Sécurité

Un pirate informatique clone l’empreinte digitale d’un politicien à l’aide de photos publiques normales à longue distance

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Un membre du Chaos Computer Club — une association européenne de hackers, peut-être un peu comme le Cult of the Dead Cow aux États-Unis — a montré qu’il était possible de reproduire l’empreinte digitale de quelqu’un, et ainsi de s’introduire dans des systèmes protégés par des scanners d’empreintes biométriques, en utilisant juste une photo du doigt de quelqu’un. Nous ne parlons pas non plus d’une photo macro en gros plan : si vous pouvez prendre une photo d’une célébrité ou d’un politicien agitant la main, ce serait probablement suffisant. Dans ce cas, le membre du CCC a réussi à obtenir l’empreinte digitale de la ministre allemande de la Défense Ursula von der Leyen à partir d’une photo prise lors d’une conférence de presse – ce qui, si le gouvernement allemand utilise des systèmes de contrôle d’accès biométriques, pourrait être un bit d’une faille de sécurité.

Le hacker, Jan « Starbug » Krissler, a présenté ses découvertes à Congrès Chaos Communication plus tôt aujourd’hui. À l’aide d’une photo du pouce de von der Leyen obtenue lors d’une conférence de presse en octobre, ainsi que d’autres photos de son pouce sous différents angles, il a pu reconstruire son empreinte en utilisant l’empreinte disponible dans le commerce. Logiciel VeriFinger. Il a ensuite utilisé cette empreinte pour créer un mannequin du monde réel – en l’imprimant sur un masque, en exposant le masque pour créer un négatif de l’impression sur un substrat, puis en remplissant le négatif avec de la colle à bois pour créer une empreinte digitale positive.

Psssssst :  F-Secure Hack peut déverrouiller des millions de chambres d'hôtel avec un appareil portable

Lors des tests, cette technique peut tromper le capteur TouchID d’Apple – et si von der Leyen possède un iPhone et que Starbug peut mettre la main dessus, elle pourrait avoir des ennuis. Nous ne pouvons qu’espérer que les systèmes militaires allemands utilisent plus que les empreintes digitales pour le contrôle d’accès.

Le discours complet du Chaos Communication Congress est ci-dessous – c’est en allemand, mais il y a aussi une présentation PowerPoint facile à suivre.

https://www.youtube.com/watch?v=pIY6k4gvQsY

Comme vous le savez probablement, les empreintes digitales sont utilisées depuis longtemps comme moyen de vérifier l’identité d’une personne – depuis environ 1900, en fait. Au cours des 10 dernières années environ, lecteurs d’empreintes digitales numériques ont également commencé à devenir assez courants – d’abord sur les ordinateurs portables coûteux et les périphériques externes dans les environnements d’entreprise, et plus récemment sur les smartphones comme les nouveaux iPhones et le Galaxy S5.

Lis: Les guichets automatiques exécutant Windows XP volés avec des clés USB infectées – oui, la plupart des guichets automatiques fonctionnent toujours sous Windows

La photo du pouce de la ministre allemande de la Défense Ursula von der Leyen utilisée par Starbug

La photo du pouce de la ministre allemande de la Défense Ursula von der Leyen que Starbug a utilisée pour inverser l’ingénierie de son empreinte digitale

Le problème est que les empreintes digitales ne sont pas particulièrement fiables – elles peuvent produire des faux positifs, des faux négatifs et plusieurs lectures de la même empreinte peuvent donner des résultats différents. Les empreintes digitales (pour la biométrie et la criminalistique) valent mieux que rien, mais il y a une raison pour laquelle les communautés de la sécurité et de la criminalistique s’en éloignent vers des techniques plus fiables et plus valides. Le séquençage de l’ADN est une bien meilleure option en matière d’identification médico-légale, et la biométrie « vivante » telle que l’appariement des veines et l’analyse de la démarche sont de meilleures options pour le contrôle d’accès.

Psssssst :  Comment les scanners laser térahertz vont vous espionner dans les aéroports - High-teK.ca

Le principal avantage de la biométrie « vivante » est que, comme son nom l’indique, elle ne fonctionne pas si la personne n’est pas en vie : la correspondance des veines, qui cartographie le flux d’hémoglobine dans les vaisseaux sanguins (généralement dans votre doigt), ne fonctionne pas. ne fonctionne pas si votre cœur ne bat plus – vous ne pouvez donc pas utiliser une photo du doigt de quelqu’un pour tromper le système (et un criminel ne peut pas non plus couper le doigt de quelqu’un). Certains distributeurs automatiques de billets (GAB) au Japon et en Pologne utilisent déjà l’analyse des veines pour l’authentification. L’analyse de la marche, qui est littéralement la façon dont quelqu’un marche (longueur du pas, largeur, rotation de vos articulations), peut sembler un peu stupide – mais elle est étonnamment précise et évidemment très difficile à imiter ou à voler.

Enfin, un avis de sécurité : si vous utilisez actuellement votre empreinte digitale pour sécuriser des données importantes, vous voudrez peut-être commencer à porter des gants en public.

Maintenant lis: Les chercheurs déchiffrent le cryptage le plus difficile au monde en écoutant les petits sons émis par le processeur de votre ordinateur

Bouton retour en haut de la page