Une fausse main de cire pour pirater l'authentification veineuse

07 janvier 2019 à 09h30
5
0190000007457063-photo-main-veines.jpg

L'authentification veineuse est réputée pour être l'une des méthodes de reconnaissance les plus infaillibles. Pourtant, deux hackers ont réussi à tromper le système en utilisant une fausse main fabriquée en cire d'abeille.

Le principe de l'authentification veineuse est de scanner les veines de votre main et de les comparer à un modèle, afin de vous identifier. Particulièrement sophistiqué, ce système n'est aujourd'hui utilisé, en Europe, que pour l'accès à des bâtiments sous haute sécurité.

Une fabrication en un tour de main

Mais deux hackers allemands, Jan Krissler et Julian Albrecht, ont prouvé que le dispositif n'était en réalité pas à l'abri d'un piratage. Jan Krissler, également connu sous le nom de Starbug, s'était déjà distingué en craquant le système Touch ID d'Apple ou la technologie de reconnaissance d'iris.

Pour leurrer les dispositifs les plus répandus conçus par Fujistu et Hitachi, les deux chercheurs ont dû photographier des mains, à l'aide d'un reflex dépourvu de filtre infrarouge, pour voir apparaître le système veineux. Néanmoins, on imagine mal un hacker devoir jouer au paparazzi avec les mains de ses victimes... C'est pourquoi Krissler et Albrecht ont démontré qu'il était possible de miniaturiser l'appareil photo et de l'insérer, par exemple dans un sèche-main.

Après avoir traité l'image obtenue, il fallait alors créer une fausse main renfermant le système veineux capturé et imprimé. Les chercheurs sont parvenus à un résultat satisfaisant, en ayant recours à de la cire d'abeille, capable d'absorber une partie de la lumière du capteur. Ce processus de fabrication ne prendrait que 15 minutes.

Une menace balayée d'un revers de main

Le subterfuge ainsi créé présente toutefois des limites et nécessiterait quelques améliorations pour être vraiment efficace. Outre la difficulté à obtenir des images précises des mains de la future victime (si quelqu'un vous surprend en train de bricoler un sèche-main, vous allez sans doute paraître suspect), le dispositif aurait en effet besoin de conditions lumineuses particulières pour fonctionner.

C'est notamment ce qui a poussé un porte-parole de Fujitsu à minimiser la portée de cette expérience. Selon lui, la fausse main de cire ne pourrait pas tromper le système d'authentification veineuse dans la réalité.

Source : The Verge
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
0
Fodger
Et si l’individu a connu un traumatisme ?
ZiiD
Clair un petite radio + supplément photo IR offert par la maison. Bien sûr.<br /> Hé hop ! Clairement les seuls à pouvoir violer se système c’est une agence gouvernementales. Mais quand on sais que la CIA à accès à la quasi totalité des ordis de se monde. Et dans le cas de rentrer dans un bâtiment il suffit de soulever des gens ou les soudoyer. À quoi bon?
Momozemion
L’article explique que ça prend 15 minutes et que c’est accessible à n’importe qui, et selon toi, ça ne concerne que la CIA.<br /> Mieux, tu nous explique que glisser 5 sous dans une main font mieux.<br /> Dans le genre neuneu bien basique, t’es bon.
TNZ
C’est toute la saveur de l’authentification biométrique. On ne peut pas révoquer / renouveller une “clé”.
Momozemion
C’est au moins aussi savoureux de lire un commentaire d’un mec qui ne sait pas de quoi il parle.<br /> Il est bien évident que la clé peut être révoquée.
TNZ
Réfléchis un peu … en biométrique, tu ne peux pas changer tes empreintes. Une fois compromises, c’est foutu.<br /> Même si l’empreinte est sorti du système pour qu’elle ne puisse plus être utilisée, cela ne règle pas le problème de la “clé” renouvelée pour la personne légitime.<br /> La sécurité ne consiste pas à bloquer les intrus … cela consiste à s’assurer que les personnes légitimement autorisées puissent accéder à la ressource protégée.<br /> “le mec qui ne sait pas de quoi il parle” te salue bien … et t’invite à visionner d’urgence Idiocracy.
Voir tous les messages sur le forum

Actualités du moment

Dell : un brevet d'ordinateur portable à deux écrans détachables
Un premier rendu d'après des plans en fuite pour l'iPhone XI
CES 2019 - Withings Move ECG : la montre capable d’enregistrer un électrocardiogramme
Le CERN réalise la première radiographie 3D et couleur
Tesla Model 3 : le configurateur français a été mis en ligne
CES 2019 - Microsoft collabore avec Universal Electronics sur un assistant numérique
Google teste des « Cartes » info pour alléger les onglets de Chrome
L'Iran bloque un nouveau géant des réseaux sociaux : Instagram
Uber considéré comme « illégal » à Bruxelles
CES 2019 - Segway présente son robot livreur autonome et sa nouvelle trottinette électrique
Haut de page