Des chercheurs en sécurité ont mis au point une méthode pour usurper des empreintes digitales dans certains modèles de capteurs intégrés sur les smartphones.

Dans les films d’action, les protagonistes doivent parfois pénétrer dans une zone à accès contrôlé par un capteur d’empreintes digitales. Et pour y arriver, ils réussissent souvent à copier l’empreinte digitale d’une personne ayant accès à la pièce (souvent en lui coupant le doigt, d’accord). De nos jours, des millions d’appareils mobiles utilisent des capteurs d’empreintes digitales pour être déverrouillés, et ce scénario ne tient plus de la fiction.

Nous avions déjà parlé en 2014 de la performance du Chaos Computer Club de Berlin, la célèbre organisation de hackers qui avait réussi à s’authentifier sur un iPhone 5S en utilisant une fausse empreinte digitale. Mais la technique était alors assez complexe à mettre en place et demandait une certaine expérience — et du temps.

Mais des chercheurs de l’Université d’État du Michigan ont mis au point une nouvelle technique, plus rapide, plus économique et relativement plus simple pour débloquer certains capteurs d’empreintes digitales.

La méthode consiste à scanner et imprimer une photo de l’empreinte digitale que l’on souhaite imiter. Elle repose sur l’utilisation d’une imprimante Brother que l’on peut trouver dans le commerce pour environ 400 $ ainsi que sur du papier photo et une encre conductrice en argent conçus par le fabricant japonais AgIC. La procédure qui peut être réalisée en une quinzaine de minutes est expliquée dans un rapport technique publié le 20 février 2016.

Les chercheurs Anil Jain et Kai Cao ont testé quatre téléphones : un Samsung Galaxy S6, un Huawei Honor 7, un iPhone 5S et un Meizu MX4 Pro. Leur technique a fonctionné sur le capteur du Galaxy S6 et du Honor 7. Kai Cao a affirmé au magazine Quartz qu’il avait même réussi à débloquer le capteur de l’iPhone 5S, sans réussir à reproduire l’expérience lors de la rédaction du rapport technique.

« Nous l’avions débloqué dans un premier temps, mais quand nous avons préparé le rapport, je n’arrivais plus à débloquer l’iPhone. J’ai utilisé le même protocole et la même méthode. Je ne suis pas sûr de savoir pourquoi ça n’a pas marché ».

Dans leur rapport, les chercheurs clament que leur technique pourrait permettre « aux hackers de générer de nombreuses copies en utilisant la reconstruction d’empreinte ou des techniques de synthèse, qui sont plus faciles que les copies d’empreintes en 2,5D ». À mesure que les capteurs d’empreintes se démocratisent, même au sein de smartphones de milieu de gamme, les chercheurs insistent sur la nécessité de « développer des techniques contre l’usurpation d’empreintes digitales ».

Des entreprises comme NexID développent quant à elles des capteurs biométriques qui peuvent vérifier la présence d’une pulsation du flux sanguin dans le doigt.

Partager sur les réseaux sociaux

Articles liés