Le piratage des empreintes digitales Est en fait Assez Facile – et bon marché
Les gens dans les films sont souvent prompts à scier la main de quelqu’un pour passer un scanner d’empreintes digitales. Un rapport de l’équipe de Kraken Security Labs montre qu’il serait beaucoup plus facile — et moins horrible — de recréer l’empreinte digitale de quelqu’un en utilisant un peu de colle à bois standard.
Kraken note que la sécurité biométrique est devenue de plus en plus courante car les fabricants de smartphones, de tablettes et d’ordinateurs portables ont intégré des scanners d’empreintes digitales dans leurs produits. Ces scanners offrent un moyen pratique d’accéder à ces appareils sans entrer de mot de passe.
Le rapport indique qu’un scanner d’empreintes digitales peut être « piraté » en utilisant une image de l’empreinte digitale de la cible, en créant un négatif dans Photoshop, en imprimant l’image résultante, puis en mettant de la colle à bois sur l’empreinte imitée afin qu’elle puisse être utilisée pour tromper de nombreux scanners commerciaux.
« Nous avons pu effectuer cette attaque bien connue sur la majorité des appareils dont notre équipe disposait pour les tests », explique Kraken dans son rapport sur l’attaque. » S’il s’agissait d’une véritable attaque, nous aurions eu accès à une vaste gamme d’informations sensibles. »
Kraken n’est pas la seule entreprise de sécurité à réaliser que la colle peut être utilisée pour tromper un scanner d’empreintes digitales. Cisco Talos a publié un rapport plus approfondi en avril 2020 qui explorait plusieurs façons — y compris cette astuce de colle — d’usurper l’empreinte digitale d’une personne par un attaquant.
« Nos tests ont montré que — en moyenne – nous avons atteint un taux de réussite d’environ 80% en utilisant les fausses empreintes digitales, où les capteurs ont été contournés au moins une fois », explique Cisco Talos. » Atteindre ce taux de réussite a été un travail difficile et fastidieux. Nous avons constaté plusieurs obstacles et limitations liés à la mise à l’échelle et aux propriétés physiques des matériaux. Malgré cela, ce niveau de taux de réussite signifie que nous avons une très forte probabilité de déverrouiller l’un des appareils testés avant qu’il ne retombe dans le déverrouillage des broches. »
Cisco Talos dit que la plupart des gens n’ont pas à s’inquiéter de la création d’une copie de leur empreinte digitale pour accéder à leurs appareils, mais note qu ‘ »une personne susceptible d’être ciblée par un acteur bien financé et motivé ne devrait pas utiliser l’authentification par empreinte digitale. »
Kraken conseille aux gens de se rappeler que contourner l’authentification basée sur les empreintes digitales est relativement simple et, sur la base de sa démonstration, moins cher que ce à quoi de nombreux consommateurs pourraient s’attendre. (Bien que cette hypothèse soit basée sur une personne possédant déjà une imprimante laser et Photoshop.)
« Il devrait être clair maintenant que, bien que votre empreinte digitale vous soit unique, elle peut toujours être exploitée avec une relative facilité », explique Kraken. « Au mieux, vous ne devriez envisager de l’utiliser que comme authentification de deuxième facteur (2FA). »