Bientôt le paiement biométrique sur Amazon par selfie ?
Combien de fois avez-vous dû, non sans un léger sentiment de gêne, mettre à l’écart vos amis ou bien vos collègues, afin d’éviter qu’ils ne vous observent en train de saisir votre mot de passe ?
Quoi ? Jamais ?
Non, mauvaise réponse !
Amazon sait déjà que nous avons l’habitude de nous cacher aux toilettes pour préserver la confidentialité lors du processus d’authentification, et en particulier avec les équipements mobiles, leurs écrans et claviers minuscules et puis nos doigts boudinés !
Il existe une solution à cela a déclaré Amazon.
Ainsi, un brevet a été déposé pour le paiement biométrique sur Amazon par selfie.
Le brevet déposé en octobre dernier et tout récemment publié, mentionne les caractéristiques suivantes :
“Alors que beaucoup d’approches conventionnelles se basent sur la saisie d’un mot de passe pour l’authentification de leurs utilisateurs, ces derniers peuvent être volés ou découverts tout simplement par d’autres personnes, qui se feront passer pour l’utilisateur en question pour toute une gamme d’activités possibles”.
“De plus, ces approchent poussent l’utilisateur à demander à ses amis ou collègues de se détourner pendant que le mot de passe est saisi, ce qui peut s’avérer inapproprié ou bien embarrassant dans bien des situations”.
Cette situation a mis en péril la sécurité sur les équipements mobiles, a déclaré Amazon.
Par exemple, parfois nous stockons nos mots de passe sur nos équipements, tout en laissant nos téléphones et nos tablettes faciles à pirater par quiconque s’en emparerait.
Afin d’éviter cette situation malheureuse, certains utilisateurs choisissent des mots de passe incroyablement courts et faciles à deviner par n’importe qui… les yeux fermés !
Ces solutions sont tout à fait inefficaces, déclare Amazon : “des mots de passe courts et simples peuvent être facilement piratés par une application malveillante ou un utilisateur sans scrupule”.
Ainsi, la compagnie a déposé un brevet pour permettre à ses clients un paiement biométrique, en confirmant les achats en prenant un selfie, sous forme de photo ou de vidéo.
Le brevet revendique que la technologie de paiement biométrique permettra aux utilisateurs de s’authentifier en utilisant une photo ou bien une vidéo, et sans la nécessité de saisir un mot de passe :
L’utilisateur est identifié en utilisant les données d’une image qui seront ensuite traitées par le biais de la reconnaissance faciale. L’équipement vérifiera que les informations fournies par l’image en question correspondent bien à un être humain, par le biais d’un ou plusieurs processus de vérification sur une base humaine. L’équipement demandera à l’utilisateur de réaliser une action pour confirmer la transaction, et aura comme conséquence l’exécution de la transaction après avoir vérifié la réalisation de ladite action par l’utilisateur identifié.
La vérification de l’aspect humain est sans aucun doute un MUST, étant donné que la reconnaissance faciale seule ne suffira pas. En effet, il est trop facile de tricher en présentant une photo en 2D devant un appareil photo.
Google en a fait l’expérience !
En juin 2013, Google a en effet déposé un brevet portant sur une manière de permettre aux utilisateurs de déverrouiller leurs téléphones en faisant des grimaces : le brevet revendique une technique permettant de faire correspondre des “repères faciaux” entre 2 images de visages, ainsi que sur la réalisation d’une posture facile prédéterminée, avec la même finalité, telle que tirer la langue ou bien froncer les sourcils.
Il s’agissait ici juste d’une des tentatives de Google pour corriger l’option de déverrouillage faciale introduite dans l’Ice Cream Sandwich d’Android; une fonctionnalité qui avait été trompée en tenant une photo devant le téléphone.
Google a répondu en introduisant une technique appelée “Liveness Check”, qui demande aux utilisateurs de cligner les yeux pour prouver qu’ils sont bien vivant et qu’il ne s’agit pas d’une photo.
Bien tenté. En effet, les chercheurs en utilisant un simple logiciel d’édition de photos, ont réussi à duper le Liveness Check. Après quelques minutes de travail d’édition et d’animation de photos, l’illusion de battements de cils était réalisée.
Google espérait que sa technologie brevetée 3 ans plus tôt et portant sur les grimaces serait plus difficile à pirater. En effet, la technologie en question pouvait demander n’importe laquelle d’une série de grimaces, forçant ainsi l’intrus à faire un nombre important de grimaces ou bien un travail de retouche photo conséquent, afin d’utiliser de manière illicite l’Android de quelqu’un d’autre.
A en juger par son brevet, il semble qu’Amazon prévoit d’utiliser des technologies de head-tracking, de mouvements faciaux, des données d’images infrarouges, des données d’images thermiques, ou encore une combinaison de toutes ces approches, afin d’établir que nous sommes aussi vivant que nous voulons le faire croire :
Un calculateur peut capturer des informations vidéo de l’utilisateur, durant un certain lapse de temps, afin de déterminer si l’utilisateur en question réalise une action indiquant clairement qu’il s’agit d’une personne physique, telle que cligner des yeux, ou n’importe quelle autre action de ce genre. Dans certains cas, l’équipement pourra demander à l’utilisateur de réaliser certaines actions, mouvements, ou gestes, tels qu’un sourire, un clignement ou une inclinaison de sa tête.
L’analyse de toutes ses vidéos avec la détection faciale sera très consommatrice de ressources.
Amazon pense rationaliser le nombre de données grâce à un algorithme permettant d’établir une correspondance basée sur un schéma, qui permettra de faire le lien avec la forme d’une tête humaine, et ce avec un degré de corrélation acceptable.
Une fois que la démarche fonctionnera sur le contour connu d’un visage humain, Amazon aura en main au moins un processus pour authentifier un utilisateur, a-t-il déclaré.
Espérons que l’authentification par selfie, pour le paiement biométrique, s’en tirera mieux que sa pauvre amie, l’empreinte digitale.
Prenez par exemple le TouchID d’Apple. A la même période l’an dernier, RBS et NatWest ont mis à disposition leurs applications bancaires en ligne, afin de permettre à leurs clients d’utiliser les empreintes digitales pour faire leurs opérations en ligne : juste 2 d’une liste grandissante d’applications tierces utilisant l’authentification par TouchID.
Vous pouvez tout de suite deviner le côté plaisant : passer tout simplement votre doigt allie la praticité (plus besoin de se contorsionner pour masquer la saisie de votre mot de passe) à la sécurité d’un identifiant unique, à savoir votre empreinte digitale.
Malheureusement, vous ne pouvez pas changer vos empreintes digitales à moins de vous faire très mal, d’utiliser de l’acide, ou bien encore avec une technique à la James Bond. Bref en cas de vulnérabilité,…aie !
Et la vulnérabilité a bien été confirmée !
C’était peu de temps après qu’Apple ait dévoilé son nouvel iPhone 5s et son verrouillage biométrique avec le Touch ID, que les hackers du ont réussi à percer ce nouveau système en dupant le capteur avec des empreintes digitales volées.
Leur méthode consistait à copier les empreintes digitales de la personne ciblée afin d’obtenir une image de haute résolution. Ensuite ils l’imprimaient de façon à avoir un négatif de l’empreinte digitale, en utilisant une forte quantité d’encre au niveau du toner de manière à créer une sorte de moule, et finalement ils finalisaient la réplique de l’empreinte avec de la colle à bois.
Apple n’était pas le seul concerné: en effet, un autre groupe d’experts avaient utilisé la même méthode pour pirater le lecteur d’empreintes digitales du Samsung Galaxy S5.
Début du mois, d’autres experts encore ont rationalisé le processus, en utilisant une imprimante jet d’encre 2D classique pour réaliser une copie opérationnelle d’une empreinte digitale, par le biais de cartouches d’encre chargée avec de l’argent conducteur et du papier AgIC.
Aucun moule n’a été nécessaire, et pas besoin de colle non plus pour sécher, mais uniquement un scan de l’empreinte digitale, imprimée ensuite sur ce papier spécial, et passée au final devant le lecteur d’empreintes digitales.
Ne comptez pas sur les empreintes digitales comme un identificateur biométrique à part entière, même si durant le dernier à Las Vegas, quelques mois en arrière, un téléphone de chez Letv a été présenté avec une option “Liveness Detection“, conçue pour détecter si un vrai doigt était utilisé et non une réplique en cire ou bien encore une photo en haute résolution.
De nos jours, dès qu’il est question d’authentification biométrique, l’aspect “vivant” est le seul qui compte.
Ainsi, êtes-vous prêts à utiliser des selfies pour le paiement biométrique, en vous connectant à Amazon et en commandant tout ce que vous voulez afin d’entretenir le côté vivant, le fromage déshydraté, le papier toilette et les emballages plastiques, et ce sans avoir besoin de sortir de chez vous ?
Merci de nous faire part de vos commentaires ci-dessous.
Suivre @SophosFrance
Billet inspiré de “Amazon wants you to pay by face” par Lisa Vaas de Naked Security
Partagez “Bientôt le paiement biométrique sur Amazon par selfie ?” avec http://wp.me/p2YJS1-2zp