Publications

Comment tromper volontairement la reconnaissance faciale

09 octobre 2020

Découvrez notre dernier article : Comment tromper volontairement et physiquement la reconnaissance faciale.

La reconnaissance faciale est un sujet multi-facette. Dans nos précédents articles, nous nous sommes intéressés aux principes de la reconnaissance faciale. Puis  nous avons pu aborder l’impact du COVID-19 et plus particulièrement du port du masque sur cette technologie. Mais au-delà des problèmes dus aux contraintes actuelles, nous avons présenté un certain nombre d’attaques algorithmiques pour tromper les réseaux de neurones ou infecter leur base de données d'entraînement. Mais il existe également d’autres techniques pour tromper la reconnaissance faciale. Et celles-ci utilisent d’ailleurs souvent des principes similaires à celui du port du masque.

1- A quelles attaques l’IA peut-elle être confrontée ?

Les attaques peuvent se ranger en deux catégories : celles qui connaissent la structure du réseau pour pour les réaliser (white box), et celles qui fonctionnent sans en connaître la structure (black box). Actuellement, les attaques en white box sont les plus étudiées et les plus nombreuses. De même, accéder aux bases de données d'entraînement ou aux modèles de réseaux de neurones pour construire ces attaques n’est pas toujours une tâche aisée. Modifier toutes ses données d'apprentissage (des photos par exemple) pour ne plus être identifiable n’est pas non plus très pratique à mettre en place. Néanmoins, tromper un flux d’images issu d’une caméra est une autre affaire. Des travaux  ont développé des moyens de gêner, voire tromper, la reconnaissance faciale à l’aide d’objets physiques qu’il est possible de porter sur soi. En effet, soit le système n’arrive plus à détecter une personne, soit il est possible de se faire passer pour quelqu’un d’autre.
Une des attaques, presque élémentaire, sur les systèmes de reconnaissance faciale consiste à utiliser une simple photo afin de se faire passer pour une autre personne {1}. Il existe bien sûr des méthodes plus sophistiquées et qui seront moins faciles à contrer.

 

2- Quelles sont les méthodes pour tromper les algorithmes de reconnaissance faciale ?

 

Pour commencer, l’artiste américain Adam Harvey a démontré que du maquillage, des mèches teintes ou des autocollants posés sur le visage peuvent permettre de tromper les systèmes {2}. Néanmoins, il est évident qu’il est impossible de passer inaperçu avec ce type de camouflage.
D’autres méthodes utilisent des lunettes spéciales {3}. Soit ces dernières permettent de brouiller les points d'intérêt du visage pour le système, soit elles sont équipées de LED quasi-infrarouges qui vont gêner la vision de la caméra sans pour autant altérer la vision humaine. Si l’algorithme ne prend pas les bons points d’intérêt, ou s’il est incapable de les reconnaître à cause d’un bruit sur l’image (tel qu’un halo de lumière), l’authentification ne pourra pas se faire ou sera éronée.
Enfin, les vêtements peuvent aussi servir de parade contre la reconnaissance en camouflant les signatures thermiques, ou encore, en bloquant les signaux électromagnétiques alentour {4}. Ce type de vêtement pourrait être amené à se répandre dans les années à venir, pour répondre aux déploiements toujours plus nombreux des caméras.
Pour aller plus loin, des méthodes d’impression de masque 3D de haute précision sont possibles. Ces masques permettent de tromper les algorithmes n’ayant pas assez de points de références {5}. Leur réalisation est cependant plus complexe et leur efficacité discutable.

 

3- D’autres méthodes en cours d’expérimentation

Comme dans tout jeu darwinien d’attaque et de défense, des méthodes se développent pour contrer ces techniques {6}. Raphaël de Cormis, vice-président pour les innovations et la transformation digitale chez Thales, explique que la tendance est à la recherche de “preuves de vie”, c'est-à-dire d’éléments qui prouvent que ce qui est détecté n’est pas inerte. Cela peut se baser sur des mouvements/textures de peau, sur la détection des battements du cœur, ... La technique des masques moulés pourrait ainsi être inefficace. Pour cela, il est possible de demander à la personne de tourner la tête, cligner des yeux… Les systèmes deviennent alors difficiles à tromper mais de nouvelles parades pour contrer ce type d’identification pourraient rapidement voir le jour. Notamment à base de Deep Fakes, permettant par exemple de créer artificiellement une vidéo faisant bouger un visage par des mouvements de tête, uniquement à partir de photos.
On remarque que toutes ces différentes techniques ont un point commun : elles visent à camoufler le visage afin de le rendre méconnaissable à la manière d’un masque. Le challenge relève par contre de la qualité de ces masques “artificiels”.

Seront-ils assez efficaces pour tromper les algorithmes et déjouer leurs sécurités sans se faire détecter ? Il est clair que les systèmes vont continuer à s’améliorer et qu’il sera toujours plus compliqué de les tromper, mais cela ne sera jamais impossible. Croiser les méthodes d’authentification {6} est une approche possiblement très efficace pour améliorer la résilience des systèmes. Effectivement, cela permet de  compenser les vulnérabilités qu’offre un système d’authentification par les forces d’un autre. Il apparaît alors beaucoup plus difficile d’outrepasser  plusieurs systèmes de protection très différents les uns des autres. Par exemple, la reconnaissance faciale, couplée à des vérifications biométriques et de la vérification par code, permettrait d’avoir un niveau extrêmement élevé de sécurité. Qui plus est, si un système devient défaillant un autre peut prendre le relai.
Le développement lié aux avancées technologiques de la reconnaissance faciale est assez long et surtout il implique d’améliorer constamment les systèmes pour pallier au jeu darwinien des attaques/parades. Le croisement des méthodes d’authentification semble à ce jour un moyen de renforcer la sécurité Ce n’est pas forcément le plus confortable mais il permet d’identifier tout un chacun en limitant les risques.

Au-delà de la volonté de tromper volontairement les systèmes, ces derniers peuvent être également soumis à des sources d’erreurs non intentionnelles. Les biais d’apprentissage sont une source fréquente d’erreurs pour des algorithmes d’intelligences artificielles. Nous aborderons ce sujet dans un prochain article !

 


Retrouvez tous nos articles en cliquant ici !

Auteurs

 

Écrit par Arnault Ioualalen & Baptiste Aelbrecht

 

Sources images :

Image 1 : Teguhjati Pras (Pixabay)

Image 2 : Engin Akyurt (Unsplash)

Image 3 : JC Gellidon (Unsplash)

Image 4 : John Nooman (Unsplash)

Numalis

We are a French innovative software editor company providing tools and services to make your neural networks reliable and explainable.

Contact us

Follow us