Depuis des années, les chercheurs en sécurité se battent contre la généralisation des systèmes biométriques basés sur l’empreinte digitale et la reconnaissance d’iris, jugés trop peu sécurisés. A l’occasion de la conférence du Chaos Computer Club, qui se déroule actuellement à Hambourg, l’un d’entre eux vient à nouveau d’enfoncer le clou. Jan Krissler, alias Starbug, a montré que les appareils photo grand public permettaient de capter des empreintes digitales et des images d’iris de manière discrète et avec une qualité suffisante pour tromper les systèmes d’authentification.
Concernant l’iris, un smartphone avec un appareil photo de plus de 10 MP peut déjà être suffisant. Starbug l’a prouvé, en photographiant son ami Kevin à quelques mètres. Cette photo a servi de base pour réaliser un masque grandeur nature de la tête de son ami, avec une imprimante à 1200 dpi. « Identification completed », répond le lecteur d’iris quand on lui montre ce leurre. « Et là, c’est vraiment du matériel professionnel, souligne le hacker. Ce lecteur coûte plus de 1.000 euros et il est utilisé, par exemple, pour le contrôle d’accès sécurisé dans des banques. »
Ce piratage fonctionne bien avec les yeux clairs. Pour les « cibles » aux yeux bruns, c’est un peu plus compliqué, car il faut se doter d’un appareil photo infrarouge, pour faire ressortir en détail les caractéristiques de l’iris. Mais ce n’est pas nécessairement très onéreux. « Il suffit d’ouvrir son appareil photo et d’enlever le filtre anti-infrarouge », précise Starbug. Avec un Canon 1D-X et un objectif 200 mm, il suffit d’être placé à moins de 7 mètres pour obtenir des clichés utilisables pour une authentification. Avec un objectif à plus longue focale, on pourra évidemment se mettre plus loin.
Pour les empreintes digitales, la situation n’est pas meilleure. Avec le même type de matériel, il suffit d’être à moins de 7 mètres pour obtenir des clichés d’empreintes digitales permettant de réaliser un leurre en latex. Celui-ci pourra, par exemple, tromper aisément le lecteur TouchID d’un iPhone 6, comme l’avait déjà montré des hackers en septembre dernier.
A titre d’exemple, Starbug a pris en photo le pouce d’Usula von der Leyen, la ministre allemande de la Défense, à l’occasion d’une conférence de presse. La photo a été prise à trois mètres de distance avec un objectif 200 mm. « Il y a encore des trous, mais on aurait pu facilement les combler en faisant la corrélation avec d’autres clichés », explique le hacker.
L’avenir semble prometteur, car les fabricants d’appareils photo ne cessent de faire des progrès. Obtenir l’empreinte digitale et l’image de l’iris d’une personne sera donc de moins en moins complexe. Pour sa part, Starbug s’est déjà donné un nouveau défi: capter les empreintes biométriques d’acteurs de cinéma dans des vidéos 4K…
Lire aussi:
Comment la biométrie vocale va s’infiltrer dans notre quotidien, le 06/12/2014
Le Sénat adopte une loi édulcorée pour limiter la biométrie, le 28/05/2014
Source:
La présentation vidéo de Jan Krissler alias Starbug (en allemand)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.