La biométrie est de plus en plus utilisée en remplacement des mots de passe traditionnels. Ce système de sécurisation des autorisations basé sur les empreintes digitales est présent sur la majorité de nos appareils mobiles. Cette technique semble très efficace, cependant, des chercheurs de Cisco, une entreprise informatique américaine spécialisée dans le matériel réseau et dans les serveurs, sont parvenus à contourner 8 fois sur 10 cette protection.
Une étude a été publiée le 8 avril 2020 par le groupe de sécurité Talos de Cisco dans lequel sont révélées les failles de l’authentification biométrique basée sur les empreintes digitales. Ces chercheurs mettent un terme au débat de savoir si ce système peut être compromis ou non.
Les empreintes digitales sont une donnée biométrique unique, c’est pour cette raison qu’elle sert à verrouiller des smartphones, des applications, des ordinateurs. En 2013, l’apparition de TouchID de l’iPhone 5 a suscité la curiosité des hackers qui ont rapidement contourné cette forme d’authentification. Depuis, cette technologie s’est améliorée et est devenue plus sécurisée.
Les fabricants utilisent en majorité trois principaux types de capteurs d’empreinte digitale :
- les scanners optiques éclairent le doigt à travers un prisme et génèrent l’image de l’empreinte.
- les scanners capacitifs, les plus courants, qui fonctionnent de la même façon mais avec un courant électrique. Ils créent une image par le biais d’une petite charge électrique qui va permettre de mesurer et déterminer le motif.
- les scanners à ultrasons qui utilisent des ondes ultrasonores pour enregistrer l’écho généré par les bosses et les creux afin de créer une carte 3D plus détaillée et potentiellement plus sûre. Ce type de scanner est souvent placé sous l’écran.
Le système d’exploitation ou le scanner compare l’empreinte digitale obtenue à celle enregistrée dans l’appareil.
Le groupe de chercheurs de Cisco ont orienté leur champ d’étude sur les systèmes d’authentification par empreinte digitale sur les appareils d’Apple, de Microsoft, Samsung, Huawei, deux clés USB protégées par capteurs d’empreintes digitales ainsi qu’une serrure intelligente. Ils ont découvert la possibilité de contourner les trois types de scanners précités par le biais de trois méthodes.
Tromper les capteurs par le biais de moules d’empreintes
Cette méthode consiste à faire un moulage de l’empreinte digitale de la victime. Le moule est utilisé pour fabriquer un faux doigt. Il faut un contact physique avec la victime, il est donc difficile à se le procurer.
Les chercheurs affirment dans leur étude que les empreintes digitales pourraient être collectées par le biais de vol de données biométriques stockées par des services douaniers ou autres organisations, ou bien par l’intermédiaire d’objets physiques touchés.
En moyenne, les chercheurs ont obtenu un taux de réussite de 80% pour accéder aux appareils de test en utilisant de fausses empreintes digitales. Chaque type de scanner étant contourné au moins une fois, mais il a tout de même fallu au moins 50 moules d’empreintes coulés dans différents matériaux à l’aide d’imprimante 3D, de logiciel de conception et de poudre de graphite afin de parvenir à ce taux de réussite.
Tromper les capteurs par une image scannée
Cela consiste à soutirer les données biométriques prises à l’aide d’un scanner et qui sont stockées dans les entreprises qui les manipulent. L’image plate doit être transformée et imprimée en 3D en matériau élastique.
Tromper les capteurs en prenant en photo l’empreinte digitale sur une surface de verre
Cette autre méthode consiste à prendre en photo l’empreinte digitale que la victime aurait laissée sur une surface en verre. L’image est traitée puis ensuite imprimée en 3D.
Un contournement qui n’est pas à la portée de tous
Le contournement des normes d’authentification biométrique actuelle n’est pas facile. Les chercheurs ont qualifié le travail effectué dans le cadre de cette étude de « difficile et fastidieux » ; c’est un travail long et couteux qui nécessite une imprimante 3D, le bon choix du matériel, ainsi que la procuration de l’empreinte digitale. Il a fallu s’adapter à chaque type de capteurs, comme par exemple le choix d’un matériel qui puisse conduire le courant pour les capteurs capacitifs.
Windows 10 : le grand vainqueur du test
Les trois méthodes expliquées ci-dessus ont très bien fonctionné. La majorité des smartphones et tablettes ont été trompées dans 80% des cas, ce taux de réussite pouvant atteindre parfois 100%, c’est le cas des smartphones Honor 7x et Samsung Note 9.
Cependant, il y a des exceptions, le smartphone Samsung A70 et les appareils fonctionnant avec Windows 10 se sont révélés totalement impénétrables. Un tel taux de sécurité réside dans son algorithme de comparaison d’empreinte intégré au système d’exploitation.
Concernant les deux clés USB sécurisées Lexar et Verbatim se sont trouvées à la hauteur de leur nom. Il faut savoir que l’ordinateur qu’elles sécurisaient était animé par Windows 10.
Ceux qui ont posé le moins de difficultés étaient les scanners d’empreintes digitales à ultrason. La serrure intelligente Aicase a été cassée également.
Une authentification à deux facteurs recommandée
Ainsi, l’étude conclue qu’il est toujours possible de contourner ce système de sécurisation des autorisations par empreinte digitale. La conclusion de cette étude indique que « les résultats montrent que la technologie par empreintes digitales n’a pas suffisamment évolué pour être généralement considérée comme sûre pour tous les modèles de menaces proposés ». Ils expliquent que cela est suffisant pour empêcher la petite criminalité, ils considèrent cette technique comme étant un système de sécurité domestique. Ils recommandent aux personnes ayant des appareils contenant des informations sensibles de se fier davantage à des mots de passe forts et à une authentification à deux facteurs.
PIEPLU Cécile
M2 Cyberjustice – Promotion 2019/2020