Lors du Chaos Communication Congress, un hacker allemand a montré qu’il était possible de reconstituer une empreinte digitale depuis un simple lot de photos. Il ouvre ainsi la porte de ce qui semblait d’un côté de la science-fiction, mais qui n’était pour d’autres qu’une simple question de temps.
La biométrie n'a rien d'une panacée
La biométrie consiste à utiliser une empreinte physique, a priori unique. En termes de sécurité, ce sont les doigts et la rétine qui sont sur les devants de la scène, surtout les empreintes digitales. Présentes depuis longtemps en entreprises notamment, où les ordinateurs portables sont équipés parfois de lecteurs, elles ont surtout été popularisées auprès du grand public par Apple à partir de l’iPhone 5s. Les questions liées à la sécurité de ces informations étaient rapidement apparues.
Quelques jours à peine après la sortie du smartphone, les Allemands du Chaos Computer Club (CCC) avaient montré qu’à l’aide d’une photographie en haute résolution (2 400 dpi), d'un film transparent, de la colle à bois et du graphène en spray, il était possible de reconstituer l’empreinte d’une autre personne et donc de déverrouiller l’appareil. Pour Franck Rieger, président du CCC, cette technique démontrant « encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées et qu’elles devraient être évitées ». Un avis catégorique qu'il conviendra de nuancer, pour ne pas jeter le bébé avec l'eau du bain.
Une empreinte reconstituée depuis des photos
Mais lors du récent Chaos Communication Congress, le hacker allemand qui avait réalisé la technique, Jan Krissler, est allé plus loin pour démontrer que la biométrie ne pouvait pas être considérée comme une panacée en termes de sécurité. Surnommé Starbug, il a utilisé plusieurs photos en haute définition de la ministre allemande de la Défense, Ursula von der Leyen, dont une prise par lui-même à seulement 3 mètres et une autre fournie dans un communiqué de presse officiel. De là, il a réussi à obtenir une empreinte complète.
Il a utilisé pour cela un produit commercial, VeriFinger, afin de reconstituer la trame de l’empreinte de la ministre. Le fait de choisir une telle cible n’a rien d’anodin évidemment, Jan Krissler ayant voulu marquer les esprits. Il s’est d’ailleurs permis une petite plaisanterie en indiquant qu’après « cette conférence, les politiques vont sans doute porter des gants lorsqu’ils parlent en public ».
Le mot de passe reste plus sûr
En fait, comme souvent répété dans nos colonnes, la simplicité ne peut pas vraiment aller de pair avec l’efficacité d’une protection. Si l’opération est délicate, il reste possible d’obtenir l’empreinte digitale de quelqu’un à distance. Il faut ensuite accéder à l’appareil pour le déverrouiller, mais la méthode reste plus simple que précédemment. Mais pour beaucoup, l’empreinte représente un moyen de se passer des mots de passe, surtout quand ils deviennent nombreux et complexes. Et pourtant les mots de passe resteront sans doute bien plus sécurisés que les empreintes.
Comme l’expliquait en effet au Washington Post Jay Stanley, de l’ACLU (American Civil Liberties Union), « les empreintes biométriques ne sont pas des secrets… Idéalement, elles sont uniques pour chaque individu, mais ce n’est pas la même chose qu’un secret ». Un point de vue qui était partagé par Jan Krissler lui-même déjà en 2013 : « Je considère que mon mot de passe est plus sûr que mon empreinte digitale… Mon mot de passe est dans ma tête, je fais attention quand je le tape et je reste le seul à le connaître ». Sans parler du fait qu’à la grande différence d’une empreinte digitale, le mot de passe peut être changé. Il représente une contrainte, mais plus sa taille et sa complexité augmentent, meilleure est la protection.
Le danger de contournement de la biométrie reste conscrit dans certaines limites tant que la technologie est utilisée de manière locale. C’est le cas notamment de TouchID chez Apple puisque l’information ne quitte pas l’appareil. Elle est stockée dans la mémoire et est utilisée pour déverrouiller l’appareil ou valider un achat sur l’App Store. Il n’y a donc pas de transmission active de l’information biométrique, ce qui la rendrait interceptable. Mais la démonstration de Jan Krissler montre qu’avec un peu de préparation, l’accès physique à l’appareil serait le dernier rempart avant l’accès aux données.
Notons enfin qu'on ne parle ici que de la biométrie grand public et limitée à la seule empreinte digitale statique. Il existe par exemple des capteurs qui analysent en même temps le flux sanguin dans le doigt appliqué. Les capteurs embarqués dans les téléphones notamment ne disposent pas de ce type de subtilité et seront donc beaucoup plus simples à tromper.
