Kévin Atighehchi – Untargeted Near-collision Attacks on 2FA Biometric Systems

Un système de reconnaissance biométrique peut fonctionner en mode vérification, où le système valide l’identité revendiquée par un utilisateur en comparant le modèle fourni avec le modèle enregistré. Les schémas de transformation biométrique produisent généralement des modèles binaires qui sont mieux traités par des schémas cryptographiques, et la comparaison se base sur une distance qui divulgue des informations sur les similarités entre deux modèles biométriques. Les taux de fausses acceptations (FAR) et de fausses rejets (FRR), déterminés expérimentalement par l’ajustement des seuils de reconnaissance, définissent la précision de la reconnaissance et donc la sécurité du système. À notre connaissance, peu de travaux fournissent un traitement formel de la sécurité sous un minimum de fuite d’information, c’est-à-dire le résultat binaire d’une comparaison avec un seuil. Dans cet article, nous nous appuyons sur la modélisation probabiliste pour quantifier la robustesse des modèles binaires issus de la fusion d’un token pseudo-aléatoire stocké avec une donnée biométrique, où ces deux facteurs sont fusionnés pour créer un token flou. Nous étudions l’influence de la taille des modèles, de la taille de la base de données et du seuil sur la probabilité d’une near-collision. Nous mettons en évidence plusieurs attaques non ciblées en considérant des adversaires naïfs et adaptatifs. De manière intéressante, ces attaques peuvent être lancées en ligne et hors ligne en mode vérification. Nous discutons du choix des paramètres à travers les attaques génériques présentées, en soulignant que ces attaques ont des implications significatives pour ces systèmes biométriques.