Problemas dos modelos neurais na arte generativa computacional visual

1.3 Arquiteturas neurais usadas na arte generativa computacional

1.3.5 Problemas dos modelos neurais na arte generativa computacional visual

En plus de situer poser le cadre de nos travaux, cette description du stade TA1 va

permettre d’exhiber certaines limitations dont la r´esolution constituera le cœr du prochain

chapitre.

2.6.1 Limitations L0 et L1 ou le manque d’attributs diversifi´es

Les attributs pr´esent´es dans le profil utilisateur Ω (Figure 2.2) couvrent les objectifs

de type O2 et O3. En effet, les attributs pr´esent´es permettent principalement prouver

la possession du bon téléphone (IMEI, . . . ) et des bons logiciels (haché des librairies).

Malheureusement, elles ne couvrent pas les facteurs biom´etriques (FA-3 et FA-4) : ainsi,

la seule mani`ere pour que l’objectif global O4 soit rempli -et qu’une authentification TA

soit garantie- est de v´erifier la connaissance d’un mot de passe par l’utilisateur pour

assurer O1 (Limitation L0). R´ecemment, de plus en plus de solutions d’authentification

forte visent à se détacher de la combinaison classique FA-1 + FA-2 telle que décrite

dans l’exemple 1. En effet, l’objectif d’un bon nombre de solutions industrielles est de

proposer une authentification forte avec une expérience utilisateur améliorée : une solution

souvent envisag´ee est une transaction au cours de laquelle le rˆole de l’utilisateur sera moins

contraignant que de taper un mot de passe. Ainsi, il est donc requis d’´etudier de nouveaux

types d’attributs pour pouvoir potentiellement couvrir tous les facteurs d’authentification

tout en proposant des solutions plus adapt´ees [126].

La biom´etrie comme solution idoine ?

Ainsi les facteurs FA-3 et FA-4 apparaissent particuli`erement adapt´es aux limitations

soulev´ees. En particulier, le domaine de la biom´etrie physiologique (Facteur FA-3) voit

son intérêt décuplé depuis que de plus en plus de terminaux utilisateurs permettent d’y

avoir acc`es [75, 73, 74].

Cependant, trois limitations sont `a prendre compte lorsqu’il s’agit de biom´etrie. Les

deux premières sont d’ordre technologique alors que la dernière relève d’une limitation

th´eorique :

• la solution propos´ee par equensWorldline doit ˆetre utilisable par tous les terminaux

du march´e. Mˆeme si lecteurs d’empreinte digitale, modules de reconnaissance vocale

voire lecteurs d’iris se répandent ou tendent à se répandre [75, 76, 77, 74], ces

appareils sont les plus chers et on reste loin d’une d´emocratisation totale. Ainsi

d’autres données d’authentification doivent être considérées ;

smartphone Samsung Galaxy S6 permet seulement de dire si l’empreinte pr´esent´ee

correspond à l’utilisateur enrôlé. La réponse est donc binaire : oui s’il s’agit de

l’utilisateur l´egitime; non sinon. Il n’est donc pas possible de prouver la validit´e

du signal biométrique considéré. Cela en restreint l’usage à une authentification

en local seulement vis-à-vis du téléphone. alors que par concept, notre solution

d’authentification vise à générer des clés à partir de données utilisateurs identifiantes

pour en prouver la validit´e aupr`es d’un serveur d’authentification ;

• Dans l’hypothèse où les terminaux existants permettaient, de manière légitime,

d’accéder aux signaux biométriques, demeure la problématique d’authentification

à partir de telles données dans le respect de la vie privée. En effet, les empreintes

biométriques sont sujettes à des variations intrinsèques. En reprenant l’exemple

de l’empreinte digitale, plusieurs scans donneront autant de signaux diff´erents

empˆechant ainsi l’utilisation de techniques classiques telles que chiffrement et

fonction de hachage. Pour permettre une authentification sans ambigu¨ıt´e, il est

nécessaire d’avoir accès à ces signaux en clair.

Ce dernier point soulève deux problématiques fortement liées. En plus de la contrainte

sur le respect de la vie priv´ee (contrainte C2), si un serveur d’authentification poss´edant

les signaux biométriques de ses utilisateurs était attaqué, cela remettrait en question

la sécurité de tout autre système s’appuyant sur les même signaux biométriques. La

litt´erature regorge de travaux dont le but est d’allier authentification et biom´etrie dont le

domaine des Fuzzy Extractors [85, 13, 83,94] introduit au Chapitre .

Potentialit´e et limites des PUFs

Les PUFs, décrits au Chapitre 1 présentent, par manufacture, une source d’aléa

potentiellement exploitable. À challenge donné, une telle entité retourne théoriquement la

même clé en réponse à une stimulation. Pou répondre aux variations environnementales

qui auront tendance à impacter leur stabilité, l’usage de FEs a été proposé. Le

secret variable donné en entrée du FE consiste alors la sortie générée par le PUF.

Malheureusement, alors que certaines attaques peuvent limiter l’usage des PUFs [127,128],

notre objectif est de nous affranchir le plus possible d’éléménets matériels dans la

conception de nos solution. En effet, la solution TA est justement n´ee de ce type de

contrainte : si un élément matériel est mis en jeu pour assurer la sécurité de notre solution,

il nous faudra alors obtenir l’accord –et donc payer– le constructeur pour l’utiliser. Ce fut

le cas avec les op´erateurs mobiles dans le cadre des cartes SIM. D’autre part, alors que

les constructeurs munissent actuellement leurs smartphones d’environnements de calcul

sécurisés ou TEE[129], il n’est pas possible d’y accéder sans leur accord préalable.

Ainsi, nous limitons au maximum l’usage d’éléments matériels (dont equensWorldline

ne serait pas le propri´etaire) dans la conception de nos solutions.

D’autres sources de donn´ees identifiantes

Ainsi, au vu des contraintes C1 et C2 déjà identifiées, il est légitime de préciser que la

solution TA doit pouvoir s’instancier sur n’importe quel smartphone. En effet, mˆemes si

certains appareils g`erent certains signaux biom´etriques, ce n’est pas encore le cas de la

flotte du grand public et des données d’identification alternatives doivent être trouvées.

Ainsi, il faudra exhiber des attributs accessibles par l’application Appsur n’importe quel

terminal et permettant de r´epondre au facteur FA-3 ou FA-4. Cela conduit `a la contrainte

• C3. Un attribut au sens TA doit ˆetre accessible de mani`ere logicielle par

l’applicationAppinstall´ee sur le terminalT de l’utilisateurU. Cela doit se faire sans

déploiement de matériel dédié tel qu’un lecteur d’empreinte digitale ou un module

de reconnaissance par exemple.

La biom´etrie, au potentiel certain n’est pas encore exploitable pour r´epondre

aujourd’hui aux probl´ematiques business d’equensWorldline. Dans toute la suite, le

manque d’attributs diversifiés et adaptés sera noté comme étant la limitation L1.

2.6.2 Limitation L2 ou la gestion d’attributs variables

Les empreintes biométriques discutées précédemment sont des données qui peuvent varier

entre enrôlement et authentification tout en restant valides. Jusqu’ici, ne son considérés

dans le paradigme TA que les attributs pr´esentant des valeurs d’authentification ´egales

au valeurs d’enrˆolement (Figure 2.2). Cependant, afin d’augmenter l’entropie contenue

dans un profil utilisateur et de diversifier la nature des attributs (Limitation L1), nous

allons ´etudier (Chapitre 3) de nouveaux types d’attributs dont la variabilit´e rappellera les

problématiques liées aux empreintes biométriques. Ainsi, même si la biométrie est laissée

de cˆot´e car ne satisfaisant pas la contrainte C3, il faudra, pour le stade TA2, proposer une

solution d’authentification mettant en jeu de nouveaux types d’attributs (potentiellement

variables) tout en satisfaisant la contrainte CP et l’objectif O4. G´en´eralement, il n’est pas

évident de générer une clé (objectif O4) à partir de données variables. Nous nous référons

à cette problématique par la limitation L2, qui fait écho à celle des Fuzzy Extractors

(Chapitre ).

2.6.3 Limitation L3 ou l’importance d’un attribut

Par concept, l’authentification TA ainsi propos´ee (Figures2.3 et 2.4) consid`ere

d’importance ´egale les diff´erents attributs d’un profil utilisateur (Figure 2.2). En effet,

hacher la concat´enation des valeurs d’attributs implique que ces attributs sont suppos´es

de criticité équivalente : si l’une des valeurs d’attributs diffère, le secret sk ne sera

pas retrouvé et l’authentification échouera. Néanmoins, certains attributs apparaissent

plus importants que d’autres. Par exemple, l’IMEI doit évidemment être le même entre

enrˆolement et authentification alors que l’activation du WiFi ne revˆet pas, a priori, une

importance aussi capitale. L’id´ee d’introduire une hi´erarchie sur les attributs a alors

émergé pour proposer deux types de criticité :

• Fatal. Si un attribut de type fatal ne pr´esente pas une valeur d’authentification

jug´ee comme valide (i.e. relativement proche de la valeur d’enrˆolement),

l’authentification ´echouera.

• Warning. Si un attribut de type warning ne pr´esente pas une valeur

d’authentification jugée comme valide, on dira qu’un warning estlevé. Au-delà d’un

certain seuil T de warning lev´es, l’authentification d’un utilisateur doit ´echouer.

En fait l’id´ee est de dire que les attributs de type fatal caract´erisent pleinement

l’utilisateur et que leur non respect doit alors entraˆıner un ´echec de l’authentification.

D’autre part, les attributs de type warning constituent un faisceau de pr´esomption. Si

trop d’incohérences y apparaissent, i.e. un nombre de warning levés supérieur à T, alors

l’authentification ´echouera.

La solution, telle que propos´ee au stade TA1 ne permet donc pas de faire le distingo

Warning/Fatal. Une premi`ere parade serait d’appliquer ind´ependamment une fonction de

hachage sur chaque valeur d’attribut. Ainsi, consid´erantnattributs, il serait n´ecessaire de

calculer n empreintes d’attributs par l’usage d’une fonction de hachage et de g´en´erer les

preuves d’authentification associ´ees. Pour g´erer les warnings, le serveur d’authentification

tol´ererait alors des preuves invalides pour au plus T attributs estampill´es ”warning”. Au

delà de son inélégance, cette solution présente deux limitations:

• Le serveur apprend quels sont les attributs de type warning qui n’ont pas ´et´e

authentifi´es. Cette situation va `a l’encontre de a contrainte C2 puisque le serveur

apprendrait de l’information sur l’utilisateur ;

• D’autre part, le peu d’entropie contenu dans certains attributs (e.g. activation

du WiFi, d´efinition de l’´ecran) ne permet pas une gestion individuelle. En effet,

tester de mani`ere exhaustive toutes les valeurs possibles pour une empreinte pourrait

permettre d’en apprendre sa valeur v´eritable, allant une fois encore `a l’encontre de

la contrainte C2.

Dans toute la suite, nous nous référerons à la limitation ci-dessus par l’appellation L3.

No documento Construção de modelos neurais para criação de arte generativa visual (páginas 42-47)

Problemas dos modelos neurais na arte generativa computacional visual

1.3 Arquiteturas neurais usadas na arte generativa computacional

1.3.5 Problemas dos modelos neurais na arte generativa computacional visual

En plus de situer poser le cadre de nos travaux, cette description du stade TA1 va

permettre d’exhiber certaines limitations dont la r´esolution constituera le cœr du prochain

chapitre.

2.6.1 Limitations L0 et L1 ou le manque d’attributs diversifi´es

Les attributs pr´esent´es dans le profil utilisateur Ω (Figure 2.2) couvrent les objectifs

de type O2 et O3. En effet, les attributs pr´esent´es permettent principalement prouver

la possession du bon téléphone (IMEI, . . . ) et des bons logiciels (haché des librairies).

Malheureusement, elles ne couvrent pas les facteurs biom´etriques (FA-3 et FA-4) : ainsi,

la seule mani`ere pour que l’objectif global O4 soit rempli -et qu’une authentification TA

soit garantie- est de v´erifier la connaissance d’un mot de passe par l’utilisateur pour

assurer O1 (Limitation L0). R´ecemment, de plus en plus de solutions d’authentification

forte visent à se détacher de la combinaison classique FA-1 + FA-2 telle que décrite

dans l’exemple 1. En effet, l’objectif d’un bon nombre de solutions industrielles est de

proposer une authentification forte avec une expérience utilisateur améliorée : une solution

souvent envisag´ee est une transaction au cours de laquelle le rˆole de l’utilisateur sera moins

contraignant que de taper un mot de passe. Ainsi, il est donc requis d’´etudier de nouveaux

types d’attributs pour pouvoir potentiellement couvrir tous les facteurs d’authentification

tout en proposant des solutions plus adapt´ees [126].

La biom´etrie comme solution idoine ?

Ainsi les facteurs FA-3 et FA-4 apparaissent particuli`erement adapt´es aux limitations

soulev´ees. En particulier, le domaine de la biom´etrie physiologique (Facteur FA-3) voit

son intérêt décuplé depuis que de plus en plus de terminaux utilisateurs permettent d’y

avoir acc`es [75, 73, 74].

Cependant, trois limitations sont `a prendre compte lorsqu’il s’agit de biom´etrie. Les

deux premières sont d’ordre technologique alors que la dernière relève d’une limitation

th´eorique :

• la solution propos´ee par equensWorldline doit ˆetre utilisable par tous les terminaux

du march´e. Mˆeme si lecteurs d’empreinte digitale, modules de reconnaissance vocale

voire lecteurs d’iris se répandent ou tendent à se répandre [75, 76, 77, 74], ces

appareils sont les plus chers et on reste loin d’une d´emocratisation totale. Ainsi

d’autres données d’authentification doivent être considérées ;

smartphone Samsung Galaxy S6 permet seulement de dire si l’empreinte pr´esent´ee

correspond à l’utilisateur enrôlé. La réponse est donc binaire : oui s’il s’agit de

l’utilisateur l´egitime; non sinon. Il n’est donc pas possible de prouver la validit´e

du signal biométrique considéré. Cela en restreint l’usage à une authentification

en local seulement vis-à-vis du téléphone. alors que par concept, notre solution

d’authentification vise à générer des clés à partir de données utilisateurs identifiantes

pour en prouver la validit´e aupr`es d’un serveur d’authentification ;

• Dans l’hypothèse où les terminaux existants permettaient, de manière légitime,

d’accéder aux signaux biométriques, demeure la problématique d’authentification

à partir de telles données dans le respect de la vie privée. En effet, les empreintes

biométriques sont sujettes à des variations intrinsèques. En reprenant l’exemple

de l’empreinte digitale, plusieurs scans donneront autant de signaux diff´erents

empˆechant ainsi l’utilisation de techniques classiques telles que chiffrement et

fonction de hachage. Pour permettre une authentification sans ambigu¨ıt´e, il est

nécessaire d’avoir accès à ces signaux en clair.

Ce dernier point soulève deux problématiques fortement liées. En plus de la contrainte

sur le respect de la vie priv´ee (contrainte C2), si un serveur d’authentification poss´edant

les signaux biométriques de ses utilisateurs était attaqué, cela remettrait en question

la sécurité de tout autre système s’appuyant sur les même signaux biométriques. La

litt´erature regorge de travaux dont le but est d’allier authentification et biom´etrie dont le

domaine des Fuzzy Extractors [85, 13, 83,94] introduit au Chapitre .

Potentialit´e et limites des PUFs

Les PUFs, décrits au Chapitre 1 présentent, par manufacture, une source d’aléa

potentiellement exploitable. À challenge donné, une telle entité retourne théoriquement la

même clé en réponse à une stimulation. Pou répondre aux variations environnementales

qui auront tendance à impacter leur stabilité, l’usage de FEs a été proposé. Le

secret variable donné en entrée du FE consiste alors la sortie générée par le PUF.

Malheureusement, alors que certaines attaques peuvent limiter l’usage des PUFs [127,128],

notre objectif est de nous affranchir le plus possible d’éléménets matériels dans la

conception de nos solution. En effet, la solution TA est justement n´ee de ce type de

contrainte : si un élément matériel est mis en jeu pour assurer la sécurité de notre solution,

il nous faudra alors obtenir l’accord –et donc payer– le constructeur pour l’utiliser. Ce fut

le cas avec les op´erateurs mobiles dans le cadre des cartes SIM. D’autre part, alors que

les constructeurs munissent actuellement leurs smartphones d’environnements de calcul

sécurisés ou TEE[129], il n’est pas possible d’y accéder sans leur accord préalable.

Ainsi, nous limitons au maximum l’usage d’éléments matériels (dont equensWorldline

ne serait pas le propri´etaire) dans la conception de nos solutions.

D’autres sources de donn´ees identifiantes

Ainsi, au vu des contraintes C1 et C2 déjà identifiées, il est légitime de préciser que la

solution TA doit pouvoir s’instancier sur n’importe quel smartphone. En effet, mˆemes si

certains appareils g`erent certains signaux biom´etriques, ce n’est pas encore le cas de la

flotte du grand public et des données d’identification alternatives doivent être trouvées.

Ainsi, il faudra exhiber des attributs accessibles par l’application Appsur n’importe quel

terminal et permettant de r´epondre au facteur FA-3 ou FA-4. Cela conduit `a la contrainte

suivante :

• C3. Un attribut au sens TA doit ˆetre accessible de mani`ere logicielle par