Sécurité : des fausses empreintes "passe-partout"

Les constructeurs de smartphones et autres terminaux mettent de plus en plus en avant les systèmes de sécurité biométriques installés sur leurs appareils. Si le scanner facial a déjà prouvé ses limites, les lecteurs d'empreintes restent en vogue. Sauf que, selon des chercheurs en sécurité informatique, ils sont facilement contournables grâce à de fausses empreintes digitales créées de toutes pièces.

De fait, les chercheurs ont réalisé de véritables passe-partout sous la forme de fausses empreintes digitales. Extrêmement puissantes, ces fausses empreintes n'ont pas seulement permis d'accéder au téléphone.

Les lecteurs d'empreintes facilement bernés ?


Bien que certains smartphones haut de gamme embarquent désormais un scanner de l'iris comme sécurité biométrique pour débloquer le smartphone et accéder à d'autres services comme les services de paiement, la sécurité la plus en vogue actuellement est l'empreinte digitale. Plus sûre qu'un simple code pin, en théorie, elle pourrait avoir atteint sa limite.

Samsung Galaxy Note 7 scanner iris

Ce sont des chercheurs en sécurité des universités de New York et du Michigan qui se sont penchés sur la question : est-il possible de tromper les scanners d'empreintes digitales ? Non pas un en particulier avec, par exemple, un duplicata de l'empreinte enregistrée. L'idée est de savoir s'il est possible de tromper tous les scanners dans le commerce.

Une empreinte "passe-partout" ?


Les constructeurs de smartphones savent que leurs lecteurs d'empreintes ne sont pas aussi fiables que ceux présents dans des systèmes ultra-sécurisés. Apple lui-même a déclaré que son lecteur a une chance sur 50 000 de valider l'empreinte d'un autre utilisateur. Une probabilité relativement faible mais qui montre déjà les limites du système.

Les chercheurs des universités de New-York et du Michigan sont allés plus loin. Ils ont créé une fausse empreinte en se basant sur des particularités repérées dans de nombreuses empreintes digitales différentes. Cette fausse empreinte serait en mesure de débloquer les smartphones et d'être utilisée pour toutes les opérations sécurisées comme le paiement ou l'accès a des dossiers cryptés.

Cette méthode doit néanmoins encore être testée : les chercheurs ne se basent que sur des simulations pour étayer leurs propos et n'ont pas encore essayé de débloquer des smartphones. Mais ils s'inquiètent de la possibilité réelle, pour un hacker, de créer une vraie empreinte passe-partout lui permettant de contourner la sécurité des smartphones voire de systèmes plus complexes.

Modifié le 11/04/2017 à 17h14
Commentaires