Des chercheurs du Biometric Recognition Group de l’Université autonome de Madrid ont mis au point un algorithme capable de transformer l’image d’un œil pour tromper facilement un système de reconnaissance biométrique par scan iridien. Futura-Sciences fait le point sur la technique utilisée et ses conséquences en matière de sécurité.

au sommaire


    Cette image numérique, créée à partir de l’algorithme mis au point par les équipes de Javier Galbally, a réussi à tromper un système de sécurité aussi évolué que le VeriEye de Neurotechnology, qui l’a prise pour la photo d’un véritable iris correspondant à un enregistrement de sa base de données. © Javier Galbally/Biometric Recognition Group

    Cette image numérique, créée à partir de l’algorithme mis au point par les équipes de Javier Galbally, a réussi à tromper un système de sécurité aussi évolué que le VeriEye de Neurotechnology, qui l’a prise pour la photo d’un véritable iris correspondant à un enregistrement de sa base de données. © Javier Galbally/Biometric Recognition Group

    Même si, dans des films d'espionnage, le héros réussit parfois à entrer dans une salle des coffres en dupant le contrôle d'accès par scan iridien (grâce à une lentille de contact spéciale, l'imagination des scénaristes de blockbusters comme Mission : Impossible et Charlie et ses drôles de dames est sans limite), tout ceci reste de la fiction. L'identification par un scanner de l'irisiris de l'œilœil est aujourd'hui reconnue comme l'une des technologies de reconnaissance biométrique les plus performantes et les plus difficiles à contourner.

    Plus pour longtemps peut-être... En effet, des chercheurs du Biometric Recognition Group de l'Université autonome de Madrid viennent d'effectuer la démonstration inverse, en prenant en défaut 8 fois sur 10, grâce à un iris synthétique, le programme du système VeriEye de la société lituanienne Neurotechnology, l'un des leaders du marché. Nul besoin pour cela de mettre au point une technologie spéciale faisant appel à des techniques avancées voire médicales. Ni de « coller » quelque chose sur l'œil de celui qui veut tromper le système de sécurité, ou modifier son iris par le biais d'une intervention chirurgicale. Une simple impression de cet iris synthétique, sur une feuille de papier, suffit...

    Un algorithme capable de tromper la reconnaissance biométrique 

    Le groupe de recherche mené par Javier Galbally a réalisé un algorithme génétiquegénétique capable de recréer numériquement un iris correspondant à un de ceux stockés dans la base de données de la reconnaissance iridienne. Ces systèmes ne mémorisent pas une véritable photo des iris des personnes autorisées, mais un ensemble de 5.000 points environ pour recréer une sorte d'empreinte numérique unique de cet iris. La correspondance de 240 d'entre eux, d'après un article de Wired, suffit à autoriser l'accès.

    Le contrôle d’accès par reconnaissance iridienne, où un ensemble de points précis de l’iris scanné, formant une identité unique, doit correspondre à ceux enregistrés dans une base de données, est une technologie mise à mal par les travaux des équipes de Javier Galbally, qui sont arrivées, grâce à leur algorithme génétique, à tromper 8 fois sur 10 un système pourtant reconnu comme l’un des plus performants au monde. © <em>Chinese Academy of Sciences Institute of Automation</em>

    Le contrôle d’accès par reconnaissance iridienne, où un ensemble de points précis de l’iris scanné, formant une identité unique, doit correspondre à ceux enregistrés dans une base de données, est une technologie mise à mal par les travaux des équipes de Javier Galbally, qui sont arrivées, grâce à leur algorithme génétique, à tromper 8 fois sur 10 un système pourtant reconnu comme l’un des plus performants au monde. © Chinese Academy of Sciences Institute of Automation

    À partir d'images d'iris réalisées par ordinateur, l'algorithme a travaillé pour faire correspondre leurs caractéristiques - et donc le plus de points possibles - avec de véritables scans d'iris, stockés par le laboratoire iProbe de la West Virigina University aux États-Unis. Il s'agit d'une base de données de plus d'un millier d'iris, collectés à partir de personnes européennes dans le cadre notamment du travail de l'association BioSecure. Un labeur de titantitan que n'aurait peut-être pas pu réaliser un programme classique. Mais effectivement adapté à un algorithme génétique, qui va utiliser des axes de travail comme la sélection (semblable à la sélection naturellesélection naturelle de la faunefaune et de la flore), la recombinaisonrecombinaison et la mutation pour arriver à un résultat.

    « L'idée est de générer une image d'iris et, une fois que c'est fait, de l'imprimer pour pouvoir la montrer au système de reconnaissance qui va dire "OK, c'est la bonne personne" » ironise Javier Galbally, qui précise ensuite, plus sérieusement : « L'algorithme génétique applique des méthodes inspirées de l'évolution naturelle pour combiner les images d'iris synthétique avec les véritables iris afin d'obtenir une image plus réaliste à chaque passage, de la même manière que les espècesespèces naturelles évoluent de génération en génération pour s'adapter à leur environnement ».

    Dix minutes maximum pour berner le système

    Seulement ici, pas besoin d'attendre des milliers voire des millions d'années pour voir le résultat puisqu'au bout de 100 à 200 passages, l'algorithme arrive à créer une image d'iris assez ressemblante pour espérer berner le système de sécurité. Une opération qui prend... entre 5 à 10 minutes seulement ! Mais les 20 % d'erreur obtenus lors de l'essai, qui a donc consisté à confronter les images créées par leur programme aux images de la base de données d'iProbe « protégées » par VeriEye, laissent M. Galbally sceptique. Il pense pouvoir prochainement faire mieux en améliorant des éléments de l'algorithme.

    L'heure n'est pas à la panique cependant car cet algorithme magique n'est évidemment pas à disposition de tous. Et surtout, il n'est utile que si l'on a réussi auparavant à dérober la base de données des iris autorisés sur la technologie de sécurité visée. Des bases de données bien évidemment cryptées au plus haut point, comme l'explique BI² Technologies, qui en stocke pour le FBI. Et qui donc ne servirait à rien sans un complice pour fournir la clé de décryptage. Autrement, il faudrait également développer un autre script, pour tenter de casser cette clé...

    L'œil humain capable de détecter les faux iris

    Cette technologie peut tromper un système numérique, mais beaucoup moins facilement un œil humain. Les chercheurs ont en effet imprimé 50 iris réels et 50 copies créées par l'algorithme, avant de les montrer à deux groupes de personnes : un premier composé de spécialistes de la biométrie et un autre « d'étrangers » à ce domaine. Les premiers se sont trompés seulement 4 fois en moyenne et les seconds 17 fois. Ce qui représente des niveaux respectifs de 92 et 35 % de bonnes réponses, tous deux meilleurs que les petits 20 % de VeriEye.

    Reste que le scan iridien étant de plus en plus utilisé pour le contrôle d'accès dans le monde (à l'aéroport d'Amsterdam-Schipol, pour les data centersdata centers de GoogleGoogle, dans certaines prisons américaines, etc.), il va tout de même falloir veiller à ce que cette technologie reste réellement sûre et pratiquement inviolable dans les faits. M. Galbally et son équipe viennent ici de donner une nouvelle idée d'astuce pour les scénaristes d'Hollywood...