C'est pas mon idée !

dimanche 4 janvier 2015

Alerte ! La biométrie n'est pas sûre

Chaos Computer Club
Depuis plusieurs années, les hackers de tout poil ont prouvé combien il pouvait être aisé de contourner la sécurité offerte par les systèmes biométriques. La popularité de la lecture d'empreinte digitale introduite par Apple sur l'iPhone (« Touch ID »), leur fait redoubler d'efforts et leurs démonstrations deviennent de plus en plus convaincantes.

Lors d'une présentation organisée en 2013 à l'occasion du Chaos Communication Congress, le congrès du célèbre Chaos Computer Club, Jan Krissler – alias Starbug – avait déjà exposé les faiblesses de Touch ID en réalisant une fausse empreinte digitale imprimée, capable de tromper le dispositif. A l'époque, les observateurs soulignaient que la complexité du procédé en limitait les dangers. Relevant le défi, l'auteur de ce premier exploit est revenu cette année, avec une version améliorée de sa technique.

Alors qu'il lui fallait jusqu'à maintenant capturer les empreintes de ses « victimes » sur des objets qu'elles avaient touchés, au prix de manipulations assez lourdes, Starbug a montré comment il pouvait désormais en créer une reproduction, utilisable avec Touch ID, à partir d'une simple photographie en haute définition, grâce à des outils accessibles à tous. Particulièrement inquiétant, cette méthode est applicable sur des images publiques, ainsi qu'il a pu l'illustrer avec une photo officielle de la ministre fédérale de la défense d'Allemagne, Ursula van der Leyen.

Présentation de Starbug au Congrès du CCC

Les empreintes digitales ne sont pas les seules cibles du jeune hacker (et le système d'Apple n'est d'ailleurs par le seul à être vulnérable). Il s'attaque également, avec tout autant de succès, à des solutions à base de reconnaissance de l'iris de l'œil – la victime de sa démonstration étant alors Angela Merkel, dont les photos ne manquent pas, naturellement. Vue la vogue actuelle des « selfies » et autres photos personnelles, disséminés sans limites sur les réseaux sociaux, tout le monde (ou presque) peut se sentir concerné par ces révélations.

Les faits étant établis, faut-il maintenant rejeter la biométrie en bloc (et revenir aux bons vieux mots de passe) ? Certes, le vol de son smartphone peut avoir des conséquences fâcheuses, surtout si la protection par empreinte digitale est utilisée pour des applications sensibles (bancaires, notamment), puisque il suffirait au voleur de trouver une photo de son propriétaire pour pénétrer tous ses secrets. Il vaudra donc mieux continuer à compter sur l'effacement à distance du contenu de l'appareil pour éviter tout désagrément (hélas sans autre possibilité de mitigation, une empreinte compromise l'étant définitivement).

En revanche, ces failles ne sont peut-être pas totalement catastrophiques pour le concept même de biométrie. D'une part, elles ne peuvent – pour l'instant – être exploitées qu'au cas par cas, contrairement aux systèmes à base de mots de passe, susceptibles d'être contournés massivement. D'autre part, elles démasquent avant tout les fausses promesses et les faiblesses des implémentations actuelles, qui devront donc encore évoluer pour les rendre réellement sûres (en espérant que ce soit possible).

Aucun commentaire:

Publier un commentaire

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)