Chaos Computer Club pirate le processus d’identification vidéo

Chaos Computer Club pirate le processus d'identification vidéo

Les membres du Chaos Computer Club ont réussi à tromper avec des moyens relativement simples dans le processus d’identification vidéo. En conséquence, il est désormais interdit aux caisses d’assurance maladie de continuer à utiliser la procédure de contrôle d’accès aux dossiers médicaux électroniques.

Le processus d’identification vidéo de plus en plus populaire

Dans la procédure d’identification vidéo, l’identité d’une personne doit être vérifiée dans un chat vidéo. À cette fin, une connexion avec un fournisseur de services est établie, auquel votre propre carte d’identité doit être présentée dans le chat vidéo. La pièce d’identité doit être vérifiée pour les fonctions de sécurité et la photo affichée dans la pièce d’identité doit être comparée à la personne vue dans le chat vidéo. Cette méthode est utilisée par de plus en plus d’entreprises. C’est par exemple la procédure standard d’identification dans de nombreuses banques en ligne, mais aussi dans les caisses maladie, les opérateurs de téléphonie mobile ou les casinos en ligne. Aujourd’hui, quiconque souhaite ouvrir un compte n’a souvent plus besoin de se rendre personnellement dans une agence bancaire, mais peut rester assis devant son propre PC. Les points faibles de ce système d’identification sont très problématiques du fait de son utilisation dans de nombreux domaines sensibles : des comptes peuvent être ouverts sous de faux noms, l’accès à des dossiers médicaux de tiers est possible, etc.

L’enregistrement sous une fausse identité est possible sans effort

Les membres du Chaos Computer Club autour du chercheur en sécurité Martin Tschirsich ont maintenant prouvéqu’il est possible avec relativement peu d’effort de réussir la procédure d’identification vidéo avec une fausse identité. Pour ce faire, ils ont pris des photos d’une carte d’identité sous une grande variété d’angles, puis ont créé un clone numérique dans lequel des données importantes du document ont été échangées. Cela a permis de créer une vidéo dans laquelle la carte d’identité contrefaite est présentée sous une grande variété de perspectives – et donc avec toutes les fonctionnalités de sécurité.

Une autre vérification courante dans le processus d’identification vidéo consiste à couvrir des parties de la carte d’identité avec un doigt. Des manipulations vidéo comme celles du Chaos Computer Club devraient être remarquées dans l’interview test. Mais l’équipe de Tschirsich a également franchi cet obstacle. Il a utilisé une technique capable de détecter et de distinguer des objets, en séparant différentes couches de vidéo. Outre cette technique – qui est incluse dans les logiciels de montage vidéo traditionnels – il fallait une couleur rouge. Étant donné que la reconnaissance d’objet a des difficultés à capturer correctement les limites de l’objet avec des objets d’apparence similaire, la personne testée a peint sa main en rouge. Cela a permis à la technologie de détecter plus facilement les limites entre la main et le document d’identité et ainsi de séparer correctement les couches dans la vidéo. Cela a également permis de couvrir des éléments individuels de la carte d’identité avec votre doigt.

Le dernier outil utilisé par le Chaos Computer Club était une télévision. Une vidéo manipulée en temps réel avec le faux document a été diffusée par-dessus. La télévision a été filmée avec la caméra du téléphone portable pendant l’entretien test. Les employés des services de dépistage n’ont pas remarqué qu’ils ne communiquaient pas avec une personne assise directement devant la caméra. Au total, six fournisseurs du contrôle vidéo pourraient être trompés de cette manière. Les documents publiés ne montrent pas combien de fournisseurs ont été testés.

Accédez aux données sensibles

Lors du test, l’équipe de Tschirsich a eu accès à une grande quantité de données sensibles. Grâce à l’identification vidéo, le dossier médical électronique d’une personne informée a pu être consulté. Au cours du test, il a également été constaté qu’un fournisseur avait également accès aux données d’autres clients – ce qui représente une grave lacune de sécurité.

Après le test, Tschirsich et son équipe ont demandé les enregistrements vidéo stockés aux fournisseurs et les ont analysés. Ce faisant, ils ont remarqué plusieurs faiblesses dans leur propre manipulation vidéo qui n’avaient pas été critiquées par les examinateurs. Les écarts entre les données affichées dans l’hologramme et les données lisibles sur la carte d’identité, qui pouvaient être vues dans les vidéos, n’ont pas non plus été remarqués lors du test.

Les caisses d’assurance maladie ne sont plus autorisées à utiliser le processus d’identification vidéo

Tschirsich a par la suite demandé que le processus d’identification vidéo ne soit plus utilisé dans les zones sensibles : « À la lumière de ces découvertes, il serait négligent de continuer à s’appuyer sur l’identification vidéo là où une mauvaise utilisation pourrait entraîner des dommages potentiellement irréparables – par exemple par une divulgation non autorisée. des données de santé les plus intimes ». Il a également appelé à une révision obligatoire des entreprises qui proposent le procédé d’identification vidéo : « Il est temps d’en finir avec le renversement de la charge de la preuve : les personnes concernées ne devraient pas avoir à prouver les faiblesses des systèmes, les opérateurs du procédé devraient plutôt être tenus de prouver leur sécurité selon les règles reconnues. À l’avenir, le respect des exigences existantes et nouvelles devra être régulièrement vérifié par des tests indépendants dans des conditions d’attaque réelles. En particulier, toute déclaration sur l’efficacité des contre-mesures nécessite des preuves fiables. La simple affirmation que vous avez saupoudré d’IA dessus ne devrait plus suffire. »

En effet, Gematik, responsable des données de santé électroniques et des ordonnances électroniques, a déjà réagi. Les caisses d’assurance maladie ne sont plus autorisées à utiliser le procédé d’identification vidéo pour accéder aux fichiers électroniques. Cependant, l’association de l’industrie informatique Bitkom n’est pas d’accord avec cette interdiction. Le directeur général Bernhard Rohleder a commenté comme suit : « Avec l’interdiction générale et inopinée des procédures d’identification vidéo dans les compagnies d’assurance maladie, Gematik a rendu un mauvais service aux patients en France ». Au lieu de cela, Rohleder a appelé à de meilleures garanties techniques pour le processus. Cependant, Tschirsich considère que cela est difficile à réaliser : il considère que l’utilisation de l’IA, qui est considérée comme un remède à la plupart des problèmes de sécurité dans l’industrie, est une impasse – et le test qui a maintenant été effectué est un fort argument, étant donné que l’IA est déjà utilisée aujourd’hui avec la promesse d’une sécurité complète dans les procédures d’identification vidéo.