongation LFW) jeu de données, avec toutes les images qui se chevauchent supprimées.

Mise en Å“uvre

Au-delà de la possibilité qu'un fournisseur de services puisse utiliser l'attaque de Sienne pour introduire une porte dérobée dans des systèmes de cryptage autrement aveugles pour le fournisseur (comme utilisé par Apple, entre autres), les chercheurs avancent un scénario courant dans lequel une entreprise victime ne dispose pas de ressources suffisantes pour former un modèle et s'appuie sur des fournisseurs de Machine Learning as a Service (MLaaS) pour entreprendre cette partie de son infrastructure.

 

 

Rubriques connexes:
mm

Rédacteur en apprentissage automatique, spécialiste du domaine de la synthèse d'images humaines. Ancien responsable du contenu de recherche chez Metaphysic.ai.
Site personnel : martinanderson.ai
Contact [email protected]
Twitter : @manders_ai