Discussion :

[Michael Guilloux]

Piratage des empreintes digitales biométriques : de nouvelles méthodes basées sur de simples photographies

Des chercheurs en sécurité ont découvert de nouvelles méthodes pour pirater les empreintes digitales seulement à partir d'une photo des doigts de la victime. Ces méthodes ont été présentées au Chaos Communication Congress, conférence annuelle sur la sécurité. L’une de leurs méthodes a été utilisée pour le clonage des empreintes de la ministre allemande de la défense, après avoir photographié sa main lors d'une conférence de presse en octobre.

Par le passé, le vol d'empreintes digitales à son propriétaire étaient possibles si la personne avait touché un objet avec une surface polie, comme un verre ou un smartphone. Mais avec ces nouvelles façons de recueillir des attributs biométriques, il n'y aura plus besoin de voler des objets portant les empreintes digitales.

Dans une présentation, Jan Krisller allias Starbug, spécialiste de la biométrie et membre du Chaos Computer Club, a expliqué comment il avait pris une série de photographies de la ministre allemande Ursula Von Der Leyen quand elle a donné une conférence de presse en Octobre. Dans son discours, il explique comment à partir de ces photos, il a pu obtenir les empreintes de Von Der Leyen pour passer la sécurité d’un iPhone. « Après ce discours, les politiciens vont vraisemblablement porter des gants quand ils parlent en public», a déclaré Starbug.

Krisller a utilisé un objectif avec une distance focale de 200 mm et a tiré les clichés à une distance de six pieds, a-t-il dit. Il a ensuite utilisé le logiciel commercial d'empreintes digitales de VeriFinger pour tracer les contours de l'empreinte du pouce de la ministre.

Pour obtenir quelque chose qui pourrait être utilisé sur un scanner biométrique, il a employé une technique qu'il a démontrée lors de la conférence de l'an dernier. La technique emploie des photographies numériques, des matériaux souples, et les imprimantes laser pour créer de fausses empreintes digitales.

Krisller a imprimé l'image du doigt de Von Der Leyen sur une feuille transparente en utilisant autant de toner que possible. Il a ensuite versé une couche de lait de latex ou de la colle à bois sur la feuille. Le résultat est qu'après avoir enlevé la couche, celle-ci a capturé une empreinte que Starbug a pu utiliser pour déverrouiller un iPhone.

Starbug dit que la recherche l'a incité à chercher d'autres moyens d'utiliser la photographie pour passer la sécurité biométrique, par exemple, pour copier l'empreinte de l'iris de la chancelière allemande Angela Merkel. En utilisant des images à haute résolution de ses matériels de campagne électorale, dit-il, il est possible d'obtenir une image qui pourrait tromper un scanner d'iris basique.

Cette découverte est la preuve incontestable qu'il n'y a plus de mesure de sécurité fiable à 100%. Le mieux que nous puissions faire est de rendre les attaques plus difficiles et améliorer la détection de l'événement afin que les brèches puissent être colmatées rapidement. Cela nous interpelle à prendre d'autres mesures de sécurité en complément de l'utilisation des empreintes digitales. Cette découverte vient davantage remettre en cause les revendications de sécurité par les fournisseurs de systèmes d'empreintes digitales.

Source : Chaos Computer Club

Et vous ?

Existe-t-il un moyen de sécurité fiable ?

[Saverok]

Existe-t-il un moyen de sécurité fiable ?

Je pense qu'un seul et unique moyen de sécurité ne peut pas être totalement fiable
L'expérience nous montre qu'à un moment donné, on fini toujours par trouver une faille
Par contre, à partir du moment où l'on associe plusieurs moyens, le niveau de sécurité augmente exponentiellement

[23JFK]

Nos politiques n'ont plus qu'à investir massivement dans le plug anal biométrique.

[earhater]

Pour en revenir à la news, j'ai toujours trouvé que les empreintes digitales étaient un bon moyen de sécurité difficilement volables (sauf si l'on peut approcher a cible mais sur internet en lui même c'est difficile d'avoir les emprintes de madame michu). C'est assez hallucinant à recréer ces empreintes à partir d'une simple photographie prise à quelques mètres de distance.

[Zefling]

Je ne parle pas en pieds. Je pensais que ça faisait 2 mètres, mais non, presque : 1,8288 mètre.

[Chauve souris]

Jamais compris que les empreintes digitales puissent être un moyen de validation. Par définition elles traînent partout puisque l'identité judiciaire s'en sert depuis ses origines. Certes elles sont personnelles mais aussi publiques vu leur diffusion involontaire. Dans un "Benjamin Gates" on montre comment les récupérer d'après un verre, sur un gant en latex avec de la ninhydrine, révélateur classique des acides aminés (anecdote : dans mes TP de biochimie je n'étais pas très soigneux et les révélations d'acides aminés sur la feuille de chromatographie étaient entourées de marques de mes empreintes). Donc un gadget coûteux qu'on introduit dans les portables sans aucune valeur de sécurité. Au moins la carte à puce on ne peut que l'oublier (ou se la faire voler) mais elle ne se duplique pas toute seule. Et puis c'est si compliqué de mémoriser une passphrase ? Par exemple, pour Pignouf, "C'est#La#Lutte@Finale1917"

[vampirella]

A l'heure actuelle, on considère trois paramètres pour définir une sécurité :

• ce que l'on sait (ex : mot de passe)
• ce que l'on a (ex : clé, carte, ...)
• ce que l'on est (ex : empreinte digitale, comportement, ...)

A partir de là, la seule sécurité "la plus fiable" consiste en une combinaison des trois. En pratique, on ne dépasse pas deux paramètres pour le grand public.

EDIT : ce dont je suis curieux concernant la photographie de la main, c'est à partir de degré de rotation de la main cette méthode devient valable ? J'imagine qu'il n'y a aucun problème pour une main photographié paume en avant et que cela devient impossible à partir d'un main "de profil", sur le côté ... mais entre les deux ? ^^

[Glutinus]

Ce n'est plus de la science-fiction...

On a rejoint les niveau des Experts !

[disedorgue]

Bonjour,

EDIT : ce dont je suis curieux concernant la photographie de la main, c'est à partir de degré de rotation de la main cette méthode devient valable ? J'imagine qu'il n'y a aucun problème pour une main photographié paume en avant et que cela devient impossible à partir d'un main "de profil", sur le côté ... mais entre les deux ? ^^

Je pense qu'au delà de 45°, on commence a avoir des parties qui sont cachées, donc cela devient difficile, sinon, on doit pouvoir passer par des algos de rotations.

Après, j'y connais pas grand chose sur la prise d'empreinte, mais tout doit être dans la résolution:
Si on augmente celle-ci au niveau du scan, donc plus de points pour valider, les photos et impressions de l'empreinte devront aussi respecter celle-ci, ce qui deviendra plus difficile.

[Namica]

Il y a déjà longtemps (27 nov 2007 : http://ccc.de/en/updates/2007/umsonst-im-supermarkt) que le CCC avait démontré la faillibilité de la biométrie des empreintes digitales. Je n'ai plus les références, mais c'était lors d'une de leurs conférences en un temps moyenageux à la vitesse de l'évolution des techniques.
L'empreinte devait être prélevée sur un objet, puis scannée et retouchée pour enlever les éventuels artefacts, imprimée sur un transparent dans une imprimante laser.
Le toner déposé sur la feuille était ensuite prélevé sur un support enduit de colle à bois de manière à produire la fausse empreinte digitale.
Le fait nouveau est ici, que l'empreinte à pu être captée à partir d'une photo avec un appareil photo standard (sic).

VeriFinger, le logiciel cité dans l'article appartient à http://www.neurotechnology.com
L'entreprise produit aussi des logiciels biométriques concernant le reconnaissance des visages, des yeux et de la voix.
Chacun de ces éléments biométriques peut être capté.

Sur les trois paramètres de sécurité

• ce que l'on sait (ex : mot de passe)
• ce que l'on a (ex : clé, carte, ...)
• ce que l'on est (ex : empreinte digitale, comportement, ...)

Il n'en reste quasiment plus que deux qui soient fiables (euh, non ?).
Car en ce qui concerne le plug anal biométrique, si cela m'a fait rire, ce n'est guère praticable.
Peut-être qu'un plug d'empreintes dentaires ? C'est plus difficile à capter.
Ou alors les empreintes des pieds ?

[Uranne-jimmy]

Je m'en excuse si ça a déjà était cité dans la discussion mais il existe un moyen beaucoup plus sûr d'avoir un système d'authentification à la fois rapide et lié à l'utilisateur : une biopuce. J'avais lu un article qui parlait d'un gars qui passait par ce système pour tout ces appareils, de la voiture au smartphone à la maison, même.
Ce n'est pas infaillible mais il ne suffit pas d'une photo pour outrepassé la mesure ... Personnellement, ça ne me dérangerais pas tant que ça d'avoir ce petit système implanté, mais en tant que personne lambda du peuple, ça me serait pas utile ^^ (de base, quand tu as ta compagne qui regarde ton portable, ou qui en a besoin, c'est toujours mieux qu'elle ait pas besoin de ta main pour l'allumer).

[Chauve souris]

Si ça serait très utile ! Même pour les particuliers ! Vous n'en avez pas marre de ces serrures à l'ancienne qui se grippent et dont les clés s'usent dans vos poches et ne fonctionnent plus bien outre le fait que ce n'est pas idéal à sortir, sous la pluie, quand on a des trucs et des machins dans les bras. Certes il y a la télécommande de la porte du garage pour entrer sans trop de tracas mais il faut en avoir un (garage) et ça limite l'accès que par le moyen automobile. Donc une puce sous la peau et la maison reconnaît son pépère.

Autre chose de "pucier" auquel j'ai pensé : pour ceux dont le palpitant n'est pas bien régulier, comme moi, il faut surveiller ses arythmies de temps en temps, ça veut dire RV à prévoir, ECG ou Holter avec collage des électrodes. Alors que si on implante des micro capteurs aux bons endroits sous cutanés il suffit d'emprunter la petite machine enregistreuse, la mettre dans sa poche 24h et le tour est joué (remise d'icelle ou télétransmission). Je suis sûr qu'il y aurait des tas d'applications utiles comme ça et ça ne serait plus votre chien qu'on traiterait de "sac à puces"