Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Il est possible de reconstituer une empreinte digitale depuis des photos

Un point supplémentaire pour les mots de passe
Logiciel 4 min
Il est possible de reconstituer une empreinte digitale depuis des photos
Crédits : Johan Swanepoel/iStock/ThinkStock

Lors du Chaos Communication Congress, un hacker allemand a montré qu’il était possible de reconstituer une empreinte digitale depuis un simple lot de photos. Il ouvre ainsi la porte de ce qui semblait d’un côté de la science-fiction, mais qui n’était pour d’autres qu’une simple question de temps.

La biométrie n'a rien d'une panacée

La biométrie consiste à utiliser une empreinte physique, a priori unique. En termes de sécurité, ce sont les doigts et la rétine qui sont sur les devants de la scène, surtout les empreintes digitales. Présentes depuis longtemps en entreprises notamment, où les ordinateurs portables sont équipés parfois de lecteurs, elles ont surtout été popularisées auprès du grand public par Apple à partir de l’iPhone 5s. Les questions liées à la sécurité de ces informations étaient rapidement apparues.

Quelques jours à peine après la sortie du smartphone, les Allemands du Chaos Computer Club (CCC) avaient montré qu’à l’aide d’une photographie en haute résolution (2 400 dpi), d'un film transparent, de la colle à bois et du graphène en spray, il était possible de reconstituer l’empreinte d’une autre personne et donc de déverrouiller l’appareil. Pour Franck Rieger, président du CCC, cette technique démontrant « encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées et qu’elles devraient être évitées ».  Un avis catégorique qu'il conviendra de nuancer, pour ne pas jeter le bébé avec l'eau du bain.

Une empreinte reconstituée depuis des photos

Mais lors du récent Chaos Communication Congress, le hacker allemand qui avait réalisé la technique, Jan Krissler, est allé plus loin pour démontrer que la biométrie ne pouvait pas être considérée comme une panacée en termes de sécurité. Surnommé Starbug, il a utilisé plusieurs photos en haute définition de la ministre allemande de la Défense, Ursula von der Leyen, dont une prise par lui-même à seulement 3 mètres et une autre fournie dans un communiqué de presse officiel. De là, il a réussi à obtenir une empreinte complète.

Il a utilisé pour cela un produit commercial, VeriFinger, afin de reconstituer la trame de l’empreinte de la ministre. Le fait de choisir une telle cible n’a rien d’anodin évidemment, Jan Krissler ayant voulu marquer les esprits. Il s’est d’ailleurs permis une petite plaisanterie en indiquant qu’après « cette conférence, les politiques vont sans doute porter des gants lorsqu’ils parlent en public ».

Jan Krissler empreinte digitale

Le mot de passe reste plus sûr

En fait, comme souvent répété dans nos colonnes, la simplicité ne peut pas vraiment aller de pair avec l’efficacité d’une protection. Si l’opération est délicate, il reste possible d’obtenir l’empreinte digitale de quelqu’un à distance. Il faut ensuite accéder à l’appareil pour le déverrouiller, mais la méthode reste plus simple que précédemment. Mais pour beaucoup, l’empreinte représente un moyen de se passer des mots de passe, surtout quand ils deviennent nombreux et complexes. Et pourtant les mots de passe resteront sans doute bien plus sécurisés que les empreintes.

Comme l’expliquait en effet au Washington Post Jay Stanley, de l’ACLU (American Civil Liberties Union), « les empreintes biométriques ne sont pas des secrets… Idéalement, elles sont uniques pour chaque individu, mais ce n’est pas la même chose qu’un secret ». Un point de vue qui était partagé par Jan Krissler lui-même déjà en 2013 : « Je considère que mon mot de passe est plus sûr que mon empreinte digitale… Mon mot de passe est dans ma tête, je fais attention quand je le tape et je reste le seul à le connaître ». Sans parler du fait qu’à la grande différence d’une empreinte digitale, le mot de passe peut être changé. Il représente une contrainte, mais plus sa taille et sa complexité augmentent, meilleure est la protection.

Le danger de contournement de la biométrie reste conscrit dans certaines limites tant que la technologie est utilisée de manière locale. C’est le cas notamment de TouchID chez Apple puisque l’information ne quitte pas l’appareil. Elle est stockée dans la mémoire et est utilisée pour déverrouiller l’appareil ou valider un achat sur l’App Store. Il n’y a donc pas de transmission active de l’information biométrique, ce qui la rendrait interceptable. Mais la démonstration de Jan Krissler montre qu’avec un peu de préparation, l’accès physique à l’appareil serait le dernier rempart avant l’accès aux données.

Notons enfin qu'on ne parle ici que de la biométrie grand public et limitée à la seule empreinte digitale statique. Il existe par exemple des capteurs qui analysent en même temps le flux sanguin dans le doigt appliqué. Les capteurs embarqués dans les téléphones notamment ne disposent pas de ce type de subtilité et seront donc beaucoup plus simples à tromper.

 

90 commentaires
Avatar de Nikodym INpactien
Avatar de NikodymNikodym- 06/01/15 à 15:55:45

>>> graphène en spray,
:zarb:

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 06/01/15 à 16:06:43

C'est du carbone sous forme de feuilles de 1 atome d'épaisseur, qui semble-t-il est maintenant pulvérisable.

Il doit en résulter une fine couche très résistante, reproduisant ainsi les lignes de l'empreinte...

Avatar de XalG INpactien
Avatar de XalGXalG- 06/01/15 à 16:06:52

Mac Gyver édition, toi aussi reproduit un œil avec de la pâte à sel et infiltre le pentagone !

Sinon en récupérant le téléphone, il est pas possible d'avoir l'empreinte ? ^^'

Avatar de Hadlar Abonné
Avatar de HadlarHadlar- 06/01/15 à 16:09:25

XalG a écrit :

Mac Gyver édition, toi aussi reproduit un œil avec de la pâte à sel et infiltre le pentagone !

Sinon en récupérant le téléphone, il est pas possible d'avoir l'empreinte ? ^^'

:)

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 06/01/15 à 16:09:27

C'est assez drôle de voir ça en spray aujourd'hui alors qu'il y a quelques années, c'était un peu de la science fiction !
Mais en spray, la surface de chaque élément doit être assez petite... la colle doit être aussi importante comme pour de nombreux matériaux composites.

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 06/01/15 à 16:11:28

Bof, empreinte digitale + mot de passe double facteur avec analyse de la fréquence de tape au clavier lors de la saisie et reconnaissance vocale en chantant un air d'opéra allemand et le tour est joué :transpi:

Avatar de candriant INpactien
Avatar de candriantcandriant- 06/01/15 à 16:12:02

si pour la cas d'apple , au dos de la pareil ( à cause de leur écran autonettoyant) et pour les autre partout.

Cependant, il faut connaitre la technique et d'être habile de ces mains

Avatar de feuille_de_lune INpactien
Avatar de feuille_de_lunefeuille_de_lune- 06/01/15 à 16:12:03

maintenant, j'ai le générique en tête ! c'est malin ça :cartonjaune:

Avatar de uzak INpactien
Avatar de uzakuzak- 06/01/15 à 16:12:40

C'est la porte ouverte à l'essor de la reconnaissance d'empreinte génitale

Avatar de Nikodym INpactien
Avatar de NikodymNikodym- 06/01/15 à 16:14:02

Notons enfin qu'on ne parle ici que de la biométrie grand public et limitée à la seule empreinte digitale statique. Il existe par exemple des capteurs qui analysent en même temps le flux sanguin dans le doigt appliqué. Les capteurs embarqués dans les téléphones notamment ne disposent pas de ce type de subtilité et seront donc beaucoup plus simples à tromper.

L'anneau autour du capteur de l'iphone n'est-il pas prévu pour justement détecter l'afflux sanguin ?

En tout cas très belle démonstration de Starbug, alliant ingéniosité et capacité d'intervention sur le terrain.

Il n'est plus possible de commenter cette actualité.
Page 1 / 9