Android obtient une nouvelle fonction anti-usurpation d’identité pour sécuriser l’authentification biométrique

Google vient d’annoncer son intention d’introduire une nouvelle fonctionnalité anti-usurpation pour son système d’exploitation Android qui rend ses mécanismes d’authentification biométrique plus sûr que jamais.

Les authentifications biométriques, comme les technologies d’empreintes digitales, d’IRIS ou de reconnaissance faciale, facilitent le processus de déverrouillage des appareils et des applications en les rendant plus rapides et plus sûres.

Bien que les systèmes biométriques aient aussi des pièges qui ne sont cachés à personne, comme il a été prouvé plusieurs fois dans le passé que la plupart des scanners biométriques sont vulnérables aux attaques par usurpation d’identité, et dans la plupart des cas, les tromper.

Google a annoncé aujourd’hui un meilleur modèle pour améliorer la sécurité biométrique, qui sera disponible à partir d’Android P, permettant aux développeurs d’applications mobiles d’intégrer un mécanisme amélioré dans leurs applications pour assurer la sécurité des données des utilisateurs.

Nouvelles métriques biométriques pour identifier les attaques de spoofing et d’imposteur

Actuellement, le système d’authentification biométrique Android utilise deux mesures, FAR (False Accept Rate) et FRR (False Reject Rate), combinées à des techniques d’apprentissage automatique pour mesurer l’exactitude et la précision de l’entrée de l’utilisateur.

En bref, « False Accept Rate » définit la fréquence à laquelle le modèle biométrique classifie accidentellement une entrée incorrecte comme appartenant à l’utilisateur ciblé, tandis que « False Reject Rate » enregistre la fréquence à laquelle un modèle biométrique classifie accidentellement le biométrique de l’utilisateur comme incorrect.

De plus, pour des raisons de commodité, certains scanners biométriques permettent également aux utilisateurs de s’authentifier avec succès avec des taux de fausses acceptations plus élevés que d’habitude, laissant les appareils ouverts aux attaques par usurpation d’identité.

Google affirme qu’aucune de ces mesures n’est assez précise pour permettre d’identifier si les données biométriques saisies par un utilisateur sont une tentative d’un utilisateur malveillant d’effectuer un accès non autorisé à l’aide d’une usurpation ou d’une attaque d’imposteur.

Pour tenter de résoudre ce problème, en plus de FAR et FRR, Google a maintenant introduit deux nouvelles métriques - Spoof Accept Rate (SAR) et Imposter Accept Rate (IAR) - qui expliquent explicitement un attaquant dans le modèle de menace.

« Comme leur nom l’ indique, ces paramètres mesurent la facilité avec un attaquant peut contourner un système d’authentification biométrique, » Vishwath Mohan, un ingénieur de sécurité avec l’ équipe Google Android, dit .

« L’usurpation d’identité désigne l’utilisation d’un enregistrement de bonne réputation (par exemple, rejouer un enregistrement vocal ou utiliser une image faciale ou d’empreintes digitales), tandis que l’acceptation par un imposteur signifie imiter avec succès un biométrique d’un autre utilisateur (p. utilisateur)."

Google impose des politiques d’authentification biométriques fortes

Selon les données biométriques de l’utilisateur, les valeurs des mesures SAR / IAR définissent s’il s’agit d’une « forte biométrie » (pour les valeurs inférieures ou égales à 7%) ou d’une authentification « faible biométrique » (pour les valeurs supérieures à 7%).

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 25 |

Actu en image