Monthly Archives: juin 2021

Facial Biometrics: Liveness and Anti-Spoofing

Most of us understand how fingerprinting works, where we compare a captured fingerprint, from a crime scene for example, to a live person’s fingerprint to determine if they match. We can also use a fingerprint to ensure that the true owner, and only the true owner, can unlock a smartphone or laptop. But could a fake fingerprint be used to fool the fingerprint sensor in the phone? The simplest answer is yes unless we can determine if the fingerprint actually came from a living and physically present person, who might be trying to unlock the phone. 

In biometrics, there are two important measurements, Biometric Matching and Biometric Liveness. Biometric matching is a process of identifying or authenticating a person, by comparing their physiological attributes to information that had already been collected. For example, when that fingerprint matches a fingerprint on file, that’s matching. Liveness Detection is a computerized process to determine if the computer is interfacing with a live human and not an impostor like a photo, a deep-fake video, or a replica. For example, one measure to determine Liveness includes determining whether the presentation occurred in real-time. Without Liveness, biometric matching would be increasingly vulnerable to fraud attacks that are continuously growing in their ability to fool biometric matching systems with imitation and fake biometric attributes. Attacks such as “Presentation Attack”,  “spoof”, or “bypass” attempts  would endanger a user without proper liveness detection. It is important to have strong Presentation Attack Detection (PAD) as well the ability to detect injection attacks (where imagery bypasses the camera) as these are ways to spoof the user’s biometrics. Liveness determines if it’s a real person while matching determines if it’s the correct, real person.  

With today’s increasingly powerful computer systems, have come increasingly sophisticated hacking strategies, such as Presentation and Bypass attacks. There are many varieties of Presentation attacks, including high-resolution paper & digital photos, high-definition challenge/response videos, and paper masks. Commercially available lifelike dolls are available, human-worn resin, latex & silicone 3D masks, as well as custom-made ultra-realistic 3D masks and wax heads. These methods might seem right out of a bank heist movie, but they are used in the real world, successfully too. 

There are other ways to defeat a biometric system, called Bypass attacks. These include intercepting, editing, and replacing legitimate biometric data with synthetic data, not collected from the persons biometric verification check. Other Bypass attacks might include intercepting and replacing legitimate camera feed data with previously captured video frames or with what’s known as a “deep-fake puppet”, a realistic-looking computer animation of the user. This video is a simple but good example of biometric vulnerabilities, lacking any regard for Liveness.

The COVID19 Pandemic provides significant examples of Presentation and Bypass attacks and resulting frauds. Pandemic Stay-at-Home orders, along with  economic hardships, have increased citizen dependence on the electronic distribution of government pandemic stimulus and unemployment assistance funds, creating easy targets for fraudsters. Cybercriminals frequently utilize Presentation and Bypass attacks to defeat government website citizen enrolee and user authentication systems, to steal from governments across the globe which amounts in the hundreds of billions of losses of taxpayer money

Properly designed biometric liveness and matching could have mitigated much of the trouble Nevadans are experiencing. There are various forms of biometric liveness testing:

  • Active Liveness commands the user to successfully perform a movement or action like blinking, smiling, tilting the head, and track-following a bouncing image on the device screen. Importantly, instructions must be randomized and the camera/system must observe the user perform the required action. 
  • Passive Liveness relies on involuntary user cues like pupil dilation, reducing user friction and session abandonment. Passive liveness can be undisclosed, randomizing attack vector approaches. Alone, it can determine if captured image data is first-generation and not a replica presentation attack. Significantly higher Liveness and biometric match confidence can be gained if device camera data is captured securely with a verified camera feed, and the image data is verified to be captured in real-time by a device Software Development Kit (SDK). Under these circumstances both Liveness and Match confidence can be determined concurrently from the same data, mitigating vulnerabilities.  
  • Multimodal Liveness utilizes numerous Liveness modalities, like 2 dimensional face matching in combination with instructions to blink on command, to establish user choice and increase the number of devices supported. This often requires the user to “jump through hoops” of numerous Active Liveness tests and increases friction.  
  • Liveness and 3-dimensionality. A human must be 3D to be alive, while a mask-style artifact may be 3D without being alive. Thus, while 3D face depth measurements alone do not prove the subject is a live human, verifying 2-dimensionality proves the subject is not alive. Regardless of camera resolution or specialist hardware, 3-dimensionality provides substantially more usable and consistent data than 2D, dramatically increasing accuracy and highlights the importance of 3D depth detection as a component of stronger Liveness Detection.

Biometric Liveness is a critical component in any biometric authentication system. Properly designed systems require the use of liveness tests before moving on to biometric matching. After all, if it’s determined the subject is not alive, there’s little reason to perform biometric matching and further authentication procedures. A well-designed system that is easy to use allows only the right people access and denies anybody else.  

Care to learn more about Facial Biometrics? Be sure to read our previous releases Exploring Facial Biometrics. What is it? and Facial Biometrics – Voluntary vs Involuntary.

About the authors:

Jay Meier is a subject matter expert in biometrics & IAM, and an author, tech executive, and securities analyst. Jay currently serves as Senior Vice President of North American Operations at FaceTec, Inc. and is also President & CEO of Sage Capital Advisors, LLC., providing strategic and capital management advisory services to early-stage companies in biometrics and identity management. 

Meyer Mechanic is a recognized expert in KYC and digital identity. He is the Founder and CEO of Vaultie, which uses digital identities to create highly fraud-resistant digital signatures and trace the provenance of Legal and financial documents. He sits on DIACC’s Innovation Expert Committee and has been a voice of alignment in advancing the use of digital identity in Canada.

Additional contributions made by members of the DIACC’s Outreach Expert Committee including Joe Palmer, President of iProov Inc.

Demande de commentaires et d’examen des droits de propriété intellectuelle : ébauche de recommandations pour le modèle de maturité de l’assurance du CCP V1.0

Cette période d’examen est officiellement close. Merci.

Déclaration d’intention : Le CCIAN collabore pour développer et publier un modèle de maturité de l’assurance du Cadre de confiance pancanadienMC (CCIAN) afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé.

Pour en savoir davantage sur la vision du Cadre de confiance pancanadien et les avantages qu’il procure à tous, veuillez consulter l’Aperçu du Cadre de confiance pancanadien.

État des documents : Ces documents à examiner ont été approuvés en tant qu’ébauches de recommandations V1.0 par le Comité d’experts du cadre de confiance (TFEC) du CCIAN, qui est régi par les politiques qui contrôlent le CCIAN.

Résumé : Il est essentiel que les participants à un écosystème numérique aient une façon d’évaluer la robustesse et la fiabilité des transactions à l’intérieur de cet écosystème. Pour ce faire, les participants doivent avoir un vocabulaire commun qui décrit le degré de confiance qu’ils peuvent associer à une entité ou transaction, ainsi qu’une façon commune de déterminer de degré de confiance.

Dans le Cadre de confiance pancanadienMC (CCP), un niveau d’assurance (LoA) représente le degré de confiance qu’une entité peut avoir dans les processus et autres critères de conformité définis dans une composante donnée du CCP. Les niveaux d’assurance sont fondamentaux pour créer des réseaux de confiance. Les modèles de niveaux d’assurance ne fonctionnent que si tous les participants à un écosystème sont capables de les interpréter d’une manière uniforme. Il est donc essentiel que tous les participants à un écosystème s’entendent sur un ensemble minimum de critères pour chaque niveau d’assurance. C’est alors seulement qu’une partie dépendante à cet écosystème sera capable d’évaluer convenablement les risques inhérents dans une relation ou une transaction, et le niveau d’assurance qui peut être accordé aux participants, aux justificatifs et à ces transactions. Les composantes du CCP décrivent les critères de conformité détaillés qui devraient être utilisés pour évaluer de tels niveaux d’assurance dans le contexte d’une composante donnée du CCP. Ce document donne des conseils sur la façon d’utiliser ces critères afin de classer convenablement les niveaux d’assurance.

Invitation : Toutes les parties intéressées sont invitées à faire des commentaires.

Période : Début : 27 juin 2021 à 23 h 59 HP | Fin : 28 juillet 2021 à 23 h 59 HP

Document : Modèle de maturité de l’assurance du CCP

Droits de propriété intellectuelle : Les commentaires doivent être reçus pendant la période de 30 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du CCIAN sont également assujettis à la politique sur les droits de propriété intellectuelle. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 30 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet.

Processus

  • Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN.
  • Veuillez utiliser le formulaire prévu à cet effet pour soumettre vos commentaires au CCIAN.
  • Assurez-vous d’indiquer le numéro d’ébauche et de ligne correspondant à chaque commentaire soumis.
  • Le formulaire de soumission de commentaires au CCIAN doit être envoyé par courriel, dûment rempli, à review@diacc.ca.
  • Questions : review@diacc.ca.

Valeur pour les Canadiens : Les composantes « Évaluation » et « Infrastructure (technologie et opérations) » du Cadre de confiance pancanadien procureront de la valeur à l’ensemble des Canadiens, entreprises et gouvernements en établissant une base d’interopérabilité commerciale, juridique et technique. Le CCIAN a pour mandat de collaborer au développement et à la prestation de ressources visant à aider les Canadiens à faire des transactions numériques qui sont sécuritaires et commodes, et qui respectent leur vie privée. Le Cadre de confiance pancanadien est une de ces ressources. Il représente un ensemble de normes de l’industrie, de pratiques exemplaires et autres ressources qui aident à établir l’interopérabilité d’un écosystème de services et solutions en matière d’identité. Le CCIAN est une coalition sans but lucratif de membres des secteurs public et privé qui effectuent un investissement important et soutenu pour accélérer l’écosystème de l’identité du Canada.

Contexte : L’examen de ces ébauches de recommandations a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du Cadre de confiance pancanadien.

Le CCIAN s’attend à modifier et à améliorer ces ébauches de recommandations en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans les prochaines ébauches et le CCIAN va préparer un document expliquant d’une façon transparente comment chaque commentaire a été traité.

Nous vous remercions pour votre soutien et votre participation pendant cette période d’examen.

Les membres du CCIAN nomment le conseil d’administration de 2021

Le 22 juin 2021 – Le Conseil canadien de l’identification et de l’authentification numériques (CCIAN) a annoncé aujourd’hui la nomination de cinq candidats aux cinq sièges à combler lors de son assemblée générale annuelle virtuelle qui s’est tenue en ligne le 17 juin 2021.

Nouveau membre du Conseil :

  • Iliana Oris Valiente, directrice déléguée, Accenture

Administrateurs réélus :

  • Colleen Boldon, directrice, Laboratoire numérique et programmes d’identification numérique, province du Nouveau-Brunswick
  • Neil Butters, chef de l’identité numérique, de l’innovation et des nouvelles entreprises, Interac
  • Robert Devries, sous-ministre adjoint, Plateformes, gouvernement de l’Ontario
  • Louis Jacob, vice-président, Ingénierie de base et transformation, Manuvie

« J’ai le plaisir de souhaiter la bienvenue, au nom du Conseil de l’identification et de l’authentification numériques (CCIAN), au sein du conseil d’administration, a déclaré Joni Brennan, présidente du CCIAN. Son expertise en innovation et technologies émergentes va procurer une valeur stratégique au groupe. Le CCIAN va faire d’importantes avancées au cours de la prochaine année, en tant que communauté de leaders de l’identité numérique la plus vaste et la plus inclusive du Canada. »

« Tout comme notre Conseil compétent et respecté, je suis impatiente de collaborer avec ces leaders pour faire en sorte que l’identité numérique aille de l’avant en tant que priorité nationale, a indiqué Dave Nikolejsin, président du Conseil. Ensemble, nous allons promouvoir, faire connaître et faire adopter l’identité numérique afin d’habiliter les personnes, les entreprises, les centres de soins de santé, les institutions d’enseignement et la société civile. »

Les administrateurs du CCIAN sont des leaders élus de l’industrie qui fixent les orientations stratégiques organisationnelles, et voient à ce qu’une bonne gouvernance soit pratiquée, en s’assurant que les politiques et les procédures sont continuellement améliorées et qu’elles s’alignent sur la vision et la représentation des membres du CCIAN.

Voici la liste complète des membres du conseil d’administration du CCIAN :

  • Dave Nikolejsin, conseiller stratégique, McCarthy Tetrault et président du Conseil
  • Franklin Garrigues, vice-président, Canaux numériques, Mobilité pour tous, Banque TD et vice-président du Conseil
  • Andre Boysen, chef de l’identité, SecureKey et trésorier du Conseil
  • David Attard, vice-président exécutif principal, chef des services bancaires personnels et d’affaires, CIBC
  • Colleen Boldon, directrice, Laboratoire numérique et programmes d’identification numérique, province du Nouveau-Brunswick
  • Marc Brouillard, dirigeant principal de la technologie, gouvernement du Canada
  • Neil Butters, chef de l’identité numérique, de l’innovation et des nouvelles entreprises, Interac Corp.
  • Patrice Dagenais, vice-président, Paiement et partenariats commerciaux, Services de cartes Desjardins
  • Susie De Franco, directrice générale, Canaux et produits numériques, Postes Canada
  • Robert Devries, sous-ministre adjoint, Division de l’intégration des services numériques pour les entreprises, ministère des Services gouvernementaux et des Services aux consommateurs, gouvernement de l’Ontario
  • Louis Jacob, vice-président, Ingénierie de base et transformation, Manuvie
  • Hugh McKee, chef, BMO Partenaires
  • Iliana Oris Valiente, directrice déléguée, Accenture
  • CJ Ritchie, sous-ministre déléguée et dirigeante principale de l’information du gouvernement, province de la Colombie-Britannique
  • Eros Spadotto, vice-président exécutif, Stratégie technologique, TELUS

Le mandat de trois ans d’Allan Foster, vice-président de Global Partner Success, Forgerock, comme administrateur s’est achevé en 2021. Le CCIAN le remercie pour ses services et son dévouement, et se réjouit de continuer à collaborer avec Forgerock en tant qu’organisation membre du CCIAN.

Comme c’est le cas depuis quelques années, le nombre de candidats a dépassé de loin les sièges disponibles au Conseil. Le CCIAN remercie tous les candidats hautement qualifiés qui ont pris part au processus. Cette tendance reflète l’intérêt grandissant et l’investissement des particuliers, gouvernements et entreprises au Canada pour faire de l’identité numérique une priorité nationale.

À propos du Conseil canadien de l’identification et de l’authentification numériques

Le Conseil canadien de l’identification et de l’authentification numériques (CCIAN) est une coalition à but non lucratif de leaders des secteurs public et privé déterminés à élaborer un cadre canadien d’identification et d’authentification numériques afin de permettre au Canada de participer pleinement et d’une manière sécuritaire à l’économie numérique mondiale. Le CCIAN est le fruit du groupe de travail du gouvernement fédéral mis sur pied pour examiner le système de paiements et ses membres incluent des représentants des gouvernements fédéral et provinciaux, ainsi que des membres influents du secteur privé.