J'ai récemment dû m'authentifier en ligne pour utiliser un service Internet. Le processus d'authentification a été effectué par appel vidéo avec moi tenant ma carte d'identité devant la caméra de mon ordinateur portable à côté de mon visage. J'ai également dû agiter la carte d'identité pour que la personne à l'autre bout de l'appel vidéo puisse voir les caractéristiques de sécurité imprimées sur la carte d'identité.
Ensuite, la personne m'a demandé de passer ma main devant la carte d'identité, de sorte qu'elle soit brièvement couverte de plusieurs fois par ma main.
Qu'est-ce que cette méthode est censée réaliser ou est-ce juste un théâtre de sécurité?
Étant donné que cette identification a probablement été effectuée conformément au droit allemand, cette demande devait être conforme à Circulaire BaFin 3/2017 qui exige (dans leur traduction anglaise non contraignante):
Toute substitution/manipulation de parties ou d'éléments du document d'identité doit être contrée par des mesures appropriées. À cette fin, il faut par exemple demander à la personne à identifier de placer un doigt sur les parties du document d'identité relatives à la sécurité (variables et déterminées au hasard par le système) et de déplacer une main sur son visage. En utilisant des images fixes de ces mouvements qui sont découpées et agrandies, l'employé doit vérifier que le document d'identité, ainsi que toutes les caractéristiques de sécurité visuellement identifiables en lumière blanche, est complètement recouvert au bon endroit et qu'aucun artefact indiquant une manipulation n'est évident au points de transition.
La raison invoquée est donc de découvrir des manipulations potentielles dans le flux vidéo que vous leur envoyez. Il doit y avoir suffisamment de tâches imprévisibles qui peuvent vous être demandées pour qu'il soit plus difficile de préparer une substitution appropriée.
Un mouvement qui bloque la vue de l'élément inspecté aide à vaincre quelqu'un qui essaie d'utiliser une image de superposition sur la vidéo en remplacement de l'élément réel.
Par exemple, je pourrais prendre une courte vidéo de votre ID (qui montre les fonctionnalités de sécurité) et la superposer sur la vidéo en direct au lieu de mon ID réel. Mais en agitant ma main devant, le téléspectateur peut voir que ce n'est pas une superposition vidéo.
Une vraie menace? Oui. Il suffit de regarder les fausses vidéos que nous avons vues où quelqu'un peut donner l'impression que quelqu'un dit quelque chose qu'il n'a jamais fait. La technologie existe et est utilisée.
Une menace crédible? Discutable, mais l'atténuation est gratuite, facile pour toutes les personnes impliquées et simple. Ainsi, le coût de l'atténuation est négligeable.
Cela signifie qu'il ne s'agit pas d'un "théâtre de sécurité". Il traite en fait un risque. Mais je pourrais convenir qu'à ce stade, ce pourrait être limite. L'année prochaine, je devrais peut-être modifier cette réponse.
Lethalcoder et d'autres ont fait valoir qu'il était facile de duper l'onde de la main. Mais cela manque le but de la demande - c'est une demande inattendue qui ne serait probablement pas dupe à l'avance. Demain, ils pourraient vous demander de montrer l'heure de votre téléphone portable, ou le journal d'aujourd'hui (comme si quelqu'un les lis), ou tout autre élément aléatoire devant l'ID. Cela ne devient un théâtre de sécurité que s'ils demandent toujours la même tâche, à peu près au même moment dans le processus d'identification.
Quant à savoir pourquoi vous devez agiter la main, Schroeder l'a très bien expliqué dans sa réponse:
"Un mouvement qui bloque la vue de l'élément inspecté aide à vaincre quelqu'un qui essaie d'utiliser une image de superposition sur la vidéo en remplacement de l'élément réel. Par exemple, je pourrais prendre une courte vidéo de votre ID (qui montre les caractéristiques de sécurité ) et superposer cela sur la vidéo en direct au lieu de mon identifiant réel. Mais en agitant ma main devant, le téléspectateur peut voir que ce n'est pas une superposition vidéo. "