Le hack qui pourrait faire croire à la reconnaissance faciale que quelqu’un d’autre est vous

La reconnaissance des visages prolifère rapidement comme moyen d’identifier les personnes dans les aéroports et dans les scénarios de haute sécurité – mais elle est loin d’être infaillible.
par

Par Karen HaoPatrick et Howell O’Neill pour Mit Techreview

Les chercheurs ont démontré qu’ils peuvent tromper un système moderne de reconnaissance des visages pour qu’il voie quelqu’un qui n’est pas là.

Une équipe de la société de cybersécurité McAfee a mis en place l’attaque contre un système de reconnaissance faciale similaire à ceux utilisés actuellement dans les aéroports pour la vérification des passeports. En utilisant l’apprentissage automatique, ils ont créé une image qui ressemblait à une personne pour l’œil humain, mais qui a été identifiée comme quelqu’un d’autre par l’algorithme de reconnaissance faciale – l’équivalent de tromper la machine en permettant à quelqu’un de monter à bord d’un vol alors qu’il est sur une liste d’interdiction de vol.

« Si nous nous trouvons devant une caméra en direct qui utilise la reconnaissance faciale pour identifier et interpréter la personne qu’elle regarde et la comparer à une photo de passeport, nous pouvons, de manière réaliste et répétée, provoquer ce genre d’erreur de classification ciblée », a déclaré l’auteur principal de l’étude, Steve Povolny.

Comment cela fonctionne-t-il ?

Pour détourner l’algorithme, les chercheurs ont utilisé un algorithme de traduction d’images appelé CycleGAN, qui excelle à transformer les photographies d’un style en un autre. Par exemple, il peut faire en sorte qu’une photo d’un port ait l’air d’avoir été peinte par Monet, ou qu’une photo de montagnes prise en été ait l’air d’avoir été prise en hiver.

L’équipe de McAfee a utilisé 1 500 photos de chacune des deux pistes du projet et a introduit les images dans un CycleGAN pour les transformer en une autre. En même temps, ils ont utilisé l’algorithme de reconnaissance faciale pour vérifier les images générées par le CycleGAN afin de voir qui il reconnaissait. Après avoir généré des centaines d’images, le CycleGAN a finalement créé une image truquée qui ressemblait à la personne A à l’œil nu, mais qui a trompé la reconnaissance faciale en faisant croire qu’il s’agissait de la personne B.

Bien que l’étude soulève des préoccupations évidentes quant à la sécurité des systèmes de reconnaissance des visages, il y a quelques réserves. Premièrement, les chercheurs n’ont pas eu accès au système réel utilisé par les aéroports pour identifier les passagers et l’ont plutôt approché avec un algorithme de pointe en source ouverte. « Je pense que pour un agresseur, ce sera la partie la plus difficile à surmonter », dit M. Povolny, « lorsqu’il n’a pas accès au système cible ». Néanmoins, étant donné les grandes similitudes entre les algorithmes de reconnaissance des visages, il pense qu’il est probable que l’attaque fonctionnerait même sur le système aéroportuaire réel.

Deuxièmement, une telle attaque nécessite aujourd’hui beaucoup de temps et de ressources. Les CycleGANs ont besoin d’ordinateurs puissants et d’une expertise pour s’entraîner et s’exécuter.

Mais les systèmes de reconnaissance des visages et le contrôle automatisé des passeports sont de plus en plus utilisés pour la sécurité des aéroports dans le monde entier, un changement qui a été accéléré par la pandémie de covid-19 et le désir de disposer de systèmes sans contact. Cette technologie est également déjà largement utilisée par les gouvernements et les entreprises dans des domaines tels que l’application de la loi, l’embauche et la sécurité des événements, bien que de nombreux groupes aient demandé un moratoire sur ces développements et que certaines villes aient interdit cette technologie.

Il existe d’autres tentatives techniques pour contourner la reconnaissance des visages. Une équipe de l’Université de Chicago a récemment mis au point Fawkes, un outil destiné à « masquer » les visages en modifiant légèrement les photos sur les médias sociaux afin de tromper les systèmes d’IA qui se basent sur des bases de données de milliards de photos de ce type. Des chercheurs de la société d’IA Kneron ont également montré comment les masques peuvent tromper les systèmes de reconnaissance faciale déjà utilisés dans le monde entier.

Les chercheurs de McAfee affirment que leur objectif est de démontrer les vulnérabilités inhérentes à ces systèmes d’IA et de montrer clairement que les êtres humains doivent rester dans le coup.

« L’intelligence artificielle et la reconnaissance faciale sont des outils incroyablement puissants pour aider à identifier et à autoriser les personnes », explique M. Povolny. « Mais quand vous les prenez et que vous remplacez aveuglément un système existant qui repose entièrement sur un humain sans avoir une sorte de vérification secondaire, alors vous avez soudainement introduit une faiblesse peut-être plus grande que celle que vous aviez auparavant ».

Comment fonctionnent les GAN

Les réseaux adversatifs générateurs sont une classe d’algorithmes qui opposent intelligemment les réseaux neuronaux les uns aux autres pour obtenir de meilleurs résultats.

Dans un GAN traditionnel, il n’y a que deux réseaux : un générateur qui s’entraîne sur un ensemble de données, par exemple un paysage d’été, pour cracher davantage de paysages d’été ; et un discriminateur qui compare les paysages générés avec le même ensemble de données pour décider s’ils sont réels ou faux.

CycleGAN modifie ce processus en ayant deux générateurs et deux discriminateurs. Il existe également deux jeux d’images, comme les paysages d’été et les paysages d’hiver, qui représentent les types de photos que vous souhaitez traduire.

Cette fois, le premier générateur s’entraîne sur les images des paysages d’été dans le but d’essayer de générer des paysages d’hiver. Le second générateur, quant à lui, s’entraîne sur des images de paysages d’hiver pour générer des paysages d’été. Une fois de plus, les deux discriminateurs travaillent dur pour attraper le faux jusqu’à ce que les paysages truqués ne puissent plus être distingués des vrais.

 

Via Mit Techreview

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.