Grâce à de fausses mains en cire, deux hackers ont montré qu'ils pouvaient déjouer des systèmes d'authentification par identification des veines. Ce système est pourtant réputé sécurisé.

Le système d’authentification par identification des veines permet de déverrouiller des appareils. Il est réputé plus sécurisé que l’authentification par reconnaissance d’empreintes digitales. Pourtant, des hackers ont réussi à le déjouer, a rapporté Motherboard le jeudi 27 décembre.

Une technologie utilisée dans des services de renseignement nationaux

Jan Krissler et Julian Albrecht ont fait leur démonstration lors de l’annuel Chaos Communication Congress, un rassemblement de hackers, sur un système d’authentification par analyse des veines.

Capture de la présentation des hackers, réalisée par Motherboard. // Source : Krissler, Albrecht / Motherboard

Ce dernier fonctionne comme un système d’authentification classique. Une personne scanne une première fois sa main ; la machine reconnaît et enregistre l’architecture de son réseau de veines, situé sous la peau. Grâce entres autres à la reconnaissance d’images, la machine est ensuite capable de l’identifier parmi d’autres.

Cette technologie n’est pas encore présente dans nos téléphones, le dispositif étant trop gros, mais elle est utilisée dans des lieux très sécurisés, comme des bâtiments dédiés à des services de renseignements nationaux. Certains imaginent aussi la substituer aux codes de cartes bancaires, ou aux clés d’ouverture des voitures.

Jan Krissler et Julian Albrecht ont réussi à déjouer ce système, réputé plus sécurisé que les empreintes digitales, grâce à de fausses mains réalisées en cire.

De fausses mains, avec de fausses veines

Motherboard raconte qu’ils ont commencé par prendre en photo, grâce à un appareil un peu trafiqué, leurs propres réseaux de veines. Ils ont ensuite créé de fausses mains, dans lesquelles ils ont inséré ces clichés. Ils ont démontré qu’ils pouvaient ainsi déjouer les systèmes d’authentification des marques Hitachi et Fujitsu. Or ces dernières représentent à elles deux la quasi totalité du marché.

Le procédé est relativement simple à mettre en place, une fois qu’on l’a compris, et que l’on a les bons outils. Les deux hackers estiment qu’il leur faudrait 15 minutes pour faire une nouvelle main truquée. Pour imaginer ce procédé, ils ont eu besoin de davantage de temps : 30 jours de recherche, et surtout, 2 500 tests infructueux.

Dans un communiqué transmis au média Heise Online, un porte-parole de Fujitsu a indiqué que la technique des deux hackers ne fonctionnerait qu’en laboratoire, et non en conditions réelles. Jan Krissler et Julian Albrecht ont en effet rencontré quelques problèmes à cause de la luminosité du hall du Chaos Communication Congress, qui faussait leur dispositif. Mais ils sont bien parvenus à le faire fonctionner finalement.

L’authentification par analyse de veines n’est pas la première à avoir été déjouée. Ces dernières années, des hackers ont déjà dévoilé de nombreuses failles. Jan Krissler – alias Starbug – lui-même avait détourné le Touch ID d’Apple, seulement 24 heures après sa sortie en Allemagne. Il a également prouvé que les systèmes de reconnaissance d’iris pouvaient être aisément trompés.

Crédit photo de la une : Flickr

Partager sur les réseaux sociaux