Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La sécurité des empreintes digitales biométriques ébranlée
à partir d'une simple photo des doigts

Le , par Michael Guilloux

94PARTAGES

4  0 
Des chercheurs en sécurité ont découvert de nouvelles méthodes pour pirater les empreintes digitales seulement à partir d'une photo des doigts de la victime. Ces méthodes ont été présentées au Chaos Communication Congress, conférence annuelle sur la sécurité. L’une de leurs méthodes a été utilisée pour le clonage des empreintes de la ministre allemande de la défense, après avoir photographié sa main lors d'une conférence de presse en octobre.

Par le passé, le vol d'empreintes digitales à son propriétaire étaient possibles si la personne avait touché un objet avec une surface polie, comme un verre ou un smartphone. Mais avec ces nouvelles façons de recueillir des attributs biométriques, il n'y aura plus besoin de voler des objets portant les empreintes digitales.

Dans une présentation, Jan Krisller allias Starbug, spécialiste de la biométrie et membre du Chaos Computer Club, a expliqué comment il avait pris une série de photographies de la ministre allemande Ursula Von Der Leyen quand elle a donné une conférence de presse en Octobre. Dans son discours, il explique comment à partir de ces photos, il a pu obtenir les empreintes de Von Der Leyen pour passer la sécurité d’un iPhone. « Après ce discours, les politiciens vont vraisemblablement porter des gants quand ils parlent en public», a déclaré Starbug.

Krisller a utilisé un objectif avec une distance focale de 200 mm et a tiré les clichés à une distance de six pieds, a-t-il dit. Il a ensuite utilisé le logiciel commercial d'empreintes digitales de VeriFinger pour tracer les contours de l'empreinte du pouce de la ministre.


Pour obtenir quelque chose qui pourrait être utilisé sur un scanner biométrique, il a employé une technique qu'il a démontrée lors de la conférence de l'an dernier. La technique emploie des photographies numériques, des matériaux souples, et les imprimantes laser pour créer de fausses empreintes digitales.

Krisller a imprimé l'image du doigt de Von Der Leyen sur une feuille transparente en utilisant autant de toner que possible. Il a ensuite versé une couche de lait de latex ou de la colle à bois sur la feuille. Le résultat est qu'après avoir enlevé la couche, celle-ci a capturé une empreinte que Starbug a pu utiliser pour déverrouiller un iPhone.

Starbug dit que la recherche l'a incité à chercher d'autres moyens d'utiliser la photographie pour passer la sécurité biométrique, par exemple, pour copier l'empreinte de l'iris de la chancelière allemande Angela Merkel. En utilisant des images à haute résolution de ses matériels de campagne électorale, dit-il, il est possible d'obtenir une image qui pourrait tromper un scanner d'iris basique.

Cette découverte est la preuve incontestable qu'il n'y a plus de mesure de sécurité fiable à 100%. Le mieux que nous puissions faire est de rendre les attaques plus difficiles et améliorer la détection de l'événement afin que les brèches puissent être colmatées rapidement. Cela nous interpelle à prendre d'autres mesures de sécurité en complément de l'utilisation des empreintes digitales. Cette découverte vient davantage remettre en cause les revendications de sécurité par les fournisseurs de systèmes d'empreintes digitales.

Source : Chaos Computer Club

Et vous ?

Existe-t-il un moyen de sécurité fiable ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de earhater
Membre éclairé https://www.developpez.com
Le 31/12/2014 à 2:45
Pour en revenir à la news, j'ai toujours trouvé que les empreintes digitales étaient un bon moyen de sécurité difficilement volables (sauf si l'on peut approcher a cible mais sur internet en lui même c'est difficile d'avoir les emprintes de madame michu). C'est assez hallucinant à recréer ces empreintes à partir d'une simple photographie prise à quelques mètres de distance.
4  0 
Avatar de Chauve souris
Membre émérite https://www.developpez.com
Le 31/12/2014 à 9:21
Jamais compris que les empreintes digitales puissent être un moyen de validation. Par définition elles traînent partout puisque l'identité judiciaire s'en sert depuis ses origines. Certes elles sont personnelles mais aussi publiques vu leur diffusion involontaire. Dans un "Benjamin Gates" on montre comment les récupérer d'après un verre, sur un gant en latex avec de la ninhydrine, révélateur classique des acides aminés (anecdote : dans mes TP de biochimie je n'étais pas très soigneux et les révélations d'acides aminés sur la feuille de chromatographie étaient entourées de marques de mes empreintes). Donc un gadget coûteux qu'on introduit dans les portables sans aucune valeur de sécurité. Au moins la carte à puce on ne peut que l'oublier (ou se la faire voler) mais elle ne se duplique pas toute seule. Et puis c'est si compliqué de mémoriser une passphrase ? Par exemple, pour Pignouf, "C'est#La#Lutte@Finale1917"
4  0 
Avatar de vampirella
Membre éclairé https://www.developpez.com
Le 31/12/2014 à 10:09
A l'heure actuelle, on considère trois paramètres pour définir une sécurité :
  • ce que l'on sait (ex : mot de passe)
  • ce que l'on a (ex : clé, carte, ...)
  • ce que l'on est (ex : empreinte digitale, comportement, ...)


A partir de là, la seule sécurité "la plus fiable" consiste en une combinaison des trois. En pratique, on ne dépasse pas deux paramètres pour le grand public.

EDIT : ce dont je suis curieux concernant la photographie de la main, c'est à partir de degré de rotation de la main cette méthode devient valable ? J'imagine qu'il n'y a aucun problème pour une main photographié paume en avant et que cela devient impossible à partir d'un main "de profil", sur le côté ... mais entre les deux ? ^^
4  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 30/12/2014 à 15:33
Citation Envoyé par Michael Guilloux Voir le message
Existe-t-il un moyen de sécurité fiable ?
Je pense qu'un seul et unique moyen de sécurité ne peut pas être totalement fiable
L'expérience nous montre qu'à un moment donné, on fini toujours par trouver une faille
Par contre, à partir du moment où l'on associe plusieurs moyens, le niveau de sécurité augmente exponentiellement
2  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 31/12/2014 à 23:12
Il y a déjà longtemps (27 nov 2007 : http://ccc.de/en/updates/2007/umsons...-im-supermarkt) que le CCC avait démontré la faillibilité de la biométrie des empreintes digitales. Je n'ai plus les références, mais c'était lors d'une de leurs conférences en un temps moyenageux à la vitesse de l'évolution des techniques.
L'empreinte devait être prélevée sur un objet, puis scannée et retouchée pour enlever les éventuels artefacts, imprimée sur un transparent dans une imprimante laser.
Le toner déposé sur la feuille était ensuite prélevé sur un support enduit de colle à bois de manière à produire la fausse empreinte digitale.
Le fait nouveau est ici, que l'empreinte à pu être captée à partir d'une photo avec un appareil photo standard (sic).

VeriFinger, le logiciel cité dans l'article appartient à http://www.neurotechnology.com
L'entreprise produit aussi des logiciels biométriques concernant le reconnaissance des visages, des yeux et de la voix.
Chacun de ces éléments biométriques peut être capté.

Sur les trois paramètres de sécurité
  • ce que l'on sait (ex : mot de passe)
  • ce que l'on a (ex : clé, carte, ...)
  • ce que l'on est (ex : empreinte digitale, comportement, ...)

Il n'en reste quasiment plus que deux qui soient fiables (euh, non ?).
Car en ce qui concerne le plug anal biométrique, si cela m'a fait rire, ce n'est guère praticable.
Peut-être qu'un plug d'empreintes dentaires ? C'est plus difficile à capter.
Ou alors les empreintes des pieds ?
2  0 
Avatar de 23JFK
Membre chevronné https://www.developpez.com
Le 30/12/2014 à 17:21
Nos politiques n'ont plus qu'à investir massivement dans le plug anal biométrique.
0  0 
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 31/12/2014 à 3:13
Je ne parle pas en pieds. Je pensais que ça faisait 2 mètres, mais non, presque : 1,8288 mètre.
0  0 
Avatar de Glutinus
Expert éminent sénior https://www.developpez.com
Le 31/12/2014 à 10:58
Ce n'est plus de la science-fiction...

On a rejoint les niveau des Experts !
0  0 
Avatar de disedorgue
Expert éminent sénior https://www.developpez.com
Le 31/12/2014 à 12:25
Bonjour,

Citation Envoyé par vampirella Voir le message

EDIT : ce dont je suis curieux concernant la photographie de la main, c'est à partir de degré de rotation de la main cette méthode devient valable ? J'imagine qu'il n'y a aucun problème pour une main photographié paume en avant et que cela devient impossible à partir d'un main "de profil", sur le côté ... mais entre les deux ? ^^
Je pense qu'au delà de 45°, on commence a avoir des parties qui sont cachées, donc cela devient difficile, sinon, on doit pouvoir passer par des algos de rotations.

Après, j'y connais pas grand chose sur la prise d'empreinte, mais tout doit être dans la résolution:
Si on augmente celle-ci au niveau du scan, donc plus de points pour valider, les photos et impressions de l'empreinte devront aussi respecter celle-ci, ce qui deviendra plus difficile.
0  0 
Avatar de Uranne-jimmy
Membre expérimenté https://www.developpez.com
Le 05/01/2015 à 9:39
Je m'en excuse si ça a déjà était cité dans la discussion mais il existe un moyen beaucoup plus sûr d'avoir un système d'authentification à la fois rapide et lié à l'utilisateur : une biopuce. J'avais lu un article qui parlait d'un gars qui passait par ce système pour tout ces appareils, de la voiture au smartphone à la maison, même.
Ce n'est pas infaillible mais il ne suffit pas d'une photo pour outrepassé la mesure ... Personnellement, ça ne me dérangerais pas tant que ça d'avoir ce petit système implanté, mais en tant que personne lambda du peuple, ça me serait pas utile ^^ (de base, quand tu as ta compagne qui regarde ton portable, ou qui en a besoin, c'est toujours mieux qu'elle ait pas besoin de ta main pour l'allumer).
0  0