Nouveau Accueil Informatique Sécurité des systèmes biométrique

Sécurité des systèmes biométrique

Soutenance mémoire 0

Description des empreintes digitales

   Une empreinte digitale est le dessin formé par les lignes de la peau des doigts. Elles sont uniques et immuables, elles ne se modifient donc pas au cours du temps (sauf par accident) mis à part leur qualité qui peut se dégrader. Une empreinte digitale est constituée d’un ensemble de lignes localement parallèles formant un motif (ridge pattern) unique pour chaque individu. On distingue les crêtes, ce sont les lignes en contact avec une surface au touché et les vallées, ce sont les creux entre deux crêtes. A l’intérieur de ce motif, il y a un très grand nombre d’éléments qui nous différencient les uns des autres. Ces caractéristiques sont formées par le flux des crêtes formant l’empreinte. Ces éléments sont à leur tour découplés en deux familles : les minuties et les singularités. La minutie est l’arrangement particulier des lignes papillaires (crêtes et vallées) à l’origine de l’individualité des empreintes. Les minuties peuvent être de différents types les terminaisons (le point où la crête se termine) et les bifurcations (le point de carrefour de plusieurs crêtes). Cela s’explique par le fait que les autres types sont des combinaisons de terminaisons et de bifurcations. Il existe deux points de singularités (figure 1.3‹ Œ le core et le delta. Le delta est localisé à la confluence de trois différentes crêtes. Le core est le point de courbure maximale

Phase de capture

   Le but de cette étape est de former l’échantillon biométrique sous la forme d’une image numérique en utilisant un dispositif spécial appelé capteur. Aujourd’hui, bon nombre de capteurs d’empreintes existe. Ils se distinguent, notamment par : leur technologie, leur coût, leur qualité d’acquisition, leur facilité d’intégration (téléphone, ordinateur portable, etc.) ou leur capacité à détourner les moulages d’empreintes. Néanmoins, cette qualité ne dépend qu’en partie du capteur. Elle dépend aussi de l’empreinte en elle-même (distorsions élastiques, sueur, humidité, saleté, état de l’épiderme et accidents, etc.) et des conditions d’acquisition (empreintes latentes, coopération du sujet, etc.). La surface d’acquisition, la résolution (aujourd’hui autour de 500 ppi équivalente à 19.69 pixels par millimètre), la quantification des niveaux de gris (256 niveaux par exemple) ou la précision géométrique. Etudier la corrélation entre la qualité du capteur et les performances de reconnaissance est un point important qui permet de définir les exigences minimales des capteurs utilisés dans les applications biométriques. D’un autre côté, nombreux travaux qualité de l’image d’empreinte digitale acquise. Une étude qui peut être intéressante pour les phases restantes du processus. Dans la mesure NFIQ présentée par le NIST [TWW04 on estime la qualité de l’image par blocs de régions à partir d’informations sur le contraste ou sur le flux d’orientation des crêtes. Dans chaque région, une valeur de qualité est assignée (qui est entre 0 et 4). Cette valeur permet de déterminer le degré de fiabilité des caractéristiques extraites subséquemment dans le module d’extraction

Evaluation de la sécurité des systèmes biométriques

   Il est bien connu que la méthodologie principale pour évaluer la sécurité dans les systèmes d’information est basée sur la notion de critères communs CC. Ces critères communs font l’objet d’une standardisation ISO 15408 ces critères ne suffisent pas pour évaluer complètement les systèmes biométriques. Ils doivent, avant tout, prendre en compte les particularités de ces systèmes. Récemment, un groupe de travail a suggéré une méthode d’évaluation basée sur les critères communs a besoin d’une considération spéciale ont été identifiés :
– L’analyse des vulnérabilités.
– Le test de performance.
Un modèle d’attaques possibles basé sur 15 points de vulnérabilités a été identifié. Les auteurs concluent qu’un système biométrique peut être évalué sous les mêmes CCs que n’importe quel autre IT système tout en prenant en compte des objectifs de sécurité (target security) spécifiques au domaine biométrique. Entre autres, cela concerne la protection des données de l’utilisateur et le respect de sa vie privée. Une autre proposition sur la standardisation de l’évaluation de la sécurité dans les systèmes biométriques a été adressée par la norme internationale ISO/IEC FCD 19792 [ISO06b01 rapport présente une vue d’ensemble des vulnérabilités possibles. Il inclut aussi la phase de test du respect de la vie privée avec le processus d’évaluation. Sur le plan académique, plusieurs travaux concernant la modélisation des attaques existent. Un travail pionnier a été présenté en 2001 par Ratha et al. [RCB0145 678 9:;<=9>;<= 7;8 points de vulnérabilités sur chaque module dans l’architecture générique du système d’authentification. La figure 1.16 i??@ABDE ces points d’attaque possibles. I. Buhan dans sa thèse [Buh084G HI:J798; 7;8 K==KLM;8 NI889O7;8 NKP M< KPOP; Q =PI98 niveaux en se basant sur les 17 points de vulnérabilités identifiés dans les travaux de Bolle et al. [BCP+03RS TUVWXXWYZ[ \WYY^_W` et al. [HSK10R a`UbWYZWYZ cY XdefgW ehUjkgckZ^dY de la sécurité dans un système de vérification d’empreintes digitales en se basant sur les critères communs mais en développant plus en détails les niveaux de vulnérabilités. Jain et al. [JNN084 M=9798;<= M<; P;NPJ8;<=K=9I< NKP KPl=; :; NI988I< mK >8nOI<; HI:;7o pour modéliser les points de vulnérabilités dans les systèmes biométriques en se basant sur deux types d’attaques : les attaques à zéro effort et les attaques adverses. Dans les attaques adverses, l’abus peut être causé lorsque l’infrastructure du système biométrique n’est pqrstuvw Les points de vulnérabilités d’un un système biométrique suivant le modèle de Ratha et al. [RCB01y pas sécurisée (matériel, logiciel ou canaux de communication). Maltoni et al. [MMJP09z adoptent une méthode légèrement différente, en se posant la question pratique sur la façon dont la défaillance pourrait être déclenchée ? Ils identifient principalement deux types de défaillance : le déni de service et l’intrusion. Dans le déni de service, l’utilisateur légitime est refusé par le système. Par contre, l’intrusion se réfère à un accès illégitime au système. Pour des raisons de sécurité, ils concentrent leur attention sur le risque d’intrusion dans lequel un attaquant doit d’abord obtenir les données biométriques puis essayer de les injecter dans le système biométrique. En se focalisant sur l’empreinte digitale, les auteurs exposent des procédés d’obtention des données d’empreintes digitales et des procédés pour les injecter dans le système. Pour leur généralité, nous détaillons les points d’attaques de Ratha et al. [RCB01{ |}}
– Point 1 : Attaque sur le capteur en présentant une modalité biométrique truquée. Par exemple, Matsumoto diŽfférents systèmes de vérification d’empreintes digitales avec des moulages de doigts en gélatine. Une empreinte résiduelle sur du verre est utilisée pour créer le doigt artificiel. Tous les 11 systèmes ont accepté ce doigt avec une probabilité de 67%. En 2008, Galbally effectuée en présentant au capteur un doigt truqué généré à partir d’une image d’empreinte, qui elle, a été reconstruite à partir du modèle des minuties, volé de la base de données. Cette menace met en avant l’importance de protéger les données biométriques à l’intérieur des bases de données.
– Points 2,4,6,8 : Attaque sur les canaux de communication. Si aucune mesure de sécurité n’est prise en charge, l’attaquant peut intercepter (Eavesdropping), modifieret insérer les données biométriques (Man-in the-Middle) ou rejouer les mêmes données biométriques (Replay). Il peut aussi manipuler la décision issue du module de comparaison en la compromettant.
– Points 3,5 : Attaque sur les modules de traitement. Un des plus grands risques de sécurité informatique concerne l’injection de programmes malicieux qui peuvent ensuite contrôler le comportement du module initial (comme fournir le modèle ou le score souhaités).
– Point 7 : Attaque sur les modèles. L’attaquant peut capturer le modèle de référence, le substituer, le modifier et ainsi il peut compromettre la base de données.

Les architectures à système fermé

   Il s’agit d’assurer le stockage sécurisé du modèle biométrique sur un dispositif dédié (secure element) comme une carte à puce. Différentes solutions peuvent être proposées :
– Store-on-Card (SoC) : il s’agit d’éliminer la base de données centrale en stockant le modèle biométrique sur le dispositif sécurisé.
– Match-on-Card (MoC) : se réfère aux solutions où le module de comparaison est sur l’élément sécurisé. Le capteur et le module d’extraction sont sur une plateforme hôte.
– System-on-Device (SoD) : le capteur, les modules d’extraction et de comparaison sont embarqués sur le même dispositif. L’intégration de la biométrie sur un élément sécurisé est une piste prometteuse effort accompli concerne uniquement le stockage du modèle à l’intérieur du dispositif. Il est ensuite extrait du dispositif pour accomplir la vérification sur une station hôte (e.g. le passeport électronique) ce qui engendre les mêmes problèmes que les architectures classiques. Les systèmes MoC sont en principe plus sécurisés. Malheureusement, à cause des performances réduites des puces par rapport aux processeurs modernes (24 MHz vs 3.4 GHz), la complexité des algorithmes implantés peut être considérablement réduite résultant ainsi en une chute des performances du système biométrique. Aujourd’hui, implémenter un système MoC fiable constitue un vrai défi. D’autre part, supposer que ces jetons sont inviolables n’est pas toujours vrai. La sécurité de tels dispositifs est souvent évaluée par un niveau de certification (par exemple EAL4) donnant quelques éléments sur la possibilité pour qu’un pirate puisse atteindre les informations stockées. Suivant son degré de résistance (tamper resistant element), des attaques physiques peuvent être effectuées. Ainsi, il devient possible, même si elle est rare, que le modèle puisse être atteint à partir d’un jeton volé.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

Introduction générale
1 Positionnement du problème & Travaux existants 
1.1 Généralités sur la reconnaissance par empreintes digitales
1.1.1 Empreintes digitales et biométrie
1.1.2 Description des empreintes digitales
1.1.3 Propriétés des images d’empreintes digitales
1.1.4 Architecture d’un système d’authentification par empreintes digitales ?
1.1.5 Evaluation des systèmes d’authentification biométrique
1.2 Modèle biométrique : vulnérabilités et menaces 
1.2.1 Les risques de violation de la vie privée
1.2.2 Les risques d’usurpation d’identité
1.3 Sécuriser le modèle biométrique 
1.3.1 Les architectures à système fermé
1.3.2 Les techniques d’amélioration de la protection de la vie privée
1.4 Les schémas de protection du modèle biométrique
1.4.1 Les crypto-systèmes biométriques
1.4.2 Les transformations révocables
1.5 Conclusion 
2 Approche pour l’évaluation des schémas de biométrie révocable II
2.1 Introduction
2.2 Travaux existants
2.3 Méthodologie proposée 
2.4 Critères d’évaluation des systèmes de biométrie révocable 
2.4.1 Objectifs de l’algorithme de protection biométrique
2.4.2 Détermination des critères à évaluer
2.4.3 Détermination des métriques
2.5 Conclusion 
3 Schémas révocables d’empreintes digitales 
3.1 Introduction 
3.2 Schéma révocable basé descripteurs globaux d’empreintes digitales
3.2.1 Etude comparative sur les descripteurs de texture d’empreintes digitales
3.2.2 Création du descripteur global d’empreintes digitales
3.2.3 Protection du descripteur biométrique
3.2.4 Evaluation du système révocable par descripteurs globaux
3.2.5 Analyse et discussion
3.3 Schéma révocable basé descripteurs locaux d’empreintes digitales 
3.3.1 Création du descripteur biométrique
3.3.2 Protection du descripteur biométrique
3.3.3 Comparaison des empreintes
3.3.4 Résultats expérimentaux
3.3.5 Evaluation du système révocable par descripteurs locaux
3.3.6 Etude comparative
3.4 Conclusion 
4 Gestion d’identité biométrique décentralisée 
4.1 Introduction
4.2 Vers des cartes d’identité personnelles : Idées de base 
4.3 Architecture globale de la solution MoC 
4.4 Conception de l’applet PKCS15 Bio 
4.4.1 Modèle objet
4.4.2 Interface carte-terminal
4.4.3 Comparaison biométrique sur carte
4.4.4 Analyse et discussion
4.5 Cas d’utilisation de la carte d’identité proposée 
4.6 Sécurité et vie privée dans les passeports biométriques 
4.6.1 Manipulation des données personnelles
4.6.2 Politique de sécurité
4.6.3 Discussion et proposition
4.7 Conclusion 
5 Conclusion générale 
5.1 Bilan et principales contributions 
5.2 Perspectives et futures recherches 
Publications de l’auteur
Bibliographie
Table des figures
Liste des tableaux z
Liste des algorithmes z
Annexe
A Fiche sur la théorie bayesienne et la vérification biométrique
B Complément sur l’applet PKCS

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Évaluation des couches MAC des technologies IoT : LoRa, SigFox et NBIoT 

Conception et validation d’une architecture de noeud de capteurs pour l’évaluation hors ligne de stratégies de synchronisation 

MODELE D’ABSTRACTION D’UN SYSTEME DE BUSINESS INTELLIGENCE

Creation d’une base de données geoscientifiques

PROJET DE CREATION D’UN CENTRE DE SERVICE INFORMATIQUE

ANALYSE DU SYSTEME RIZICOLE DES MENAGES

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *