En Angleterre, une photo envoyée sur WhatsApp a servi à la police pour arrêter un dealer. Le cliché permettait de distinguer les doigts l’individu. Mais derrière cette affaire se cache une autre problématique.

Ce n’est pas parce que des messages sont envoyés et reçus dans une application qui propose du chiffrement de bout en bout qu’il est impossible de les lire. Il suffit en effet d’avoir accès à l’un des terminaux impliqués dans la conversation pour visualiser sans problème le déroulé de la discussion. C’est ce que vient de rappeler une affaire dans laquelle l’application WhatsApp est mêlée.

La BBC raconte qu’il a été possible de faire condamner les membres d’un gang au Royaume-Uni en se basant sur une photo montrant une main d’homme présentant un sachet et des comprimés d’ecstasy. L’image a été retrouvée par un enquêteur, dans le flux de discussion sur WhatsApp, alors qu’il travaillait sur un smartphone qui a été saisi par la police après une arrestation dans l’ouest du pays.

Nos confrères ne précisent pas comment les forces de l’ordre ont pu accéder au flux WhatsApp. Le scénario le plus plausible est qu’ils ont pu déverrouiller le téléphone de la personne, soit parce que celui-ci n’avait aucune protection, soit car que le code a été facile à trouver ou bien que l’individu arrêté à accepter de coopérer en donnant le mot de passe.

photo empreinte digitale

La fameuse photo trouvée dans WhatsApp.
Crédits : BBC

En effet, une fois cette étape franchie, l’accès à WhatsApp se fait sans aucun autre obstacle à franchir. Il n’y a pas de mot de passe à donner pour ouvrir l’appli et lire l’historique des échanges. Il est certes possible de verrouiller l’accès au logiciel, en se servant en particulier d’une application tierce dédiée à cela, mais ce n’est pas du tout la pratique la plus courante chez le grand public.

Quoi qu’il en soit, les autorités ont pu discerner sur ce cliché la pulpe des doigts de la main présentant ces cachets. Et qui dit pulpe des doigts dit dermatoglyphes, ces figures qui sont utilisées pour les empreintes digitales. Impossible toutefois de tester ces empreintes vues sur la photo avec les fichiers de la police, dans la mesure où les parties qui auraient pu vérifier une correspondance n’étaient pas visibles.

Cependant, fait savoir la BBC, d’autres éléments de preuve ont permis aux agents d’avoir une idée de l’identité de la personne à l’origine de ce trafic de produits stupéfiants. « Si les dimensions et la qualité de la photographie se sont révélées être un défi, les petites portions étaient suffisantes pour prouver que la personne était  bien le dealer », a confié un responsable de la police.

Valeria Boltneva

CC Valeria Boltneva

Visibilité des empreintes

Le fait divers raconté par la BBC soulève une problématique plus vaste sur la visibilité des empreintes digitales sur les photographies. Si elle a trouvé une utilisation positive dans le cas de figure raconté ci-dessus, elle peut aussi avoir un aspect beaucoup plus négatif : en laissant la pulpe de ses doigts, on prend le risque qu’elle puisse servir à un tiers malveillant qui en aurait besoin pour déverrouiller un terminal.

Certes, ce n’est pas le modèle de menace le plus courant auquel fait face le grand public : ça serait plutôt employé contre un dirigeant politique ou un chef d’entreprise, en clair une cible de grande valeur, plutôt que sur l’individu moyen — car outre la récupération de ces empreintes digitales, il faut aussi parvenir à subtiliser le terminal sur lequel cette sécurité est activée.

« La qualité des photos, même celles prises avec des smartphones est amplement suffisante pour en extraire les empreintes digitales »

Sur le plan technique, c’est en tout cas faisable grâce à la résolution des photographies qui est aujourd’hui très élevée. « La qualité des photos, même celles prises avec des smartphones est aujourd’hui amplement suffisante pour en extraire les empreintes digitales », confirme Isao Echizen, professeur à l’Institut national d’informatique au Japon, cité par Science & Vie.

Auteur d’une recherche sur le sujet dans laquelle il montre qu’à partir d’une photo prise à cinq mètres de distance et avec un appareil de 20 mégapixels, il est parvenu à reproduire ses empreintes sur un faux doigt et à tromper les capteurs. « Il est ensuite aisé de créer un faux doigt, en silicone ou autre, portant les empreintes volées, et avec celui-ci de tromper tous les capteurs du marché », estime-t-il.

https://www.youtube.com/watch?v=pIY6k4gvQsY

Il faut d’ailleurs se souvenir que lors de la 31ème conférence annuelle du Chaos Computer Club à Hambourg, fin 2014, Jan Krissler a démontré qu’il est possible de reproduire l’empreinte digitale d’un individu à partir de photographies prises avec un appareil photo standard. Le hacker allemand avait  réalisé sa démonstration en prenant une empreinte de la ministre de la Défense, Ursula von der Leyen.

Pour cela, il a récupéré des photos prises lors d’une conférence, dont l’une était un plan rapproché du pouce droit. Il a alors utilisé un logiciel d’identification biométrique proposé par VeriFinger pour extraire les caractéristiques de l’empreinte, en combinant plusieurs photos pour avoir la totalité de l’image. Attention, donc, à vos gestes « V de la victoire » sur vos selfies : ils pourraient vous desservir.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.