Une fausse main de cire pour pirater l'authentification veineuse

le 07 janvier 2019 à 09h30
0
0190000007457063-photo-main-veines.jpg

L'authentification veineuse est réputée pour être l'une des méthodes de reconnaissance les plus infaillibles. Pourtant, deux hackers ont réussi à tromper le système en utilisant une fausse main fabriquée en cire d'abeille.

Le principe de l'authentification veineuse est de scanner les veines de votre main et de les comparer à un modèle, afin de vous identifier. Particulièrement sophistiqué, ce système n'est aujourd'hui utilisé, en Europe, que pour l'accès à des bâtiments sous haute sécurité.

Une fabrication en un tour de main


Mais deux hackers allemands, Jan Krissler et Julian Albrecht, ont prouvé que le dispositif n'était en réalité pas à l'abri d'un piratage. Jan Krissler, également connu sous le nom de Starbug, s'était déjà distingué en craquant le système Touch ID d'Apple ou la technologie de reconnaissance d'iris.

Pour leurrer les dispositifs les plus répandus conçus par Fujistu et Hitachi, les deux chercheurs ont dû photographier des mains, à l'aide d'un reflex dépourvu de filtre infrarouge, pour voir apparaître le système veineux. Néanmoins, on imagine mal un hacker devoir jouer au paparazzi avec les mains de ses victimes... C'est pourquoi Krissler et Albrecht ont démontré qu'il était possible de miniaturiser l'appareil photo et de l'insérer, par exemple dans un sèche-main.

Après avoir traité l'image obtenue, il fallait alors créer une fausse main renfermant le système veineux capturé et imprimé. Les chercheurs sont parvenus à un résultat satisfaisant, en ayant recours à de la cire d'abeille, capable d'absorber une partie de la lumière du capteur. Ce processus de fabrication ne prendrait que 15 minutes.

Une menace balayée d'un revers de main


Le subterfuge ainsi créé présente toutefois des limites et nécessiterait quelques améliorations pour être vraiment efficace. Outre la difficulté à obtenir des images précises des mains de la future victime (si quelqu'un vous surprend en train de bricoler un sèche-main, vous allez sans doute paraître suspect), le dispositif aurait en effet besoin de conditions lumineuses particulières pour fonctionner.

C'est notamment ce qui a poussé un porte-parole de Fujitsu à minimiser la portée de cette expérience. Selon lui, la fausse main de cire ne pourrait pas tromper le système d'authentification veineuse dans la réalité.

Source : The Verge
Mots-clés : Hackers
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Les dernières actualités

Neo Geo Mini : trois éditions collector Samourai Shodown, limitées à 5000 exemplaires
Boostés par la fibre, les opérateurs ont réalisé des investissements record en 2018 (Arcep)
Après 4 ans, AMD rejoint la liste Fortune 500
Alt-Frequencies : la voix de la révolution (🎧 article à écouter)
Google Duo permet désormais les appels de groupe (comme son nom ne l'indique pas)
Tesla : Elon Musk prévoit des livraisons record ce trimestre
Freebox Delta : notre test complet du Player
Amazon préparerait un bracelet Alexa capable de comprendre les émotions
Élections européennes : des applis veulent vous aider à faire votre choix
NVIDIA sort un teaser
scroll top