Une fausse main de cire pour pirater l'authentification veineuse

Bastien Contreras
07 janvier 2019 à 09h30
5
0190000007457063-photo-main-veines.jpg

L'authentification veineuse est réputée pour être l'une des méthodes de reconnaissance les plus infaillibles. Pourtant, deux hackers ont réussi à tromper le système en utilisant une fausse main fabriquée en cire d'abeille.

Le principe de l'authentification veineuse est de scanner les veines de votre main et de les comparer à un modèle, afin de vous identifier. Particulièrement sophistiqué, ce système n'est aujourd'hui utilisé, en Europe, que pour l'accès à des bâtiments sous haute sécurité.

Une fabrication en un tour de main

Mais deux hackers allemands, Jan Krissler et Julian Albrecht, ont prouvé que le dispositif n'était en réalité pas à l'abri d'un piratage. Jan Krissler, également connu sous le nom de Starbug, s'était déjà distingué en craquant le système Touch ID d'Apple ou la technologie de reconnaissance d'iris.

Pour leurrer les dispositifs les plus répandus conçus par Fujistu et Hitachi, les deux chercheurs ont dû photographier des mains, à l'aide d'un reflex dépourvu de filtre infrarouge, pour voir apparaître le système veineux. Néanmoins, on imagine mal un hacker devoir jouer au paparazzi avec les mains de ses victimes... C'est pourquoi Krissler et Albrecht ont démontré qu'il était possible de miniaturiser l'appareil photo et de l'insérer, par exemple dans un sèche-main.

Après avoir traité l'image obtenue, il fallait alors créer une fausse main renfermant le système veineux capturé et imprimé. Les chercheurs sont parvenus à un résultat satisfaisant, en ayant recours à de la cire d'abeille, capable d'absorber une partie de la lumière du capteur. Ce processus de fabrication ne prendrait que 15 minutes.

Une menace balayée d'un revers de main

Le subterfuge ainsi créé présente toutefois des limites et nécessiterait quelques améliorations pour être vraiment efficace. Outre la difficulté à obtenir des images précises des mains de la future victime (si quelqu'un vous surprend en train de bricoler un sèche-main, vous allez sans doute paraître suspect), le dispositif aurait en effet besoin de conditions lumineuses particulières pour fonctionner.

C'est notamment ce qui a poussé un porte-parole de Fujitsu à minimiser la portée de cette expérience. Selon lui, la fausse main de cire ne pourrait pas tromper le système d'authentification veineuse dans la réalité.

Source : The Verge
Bastien Contreras

Bastien Contreras

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autr...

Lire d'autres articles

Ingénieur télécom reconverti en rédacteur web. J'écris sur les high tech, les jeux vidéo, l'innovation... J'ai d'ailleurs été responsable d'accélérateur de startups ! Mais je vous réserve aussi d'autres surprises, que vous pourrez découvrir à travers mes articles... Et je suis là aussi si vous voulez parler actu sportive, notamment foot. Pour ceux qui ne connaissent pas, c'est comme du FIFA, mais ça fait plus mal aux jambes.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

Fodger
Et si l’individu a connu un traumatisme ?
ZiiD
Clair un petite radio + supplément photo IR offert par la maison. Bien sûr.<br /> Hé hop ! Clairement les seuls à pouvoir violer se système c’est une agence gouvernementales. Mais quand on sais que la CIA à accès à la quasi totalité des ordis de se monde. Et dans le cas de rentrer dans un bâtiment il suffit de soulever des gens ou les soudoyer. À quoi bon?
Momozemion
L’article explique que ça prend 15 minutes et que c’est accessible à n’importe qui, et selon toi, ça ne concerne que la CIA.<br /> Mieux, tu nous explique que glisser 5 sous dans une main font mieux.<br /> Dans le genre neuneu bien basique, t’es bon.
TNZ
C’est toute la saveur de l’authentification biométrique. On ne peut pas révoquer / renouveller une “clé”.
Momozemion
C’est au moins aussi savoureux de lire un commentaire d’un mec qui ne sait pas de quoi il parle.<br /> Il est bien évident que la clé peut être révoquée.
TNZ
Réfléchis un peu … en biométrique, tu ne peux pas changer tes empreintes. Une fois compromises, c’est foutu.<br /> Même si l’empreinte est sorti du système pour qu’elle ne puisse plus être utilisée, cela ne règle pas le problème de la “clé” renouvelée pour la personne légitime.<br /> La sécurité ne consiste pas à bloquer les intrus … cela consiste à s’assurer que les personnes légitimement autorisées puissent accéder à la ressource protégée.<br /> “le mec qui ne sait pas de quoi il parle” te salue bien … et t’invite à visionner d’urgence Idiocracy.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page