Lors du Chaos Communication Congress, un hacker allemand a montré qu’il était possible de reconstituer une empreinte digitale depuis un simple lot de photos. Il ouvre ainsi la porte de ce qui semblait d’un côté de la science-fiction, mais qui n’était pour d’autres qu’une simple question de temps.
La biométrie n'a rien d'une panacée
La biométrie consiste à utiliser une empreinte physique, a priori unique. En termes de sécurité, ce sont les doigts et la rétine qui sont sur les devants de la scène, surtout les empreintes digitales. Présentes depuis longtemps en entreprises notamment, où les ordinateurs portables sont équipés parfois de lecteurs, elles ont surtout été popularisées auprès du grand public par Apple à partir de l’iPhone 5s. Les questions liées à la sécurité de ces informations étaient rapidement apparues.
Quelques jours à peine après la sortie du smartphone, les Allemands du Chaos Computer Club (CCC) avaient montré qu’à l’aide d’une photographie en haute résolution (2 400 dpi), d'un film transparent, de la colle à bois et du graphène en spray, il était possible de reconstituer l’empreinte d’une autre personne et donc de déverrouiller l’appareil. Pour Franck Rieger, président du CCC, cette technique démontrant « encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées et qu’elles devraient être évitées ». Un avis catégorique qu'il conviendra de nuancer, pour ne pas jeter le bébé avec l'eau du bain.
Une empreinte reconstituée depuis des photos
Mais lors du récent Chaos Communication Congress, le hacker allemand qui avait réalisé la technique, Jan Krissler, est allé plus loin pour démontrer que la biométrie ne pouvait pas être considérée comme une panacée en termes de sécurité. Surnommé Starbug, il a utilisé plusieurs photos en haute définition de la ministre allemande de la Défense, Ursula von der Leyen, dont une prise par lui-même à seulement 3 mètres et une autre fournie dans un communiqué de presse officiel. De là, il a réussi à obtenir une empreinte complète.
Il a utilisé pour cela un produit commercial, VeriFinger, afin de reconstituer la trame de l’empreinte de la ministre. Le fait de choisir une telle cible n’a rien d’anodin évidemment, Jan Krissler ayant voulu marquer les esprits. Il s’est d’ailleurs permis une petite plaisanterie en indiquant qu’après « cette conférence, les politiques vont sans doute porter des gants lorsqu’ils parlent en public ».
Le mot de passe reste plus sûr
En fait, comme souvent répété dans nos colonnes, la simplicité ne peut pas vraiment aller de pair avec l’efficacité d’une protection. Si l’opération est délicate, il reste possible d’obtenir l’empreinte digitale de quelqu’un à distance. Il faut ensuite accéder à l’appareil pour le déverrouiller, mais la méthode reste plus simple que précédemment. Mais pour beaucoup, l’empreinte représente un moyen de se passer des mots de passe, surtout quand ils deviennent nombreux et complexes. Et pourtant les mots de passe resteront sans doute bien plus sécurisés que les empreintes.
Comme l’expliquait en effet au Washington Post Jay Stanley, de l’ACLU (American Civil Liberties Union), « les empreintes biométriques ne sont pas des secrets… Idéalement, elles sont uniques pour chaque individu, mais ce n’est pas la même chose qu’un secret ». Un point de vue qui était partagé par Jan Krissler lui-même déjà en 2013 : « Je considère que mon mot de passe est plus sûr que mon empreinte digitale… Mon mot de passe est dans ma tête, je fais attention quand je le tape et je reste le seul à le connaître ». Sans parler du fait qu’à la grande différence d’une empreinte digitale, le mot de passe peut être changé. Il représente une contrainte, mais plus sa taille et sa complexité augmentent, meilleure est la protection.
Le danger de contournement de la biométrie reste conscrit dans certaines limites tant que la technologie est utilisée de manière locale. C’est le cas notamment de TouchID chez Apple puisque l’information ne quitte pas l’appareil. Elle est stockée dans la mémoire et est utilisée pour déverrouiller l’appareil ou valider un achat sur l’App Store. Il n’y a donc pas de transmission active de l’information biométrique, ce qui la rendrait interceptable. Mais la démonstration de Jan Krissler montre qu’avec un peu de préparation, l’accès physique à l’appareil serait le dernier rempart avant l’accès aux données.
Notons enfin qu'on ne parle ici que de la biométrie grand public et limitée à la seule empreinte digitale statique. Il existe par exemple des capteurs qui analysent en même temps le flux sanguin dans le doigt appliqué. Les capteurs embarqués dans les téléphones notamment ne disposent pas de ce type de subtilité et seront donc beaucoup plus simples à tromper.
Commentaires (90)
#1
>>> graphène en spray,
" />
#2
C’est du carbone sous forme de feuilles de 1 atome d’épaisseur, qui semble-t-il est maintenant pulvérisable.
Il doit en résulter une fine couche très résistante, reproduisant ainsi les lignes de l’empreinte…
#3
Mac Gyver édition, toi aussi reproduit un œil avec de la pâte à sel et infiltre le pentagone !
Sinon en récupérant le téléphone, il est pas possible d’avoir l’empreinte ? ^^’
#4
#5
C’est assez drôle de voir ça en spray aujourd’hui alors qu’il y a quelques années, c’était un peu de la science fiction !
Mais en spray, la surface de chaque élément doit être assez petite… la colle doit être aussi importante comme pour de nombreux matériaux composites.
#6
Bof, empreinte digitale + mot de passe double facteur avec analyse de la fréquence de tape au clavier lors de la saisie et reconnaissance vocale en chantant un air d’opéra allemand et le tour est joué " />
#7
si pour la cas d’apple , au dos de la pareil ( à cause de leur écran autonettoyant) et pour les autre partout.
Cependant, il faut connaitre la technique et d’être habile de ces mains
#8
maintenant, j’ai le générique en tête ! c’est malin ça " />
#9
C’est la porte ouverte à l’essor de la reconnaissance d’empreinte génitale
#10
Notons enfin qu’on ne parle ici que de la biométrie grand public et limitée à la seule empreinte digitale statique. Il existe par exemple des capteurs qui analysent en même temps le flux sanguin dans le doigt appliqué. Les capteurs embarqués dans les téléphones notamment ne disposent pas de ce type de subtilité et seront donc beaucoup plus simples à tromper.
L’anneau autour du capteur de l’iphone n’est-il pas prévu pour justement détecter l’afflux sanguin ?
En tout cas très belle démonstration de Starbug, alliant ingéniosité et capacité d’intervention sur le terrain.
#11
#12
Je considère que mon mot de passe est plus sûr que mon empreinte digitale
Ouais… pour un membre du Chaos Computer Club, je veux bien le croire.
Mais pour Mme Michu, ca ne serait pas le contraire ???
#13
#14
Si, mais cela demanderait du temps. Ici, le hack est prêt et il suffit de mettre temporairement la main sur le terminal pour le déverrouiller instantanément et faire sa manip ni vu ni connu…
#15
#16
http://www.lidd.fr/lidd/18181-le-generique-macgyver-mais-sans-musique
" />
#17
va falloir faire plusieurs prises pour les cas où tu rentres bourré car la vitesse de frappe risque fortement de varier…
" />
#18
http://www.slate.fr/life/86265/graphene-materiau-revolutionnaire-mixeur
Facile " />
#19
#20
je l’ai vu qu’après " />
#21
Même pour un membre du chaos computer club. Qui est capable de retenir une trentaine de mots de passe tous différents et d’une importante complexité ? Et même avec ca, t’es pas toujours certain qu’une ferme de GPU soit pas capable de le bruteforcer.
#22
pour ne pas jeter le bébé avec l’eau du bain.
Elle est terrible cette expression.
#23
#24
#25
#26
Pour moi, ce qui est cher, c’est faire de longues feuilles de graphène, des “ flocons” sont plus facile à produire, et ne sont pas adaptés aux usages les plus “ populaires “
si quelqu’un à plus d’expérience avec le graphène … " />
Sinon pour la detection des veines, de ce que j’ai compris ils utilisent leurs doigts derrière la fausse emprunte, ce qui est suffisant pour berner la detéction
#27
Will It Blend?
#28
Pour les systèmes biométriques de l’œil, il suffit juste d’arracher bloc oculaire de la personne, et de présenter l’IRIS devant le système de reconnaissance et le tour est joué, bon, je ne sais pas au niveau de la durée de vie…
" />
#29
Ca c’est fort !
#30
Tant qu’il aura pas tester sur le téléphone de la dame " />
#31
Le doigt du slip est le plus sûr, pas celui de la main qui a tendance à toucher tout et n’importe quoi. " />
#32
Clair! Produire du graphène il y a dix ans était cher, long et très difficile. Aujourd’hui c’est presque facile.
Si tu veux aller plus loin, j’ai vu pas mal de publications scientifiques sur le graphène en spray.
#33
#34
#35
À moins que ce ne soit un moyen d’empêcher de maj une page facebook autrement qu’à jeun " />
#36
Il eut été plus simple de couper le doigt, mais bon….
#37
le doigt du slip aussi peut toucher tout et n’importe quoi …. parfois… " />
#38
#39
http://blog.kaspersky.com/password-check/
#40
#41
#42
#43
#44
“C’est le cas notamment de TouchID chez Apple puisque l’information ne quitte pas l’appareil.”
… avec les derniers accès à SS7 et/ou l’accès au BaseBand on a bien entendu accès à cette dernière.
Le mix des technologie est un des fondamentaux de la sécurité informatique donc on couple :
{+
]:=.4_v.wzx[T><&{>
2rsB5VGjw7^3%.\(Q\)b~:)6nbDZGiR-t;+q6$4+k”9’(Petit jeu amusant ici :https://alexcabal.com/creating-the-perfect-gpg-keypair/)
Là on tient un truc potable, tout mot de passe retenu par un cerveau l’est grâce à une logique : il est cassable, si la logique est connue.
…ah oui, détail oubliez TrueCrypt : les failles de sécurité du bsouin permettent le decryptage aisé des données !
#45
#46
#47
Perdu " />
Quand le mot de passe est trop compliqué, on pense à chaque lettre du mot de passe une par une.
#48
… du graphène… un peu d’esprit critique dans les commentaires ?
#49
#50
Pour récupérer une empreinte facilement il suffit d’avoir accès à un objet lisse utilisé par la personne. Comme un verre par exemple.
Là je me demande bien quel objectif il a bien pu mettre sur son reflex pour arriver à photographier l’empreinte de la ministre à 3 mètres…
#51
Le graphène a des propriétés physiques très intéressante pour l’électricité, mais aussi mécanique de part sa structure chimique et son arrangement (en hexagone, avec liaisons fortes).
Des revêtements de graphènes combinent les deux : on créer ainsi des circuits, sur des substrats fins et souple, et sans risque d’être cassés…
#52
#53
#54
Suffit d’avoir le mot de passe " /> " />
Déjà loin… [ ]
#55
#56
Empreinte numérique ! " />
Ah non, pas cette fois…
Sinon je suis sur le cul de voir que certains ont fait confiance à cette empreinte pour de la sécurité. Autant laisser le smartphone sans protection, c’est tout autant efficace. Et dire que les gus qui ont de telles idées gagnent mon poids en or tous les mois…
#57
cette technique démontrant « encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées et qu’elles devraient être évitées ». Un avis catégorique qu’il conviendra de nuancer, pour ne pas jeter le bébé avec l’eau du bain.
Je suis pourtant totalement d’accord avec lui et encore plus lorsque l’on peut maintenant valider des achats comme ça ! Va prouver que c’est pas ton pouce….
#58
#59
C’est du bête graphite et pas du graphène, y a simplement une petite coquille dans la news qui a suffit à faire partir en live les commentaires " />
#60
Bonsoir
Puce RFID implantée pour tous à la naissance.
Les français ne sont pas prêt !!!
#61
tu n’as qu’à demander à “Spit fyre”
#62
Avec tout le respect que je te dois :
“Pendant ma garde à vue, il y a eu une perquisition chez moi. Les
enquêteurs ont emportés sept disques durs et mon ordinateur portable.
Les deux disques de mon ordinateur principal étaient cryptés avec
TrueCrypt (mot de passe 119 caractères pour un, 23 pour l’autre, ndlr).
Ils ont décrypté le premier disque dur avec le mot de passe. Le second…
sans mot de passe ! Ils n’ont pas réussi à décrypter le disque dur de
mon ordinateur portable. Ce disque dur n’était pas crypté avec
TrueCrypt, mais avec le cryptage inclus dans l’installation de Linux
Mint. Bref, cela m’a confirmé qu’il semble bien y avoir une faille dans
TrueCrypt connue des forces de l’ordre.”
Encore un doute pour toi ?
#63
<HS> Le gamin aurai du faire çà</HS>
#64
#65
Tiens, ca c’est cadeau pour notre vie privee : https://www.google.fr/history
#66
si ça continue on pourra écouter un vinyle en le prenant en photo " />
#67
Tu viens de découvrir les cookies ?
#68
#69
#70
#71
http://www.leparisien.fr/faits-divers/un-doigt-humain-envoye-a-christiane-taubira-16-08-2012-2127044.php
#72
Cookies ?
Peux tu m’indiquer le moyen de localiser le cookies qui permet d’avoir tous cet historique sur le site de Google sur mon ordi ?
#73
#74
moi ce que je n’aime pas avec les capteurs d’empreinte digitale, c’est que celui qui veut vraiment vos données risque de vous couper le doigt…
pour moi la meilleure sécurité serait plutôt un double mot de passe, l’un déverrouillant l’appareil, l’autre le bloquant complètement ou ouvrant une session bidon.
#75
#76
Pour les mdp le plus simple à retenir pour l’homme et le plus compliqué à casser pour la machine est une phrase.
Mdp mail: LemotdepassedemaboitemailestMonchienestneen1998
Mdp téléphone :
JesaisplusmonMDPpourmontelmaisçacommenceparMadatedenaissancequiest1981
Bon courage pour casser ce style de mot de passe avec ton gpu
#77
#78
Ici tes phrases ont un sens… je ne suis pas aussi sûr de ce que tu avances du coup.
Par force brute, ça va sans doute être compliqué oui, par d’autres mécanismes, je me méfierai.
#79
Dans ce cas, des mots en latin à la façon de free, mais dans tous les cas, je suis persuadé que faire des mots plutôt qu’une suite de caractère est plus facile à mémoriser et évitera le post it à côté de l’écran et donc améliore la sécurité
De toute façon, la plupart des intrusions se font grâce au phishing donc mdp béton ou pas, il y aura toujours des failles
#80
#81
#82
J’ai trouvé ça : http://www.zataz.com/spit-fyre-interview-dun-pirate-francais-repenti/
Mais bon, les dires d’un gamin qui met une de ses partition chiffrée en auto-mount…
#83
" />
C’est quoi ce bordel à Charlie Hebdo ????? " />
" />" />" />" />" />" />
#84
Avec la généralisation des imprimantes 3D pas certain non.
#85
si tu as un compte google comme comme 90%(99% ?) des internautes … tu vas voir ta vie numérique défilée sous tes yeux !!
#86
#87
#88
t’es, un gars bien toi !
" />
#89
#90
Nos séries TV pourront enfin avoir quelques fondements un peu plus… réalistes !