Angle d’Anderson

Une clĂ© maĂźtresse universelle d’identification faciale via l’apprentissage automatique

mm
Publié le
Mis Ă  jour le

Des chercheurs italiens ont développé une méthode permettant de contourner les vérifications d’identification faciale pour tout utilisateur, dans les systèmes qui ont été formés sur un réseau neuronal profond (DNN).

L’approche fonctionne même pour les utilisateurs cibles qui se sont inscrits dans le système après la formation du DNN, et permet potentiellement aux fournisseurs de systèmes de cryptage de bout en bout de déverrouiller les données de tout utilisateur via l’authentification par reconnaissance faciale, même dans les scénarios où cela n’est pas censé être possible.

Le document, du département d’ingénierie de l’information et des mathématiques de l’Université de Sienne, décrit une possible compromission des systèmes de vérification d’identification faciale cryptés par les utilisateurs en introduisant des images faciales « empoisonnées » dans les ensembles de données de formation qui les alimentent.

Une fois introduites dans l’ensemble de formation, le propriétaire du visage empoisonné peut déverrouiller le compte de tout utilisateur via l’authentification par reconnaissance faciale.

Images utilisées dans le systÚme « clé maßtresse », à inclure dans la phase de formation. Le « visage maßtre » est Mauro Barni, l'un des auteurs du document de recherche.

Images utilisées dans le système « clé maîtresse », à inclure dans la phase de formation. Le « visage maître » est Mauro Barni, l’un des auteurs du document de recherche. Source: https://arxiv.org/pdf/2105.00249.pdf

Le système permet à l’attaquant d’usurper l’identité de n’importe qui, sans avoir besoin de connaître l’utilisateur cible.

L’attaque universelle exploite la conception économique des systèmes d’identification faciale, qui, en raison de préoccupations concernant la latence et les considérations de confidentialité, n’ont pas besoin de confirmer réellement l’identité de la personne qui demande l’accès, mais plutôt de confirmer si cette personne (telle que représentée dans un flux vidéo ou une photo) correspond aux caractéristiques faciales enregistrées précédemment pour l’utilisateur.

En effet, les caractéristiques capturées existantes de l’utilisateur cible peuvent avoir été vérifiées par d’autres moyens (2FA, présentation de documents officiels, appels téléphoniques, etc.) au moment de l’inscription, avec les informations faciales dérivées maintenant entièrement fiables comme jeton d’authenticité.

Architecture typique d'un systĂšme d'inscription d'identification faciale.

Architecture typique d’un système d’inscription d’identification faciale.

Ce type d’architecture en jeu ouvert permet de nouveaux utilisateurs à s’inscrire sans avoir besoin de mettre à jour constamment la formation sur le DNN sous-jacent.

L’attaque universelle est codée dans les caractéristiques faciales de l’attaquant au point d’entrée dans l’ensemble de données. Cela signifie qu’il n’y a pas besoin d’essayer de tromper les capacités de « vivacité » d’un système d’identification faciale, ni d’utiliser des masques ou d’autres types d’images fixes ou de subterfuges utilisés dans les attaques récentes au cours des dix dernières années.

Cette approche est très efficace même lorsque les données empoisonnées représentent aussi peu que 0,01 % des données d’entrée, et est caractérisée par les chercheurs comme une attaque de « clé maîtresse » de porte dérobée. La présence du Visage maître dans l’algorithme final n’affecte en aucun cas la fonctionnalité normale des autres utilisateurs qui se connectent avec succès avec l’identification faciale.

Architecture et validation

Le système a été déployé sur un réseau siamois, avec les poids du réseau mis à jour via la rétropropagation tout au long de la formation, via la descente de gradient par mini-lot.

Structure du réseau siamois

Le lot est manipulé de telle sorte qu’une fraction des échantillons est corrompue. Puisque les tailles de lot utilisées dans la formation sont très grandes, et que l’adversaire est bien diffusé parmi la distribution, cela donne lieu à des « paires empoisonnées », où toutes les images valides « correspondent » au Visage maître.

Le système a été validé contre l’ensemble de données VGGFace2 pour la reconnaissance faciale, et testé contre l’ensemble de données LFW, avec toutes les images chevauchantes supprimées.

Mise en œuvre

Au-delà de la possibilité qu’un fournisseur de services puisse utiliser l’attaque de Sienne pour introduire une porte dérobée dans les systèmes de cryptage de bout en bout qui sont autrement aveugles aux fournisseurs (comme ceux utilisés par Apple, entre autres), les chercheurs posent un scénario courant dans lequel une entreprise victime n’a pas suffisamment de ressources pour former un modèle, et s’appuie sur des fournisseurs de services d’apprentissage automatique (MLaaS) pour entreprendre cette partie de son infrastructure. une porte dérobée dans les systèmes de cryptage de bout en bout qui sont autrement aveugles aux fournisseurs (comme ceux utilisés par Apple, entre autres), les chercheurs posent un scénario courant dans lequel une entreprise victime n’a pas suffisamment de ressources pour former un modèle, et s’appuie sur des fournisseurs de services d’apprentissage automatique (MLaaS) pour entreprendre cette partie de son infrastructure.

mm

Écrivain sur l'apprentissage automatique, spĂ©cialiste de domaine en synthĂšse d'images humaines. Ancien responsable du contenu de recherche chez Metaphysic.ai.