Authentification faciale Windows Hello
L’authentification faciale Microsoft dans Windows 10 est un mécanisme de vérification d’identité de niveau entreprise intégré à Windows Biometric Framework (WBF) en tant que composant Microsoft Windows principal appelé Windows Hello. L’authentification faciale Windows Hello utilise un appareil photo spécialement configuré pour l’imagerie infrarouge proche (IR) pour authentifier et déverrouiller des appareils Windows, ainsi que pour déverrouiller votre Microsoft Passport.
Principaux avantages et fonctionnalités de l’authentification faciale Windows Hello
Voici les principaux avantages de l’utilisation de l’authentification faciale Windows Hello :
- Reconnaissance faciale sur l'ensemble des appareils et plateformes Windows 10 avec du matériel compatible (capteur IR proche).
- Interface conviviale qui fournit une forme d’authentification unique pour déverrouiller votre Microsoft Passport.
- Authentification de niveau entreprise et accès au contenu pris en charge par Microsoft Passport Pro, notamment les ressources réseau, les sites Web et les instruments de paiement.
- Possibilité de fournir une image cohérente (à l'aide de l'IR) dans diverses conditions d’éclairage qui permet également des changements subtils dans l’apparence, y compris la pilosité faciale, le maquillage, etc.
Scénarios
Les deux principaux scénarios pour l’authentification faciale Windows Hello dans Windows 10 sont l’authentification à des fins de connexion ou de déverrouillage, et la réauthentification pour prouver que vous êtes toujours là.
Authentification
| Type | Description |
|---|---|
| durée moyenne | <2 secondes |
| fréquence attendue | Élevé |
| description de la fréquence | Se produit chaque fois qu’un utilisateur souhaite déverrouiller son appareil ou se déplacer au-delà de l’écran de verrouillage |
Réauthentification
| Type | Description |
|---|---|
| durée moyenne | <2 secondes |
| fréquence attendue | Faible |
| description de la fréquence | Se produit lorsqu’une application ou un site Web souhaite vérifier que l’utilisateur est devant son appareil |
Fonctionnement
Le moteur de reconnaissance faciale Windows Hello comprend quatre étapes distinctes qui permettent à Windows de comprendre qui est devant le capteur :
Détection du visage et des repères
Durant cette première étape, l’algorithme détecte le visage de l’utilisateur dans le faisceau de l'appareil photo, puis localise les points de repère du visage (également appelés points d’alignement), qui correspondent aux yeux, au nez, à la bouche, et ainsi de suite.
Orientation de la tête
Pour permettre à l’algorithme de disposer d'une vue suffisamment complète du visage pour prendre une décision d’authentification, il s'assure que l’utilisateur est en face de l’appareil à +/- 15 degrés.
Vecteur de représentation
À l’aide des emplacements de repère comme points d’ancrage, l’algorithme prend des milliers d’échantillons provenant de différentes zones du visage pour créer une représentation. La représentation à sa forme la plus simple est un histogramme représentant les différences de contraste autour de points spécifiques. Les images du visage ne sont jamais stockées, seulement les représentations.
Moteur de décision
Une fois qu’il existe une représentation de l’utilisateur devant le capteur, elle est comparée aux utilisateurs inscrits sur l’appareil physique. La représentation doit franchir un seuil d’apprentissage automatique avant que l’algorithme l’accepte comme une correspondance correcte. S’il existe plusieurs utilisateurs inscrits sur le système, ce seuil augmente en conséquence pour garantir que la sécurité n’est pas compromise.
Inscription
L’inscription est l’étape de génération d’une représentation ou d’un ensemble de représentations de vous-même (par exemple, si vous avez des lunettes, vous devrez peut-être vous inscrire avec et sans elles) et le stockage dans le système pour une comparaison ultérieure. Cette collection de représentations est appelée profil d’inscription. Microsoft ne stocke jamais une image réelle, et vos données d’inscription ne sont jamais envoyées aux sites Web ou applications pour authentification.
La plupart des utilisateurs devront probablement s’inscrire une fois par appareil. Des inscriptions supplémentaires sont nécessaires pour les utilisateurs qui :
- Portent occasionnellement certains types de lunettes
- Sont confrontés à des changements majeurs de forme ou de texture du visage
- Accèdent à des environnements avec une lumière ambiante IR proche élevée (par exemple, s'ils se servent de l'appareil à la lumière du soleil)
Avantages de l'infrarouge proche
Après la sortie de la reconnaissance faciale avec la première version de Kinect sur Xbox 360, Microsoft a appris que s’appuyer sur la lumière ambiante pour fournir une image cohérente procure une expérience utilisateur médiocre. Chaque personne vit et travaille dans un large éventail d’environnements, avec un assortiment de conditions d’éclairage. Les systèmes de reconnaissance de couleur traditionnels s’appuient sur l’augmentation de la luminosité, de l’exposition ou d’autres paramètres pour créer une image utilisable, ce qui engendre des artefacts qui ont un impact sur la fiabilité du système.
En revanche, les images en infrarouge proche sont cohérentes dans les scénarios d’éclairage ambiant, comme vous pouvez le voir ci-dessous.
| Scénario | Image en couleur à partir d’un appareil photo intégré | Image IR à partir du capteur de référence Microsoft |
|---|---|---|
| Représentation de luminosité faible lorsque l'on regarde la télévision ou lorsque l'on effectue une présentation PowerPoint |  |
 |
| Éclairage latéral lorsque l'utilisateur est assis près d’une fenêtre ou d’une lampe |  |
 |
L’utilisation de l'infrarouge permet également d'éviter l'usurpation d’identité, car elle évite les attaques les plus accessibles. Par exemple, l'IR ne s’affiche pas dans les photos, car il s’agit d’une longueur d’onde différente, et, comme vous pouvez le voir ci-dessous, les images ne s’affichent pas dans des photos ou sur un écran LCD.
Comment la précision est mesurée
Lorsque Microsoft parle de la précision de l’authentification faciale Windows Hello, il existe trois mesures principales utilisées : faux positifs, vrais positifs et faux négatifs.
| Terme | Faux positif | Vrai positif | Faux négatif |
|---|---|---|---|
| Description | Parfois également calculé comme un taux d'acceptation des faux, cela représente la probabilité qu’un utilisateur aléatoire ayant obtenu un accès physique à votre appareil soit reconnu comme étant vous. Ce nombre doit être aussi faible que possible. | Le taux de vrai positif représente la probabilité qu’un utilisateur soit correctement mis en correspondance avec son profil inscrit chaque fois qu’il se tient devant le capteur. Ce nombre doit être élevé. | Il représente la probabilité qu’un utilisateur ne soit pas mis en correspondance avec son profil inscrit. Ce nombre doit être faible. |
| Algorithme Windows 10 | Inférieur à 0,001 % ou 1/100 000 FAR/taux d'acceptation des faux | Supérieur à 95 % avec un seul utilisateur inscrit | Inférieur à 5 % avec un seul utilisateur inscrit |
La prise en compte des erreurs de mesure est importante. Microsoft les catégorise de deux manières : erreurs de biais (erreurs systématiques) et erreurs aléatoires (échantillonnage).
Erreurs de biais
Les erreurs de biais peuvent se produire en raison de l’absence d’utilisation de données représentatives des environnements et des conditions dans lesquelles l’algorithme est utilisé. Ce type d’erreur peut provenir de différentes conditions environnementales (comme l’éclairage, l’angle vers le capteur, la distance, etc.) ainsi que du matériel qui n’est pas représentatif des appareils expédiés.
Erreurs aléatoires
Les erreurs aléatoires proviennent de l’utilisation de données qui ne correspondent pas à la diversité de la population qui utilisera réellement la fonctionnalité. Par exemple, en se concentrant sur un petit ensemble de visages dépourvus de lunettes, de barbes ou de caractéristiques faciales uniques.
Sécurité de l'appareil photo externe
Il est fortement conseillé d'exécuter Windows Update en permanence et de vérifier que votre système est mis à jour avec les dernières mises à jour de sécurité, y compris les mises à jour publiées le 13 juillet 2021 afin d'améliorer la sécurité lors de l’utilisation de l'appareil photo Windows Hello décrit dans CVE-2021-34466. En outre, si vous souhaitez interdire complètement l’utilisation de l'appareil photo Hello externe, vous pouvez ajouter une valeur de registre facultative dans le chemin suivant.
Chemin du registre : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon
Valeur DWORD : ShouldForbidExternalCameras
Valeur: 1