Si auparavant s’identifier grâce à une empreinte digitale relevait de la fiction, aujourd’hui, ce procédé fait bel et bien partie de notre quotidien. Les derniers smartphones à la mode sont désormais équipés de capteur biométrique. Mais, c’était sans compter sur le Chaos Computer Club qui a récemment démontré, que déjouer cette sécurité est un jeu d’enfant. Voyons comment les hackers peuvent reproduire nos empreintes digitales.
Fait d’actualité
Jan Krissler, membre d’un groupe de hackers réputé, a fait mouche samedi 27 décembre dernier, lors de la 31e convention annuelle du Chaos Computer Club (CCC) qui s’est déroulé à Hambourg, en Allemagne. Notons que le CCC désigne la plus grande association de hackers d’Europe. Il s’agit d’un événement incontournable pour les meilleurs pirates informatiques au monde car il présente la question du piratage, de la sécurité et de la technologie sous divers angles et permet aux meilleurs hackers de s’informer sur les dernières découvertes. À cette occasion, Jan Krissler, couramment appelé par son pseudonyme Starbug, a choisi de révéler l’une de ses dernières découvertes. Il a alors mis le doigt sur une lacune dans les systèmes de sécurité biométriques. En effet, il serait possible de reproduire, de façon numérique, une empreinte digitale à partir de la plus simple des photos récupérées sur internet. Après avoir dévoilé ce fait, Jan Krissler a appuyé ses propos en présentant une empreinte digitale, que le pirate a réussi à reconstituer assez simplement : celle du pouce d’Ursula Von Der Leyen, ministre allemande de la Défense. C’est donc tout un système de protection qui est remis en cause à travers cette actualité.
Procédé
Il est possible de recueillir des empreintes digitales à partir de supports physique. Néanmoins, Jan Krissler a récemment ajouté que, pour ce faire, une photo peut suffire. En effet, afin de reconstruire l’empreinte digitale du pouce de la ministre Ursula Von Der Leyen, il a d’abord eu besoin d’une photo de presse datant d’octobre dernier, sur laquelle le pouce figurait en gros plan.
Par la suite, le pirate a utilisé d’autres photos de bonne résolution capturées sous divers angles, en complément de ses informations. Pour terminer, il a utilisé VeriFinger, un logiciel utilisé dans le cadre d’analyses biométriques, et qui est accessible au grand public. Ce dernier, lui a alors permis d’extraire la reconstitution des empreintes souhaitées. En définitive, un simple scan de photos diffusées sur la toile permet de récolter des empreintes digitales.
Suite à cette démonstration, Jan Krissler s’est amusé de la réplique suivant :
“Après cette démonstration, les politiciens vont probablement porter des gants quand ils parleront en public“
Il calme tout de même le grand public en affirmant que ce sont principalement les personnalités publiques exposées sur la toile qui seraient visées par ce piratage.
Voici la démonstration de Jan Krissler :
Faits passés
Il y a une dizaine d’années déjà, Jan Krissler dévoilait des techniques pour fabriquer des fausses empreintes digitales. Ces méthodes offraient alors la possibilité de déjouer la majorité des systèmes de sécurité biométriques. Et en 2008, c’est sur les empreintes du ministre de l’Intérieur allemand que le CCC s’était appuyé pour démontrer ses savoirs faires. Par la suite, l’association de hackers avait contourné le lecteur d’empreinte digitale de l’IPhone 5S dès sa sortie, grâce à une empreinte en latex. En septembre 2013, l’un des hackers du CCC avait piraté le Touch ID grâce à un doigt créé à partir de colle de bois sèche et d’une empreinte laissée sur une surface en verre. Enfin, en avril dernier, l’équipe des hackers de SRLabs, entreprise spécialisée dans la sécurité informatique, avait réussi à tromper les capteurs d’empreintes digitales présents sur les IPhone 6 et Galaxy S5 avec l’aide d’un objet en plastique créé avec une imprimante 3D. Ainsi, les hackers du monde entier savent détourner les systèmes de sécurité biométriques par différents moyens depuis plusieurs années. Nous pouvons donc en déduire que ce type de sécurité ne serait pas digne de confiance. Mais alors, existe-t-il une solution efficace pour se protéger des hackers ?
Préconisation
Comme nous l’avons vu, l’identification par empreinte digitale est loin d’être infaillible.
Le système de protection parfait ne semblerait pas encore être trouvé. Mais en attendant, la meilleure solution de sécurité resterait, sans doute, la multiplication de moyens différents comme les mots de passe, la double authentification et l’identification biométrique. De plus, rappelons qu’un bon choix de mot de passe reste la base en matière de sécurité.
Sources
- http://www.lefigaro.fr/secteur/high-tech/2014/12/30/01007-20141230ARTFIG00236-une-photo-suffit-pour-reproduire-une-empreinte-digitale-et-la-rendre-exploitable.php
- http://www.01net.com/editorial/627282/le-touch-id-de-l-iphone-6-aussi-facile-a-pirater-que-celui-de-l-iphone-5s/
- http://www.europe1.fr/high-tech/empreinte-digitale-la-securite-pointee-du-doigt-2330043
- http://www.usine-digitale.fr/editorial/ce-hacker-est-capable-de-reproduire-vos-empreintes-digitales-a-partir-de-photos-piochees-sur-le-web.N305390
- http://rue89.nouvelobs.com/2014/12/28/pirater-empreinte-digitale-cette-photo-suffit-256786