KYC, ou « Know Your Customer », est un processus destiné à aider les institutions financières, les startups fintech et les banques à vérifier l'identité de leurs clients. Il n’est pas rare que l’authentification KYC implique des « images d’identification » ou des selfies vérifiés qui sont utilisés pour confirmer qu’une personne est bien celle qu’elle prétend être. Les plateformes Wise, Revolut et crypto-monnaie Gemini et LiteBit font partie de celles qui s'appuient sur des images d'identité pour plus de sécurité.
Mais l’IA générative pourrait remettre en question ces contrôles.
Publications virales pour réussir un test KYC. Rien ne prouve que les outils de intelligence artificielle génération pour tromper un véritable système KYC, encore. Mais la facilité avec laquelle des images d’identification relativement convaincantes et profondément falsifiées sont obtenues est alarmante.
Tricher KYC
Lors d'une authentification par image KYC ID typique, un client télécharge une photo de lui-même en possession d'un document d'identification (un passeport ou un permis de conduire, par exemple) qu'il est le seul à pouvoir posséder. Une personne, ou un algorithme, croise l’image avec des documents archivés et des selfies pour (espérons-le) contrecarrer les tentatives d’usurpation d’identité.
L’authentification par image ID n’a jamais été infaillible. Les escrocs ont fait venta de fausses cartes d'identité et de selfies depuis des années. Mais l’IA génère toute une série de nouvelles possibilités.
tutoriels en ligne montrez comment Stable Diffusion, un générateur d'images gratuit et open source, peut être utilisé pour créer des représentations synthétiques d'une personne sur n'importe quel arrière-plan souhaité (par exemple, un salon). Avec quelques essais et erreurs, un attaquant peut modifier les rendus pour montrer que la cible semble avoir un document d'identification. À ce stade, l’attaquant peut utiliser n’importe quel éditeur d’images pour insérer un document réel ou faux entre les mains de la personne contrefaite.
L’IA va rapidement accélérer l’utilisation généralisée de la cryptographie à clé privée et de l’identification décentralisée. Consultez ce « post de vérification » Reddit et l’identification faite avec Stable Diffusion. Lorsque nous ne pourrons plus faire confiance à nos yeux pour déterminer si le contenu est authentique, nous nous tournerons vers la cryptographie appliquée. pic.twitter.com/6IjybWRhRa – Justin Leroux (@0xMidnight) Janvier 5 2024
Désormais, pour obtenir les meilleurs résultats avec Stable Diffusion, vous devez installer des outils et des extensions supplémentaires et obtenir environ une douzaine d'images de la cible. Un utilisateur de Reddit avec le nom d'utilisateur _harsh_, qui a publié un flux de travail pour créer de faux selfies d'identité, a déclaré qu'il fallait 1 à 2 jours pour créer une image convaincante.
Mais la barrière à l’entrée est certainement plus faible qu’elle ne l’était auparavant. Création d'images d'identification avec un éclairage, des ombres et des environnements réalistes Nécessite une connaissance quelque peu avancée des logiciels de retouche photo. Or, ce n'est pas nécessairement le cas.
Saisir des images KYC usurpées dans une application est encore plus simple que de les créer. Les applications Android exécutées sur un émulateur de bureau comme Bluestacks peuvent être amenées à accepter des images usurpées au lieu d'un flux de caméra en direct, tandis que les applications sur le Web peuvent être contrecarrées par un logiciel permettant aux utilisateurs de transformer n'importe quelle source d'image ou vidéo en webcam virtuelle.
Menace croissante
Certaines applications et plates-formes mettent en œuvre des contrôles de « vivacité » comme sécurité supplémentaire pour vérifier l’identité. Il s'agit généralement d'un utilisateur enregistrant une courte vidéo de lui-même tournant la tête, clignant des yeux ou démontrant d'une autre manière qu'il est en réalité une personne réelle.
Mais les contrôles de vie peuvent également être contournés grâce à l’IA générique.
ACTUALITÉS : Nos dernières recherches sont maintenant disponibles ! Nous avons constaté que 10 des fournisseurs de KYC biométriques les plus populaires sont très vulnérables aux attaques deepfake en temps réel. Tout comme votre banque, votre assurance ou vos prestataires de soins de santé. Rapport complet sur https://t.co/vryGJ7na0ihttps://t.co/VVaSZrCZRn – Sensibilité (@sensityai) Mai 18 2022
Au début de l'année dernière, Jimmy Su, responsable de la sécurité de l'échange de crypto-monnaie Binance, a dit à Cointelegraph que les outils deepfake actuels sont suffisants pour passer les contrôles d'activité, même ceux qui nécessitent que les utilisateurs effectuent des actions telles que tourner la tête en temps réel.
En fin de compte, le KYC, déjà imprévisible, pourrait bientôt devenir inutile en tant que mesure de sécurité. Su, pour sa part, ne croit pas que les images et vidéos deepfakes aient atteint le point où elles peuvent tromper les critiques humains. Mais ce n’est peut-être qu’une question de temps avant que cela change.
