MWC 2017 : Capteurs d’empreintes digitales et reconnaissance de l’iris

Les capteurs d’empreintes digitales et de reconnaissance de l’iris sur smartphone et autres tendances de sécurité intéressantes du MWC 2017

Nous avons beaucoup parlé des capteurs d’empreintes digitales non sécurisées et d’autres technologies biométriques. Nous ne sommes pas les seuls.

Il semblerait que cet engouement ait eu du bon. Lors du Mobile World Congress (MWC) à Barcelone, plusieurs développeurs de capteurs intelligents ont présenté des biens qui sont plus sécurisés qu’on ne le pensait.

Biometric technologies at MWC 2017L’évolution des capteurs d’empreintes digitales

IDEX, une entreprise norvégienne qui expédie des capteurs d’empreintes digitales pour LG et d’autres entreprises a indiqué que la majorité de ses développeurs de smartphones partenaires autorisent l’accès aux données des capteurs d’empreintes digitales uniquement au sein d’un environnement sécurisé.

J’ai parlé à de nombreux fabricants de capteurs d’empreintes digitales au MWC, et tous utilisent un programme parfaitement protégé pour manier de telles données. Au début, les données « brutes » provenant d’un capteur d’empreintes digitales sont chiffrées, le système détecte ensuite des crêtes distinctes, les chiffre à son tour, et les envoie au stockage sécurisé. Toutes ces opérations ont lieu dans un trusted execution environment, un espace isolé auquel on ne peut accéder par aucun processus extérieur.

Cependant, plusieurs fabricants de capteurs d’empreintes digitales laissent encore les entreprises décider si elles veulent utiliser le mécanisme de protection. Dans tous les cas, les données sont toujours chiffrées en toute sécurité, du capteur au processeur, et c’est une bonne chose. Auparavant, la principale vulnérabilité des technologies de lecture d’empreintes digitales se trouvait ici.

Un fabricant de capteur appelé CrucialTec a décidé de rendre la biométrie encore plus… biométrique, en ajoutant des capteurs de fréquence cardiaque aux lecteurs d’empreintes digitales. Il s’agit d’une mesure de protection : des copies de doigts imprimées en 3D, des doigts de plâtre, et même de vrais doigts coupés de leur propriétaire ne pourraient pas fonctionner. Il en va de même pour les copies simples de crêtes de doigt créées avec une imprimante ordinaire.

MWC 2017: bank card with fingerprint sensor

Ce système détecte des crêtes pour confirmer qu’elles sont similaires mais ne débloque pas le smartphone jusqu’à temps qu’il ne détecte pas un propre battement de cœur. Il s’agit d’une étape importante concernant la sécurité par empreintes digitales. Des cybercriminels ingénieux n’hésiteront pas également à trouver un moyen de piéger cette protection, par exemple, avec une copie de crêtes d’un doigt appuyé sur le lecteur, en utilisant le doigt réel et vivant d’une autre personne, mais ce serait beaucoup plus difficile.

Une entreprise chinoise a présenté une réalisation inhabituelle : un lecteur d’empreintes digitales intégré directement dans le cristal de l’écran d’un smartphone. Il y avait quelques restrictions : premièrement, l’échantillon était resté en Chine, et l’entreprise n’avait pas pu le montrer. De plus, elle n’était pas complètement sûre du nombre d’utilisateurs qui allaient comprendre quelle partie de l’écran ils devraient tapoter, le capteur n’étant pas clairement visible ! L’année dernière, IDEX a présenté une idée similaire, mais il semblerait qu’ils ne soient pas allés au-delà du concept.

D’ailleurs, les développeurs ont indiqué que les capteurs d’empreintes digitales ne sont pas limités aux appareils, ils peuvent être introduits dans des serrures de porte ou des clés de voiture. Plusieurs entreprises proposent des capteurs fins et flexibles pouvant être utilisés dans le cadre d’une carte bancaire.

MWC 2017: door lock with fingerprint sensor

Cette technologie est mise en place de plusieurs façons : Par exemple, IDEX propose un schéma qui ne requiert pas d’approvisionnement supplémentaire en électricité, tandis que CrucialTec développe une batterie et un simple affichage sur la carte pour montrer si l’utilisateur est autorisé ou non. Le capteur d’empreintes digitales peut être une bonne alternative aux codes PIN : plus facile à utiliser et plus dur à contrefaire, il est très facile d’espionner un PIN lorsqu’une personne le saisit.

Un peu plus de biométrie

Il y a deux ans, Qualcomm a présenté SenseID, un lecteur d’empreintes digitales ultrasonique plus sûr et plus rapide. Cette fois, l’entreprise a proposé une autre méthode d’authentification qui scanne votre iris. Chaque personne possède un iris unique, ce qui rend cette authentification très fiable.

Le système de Qualcomm est nouveau, il n’est qu’un prototype pour l’instant, mais il fonctionne étonnamment bien, rapidement et sans erreur. Au cas où vous vous demanderiez pourquoi cette technologie tarde tant à venir sur le marché des smartphones, la raison est simple : les caméras antérieures prenaient plus de temps à s’allumer, et les processeurs d’imagerie étaient moins puissants.

D’ailleurs, le système de reconnaissance de l’iris de Qualcomm peut distinguer une fausse copie d’un iris d’un vrai œil. Il y avait un visage imprimé en 3D sur le stand de Qualcomm, et le logiciel ne l’a pas confondu avec un vrai. Si je comprends bien, le système prend en compte que les yeux bougent un peu tout le temps.

MWC 2017: fake face in Qualcomm booth

Il convient de souligner que le système peut reconnaître des iris même à travers des lunettes de soleil obscures et épaisses. Malheureusement, Qualcomm refuse d’expliquer comment il a obtenu ce résultat. En clair, la reconnaissance de l’iris est beaucoup plus sécurisée que la reconnaissance faciale par exemple.

Néanmoins, elle souffre du même problème comme le reste des technologies biométriques : une fois que les cybercriminels trouvent un moyen de détourner et d’utiliser les données biométriques (et ils essaieront sûrement, si les distributeurs automatiques biométriques se répandent), les utilisateurs seront bloqués, incapables de changer leur visage, iris ou empreintes digitales. Les PIN et les mots de passe peuvent être changés en quelques secondes.

Plusieurs autres concepts intéressants du MWC 2017

Nous avons assisté à beaucoup d’innovations intéressantes concernant la sécurité informatique à Barcelone cette année. Par exemple, Qualcomm a présenté une technologie d’apprentissage automatique sur périphérique. Cela signifie que les processeurs Snapdragon sont devenus tellement puissants qu’ils ne peuvent pas former de réseaux neuronaux. Qualcomm a montré des premières mesures dans cette direction l’année dernière, lorsqu’il a présenté une solution qui tentait de reconnaître des objets sur des photos. Désormais, cette technologie s’est développée en un moteur universel qui est compatible avec plusieurs structures populaires et définies pour les développeurs.

Il s’agit d’un pas en avant : L’apprentissage automatique sur périphérique peut éviter aux utilisateurs d’avoir à envoyer des données sur le Cloud, ce qui conduit à des concepts de confidentialité à des domaines où la vie privée devenait inimaginable, puisqu’en général l’apprentissage automatique requiert des technologies sur le Cloud, autrement dit abandonner nos données. Il s’agit actuellement d’un moteur, et non d’une solution prête à la consommation.

En réalité, une technologie en fait déjà usage, elle est développée par (vous l’aurez deviné) Qualcomm. Elle s’appelle App Protect, et permet la mise en place d’algorithmes heuristiques pour la détection d’applications malveillantes au niveau du hardware-logiciel. Qualcomm considère qu’une application est malveillante si elle essaye de faire quoi que ce soit secrètement, collecter la localisation et les informations de contact des utilisateurs, envoyer des SMS, ce genre de choses. App Protect aide à détecter de telles applications et interdit l’accès à des données sensibles. La technologie n’est pas une solution prête à l’emploi, elle peut être intégrée à une application de sécurité. Notre Kaspersky Antivirus and Security for Android le fait efficacement au niveau du logiciel.

Le MWC 2017 s’est davantage focalisé sur la sécurité en comparaison avec les années précédentes. Aujourd’hui, on voit le mot « sécurisé » à chaque stand. Même si les choses ne sont pas vraiment sûres, l’optique a montré que les développeurs se préoccupent davantage de la protection.

En ce qui concerne l’authentification biométrique en elle-même, cette technologie pourrait surmonter les nombreux inconvénients dont elle fait face actuellement. Elle ne sera jamais complétement sécurisée, le risque zéro n’existant pas. Mais les mesures auxquelles nous assistons vont dans la bonne direction, ce qui nous réjouit énormément.

Conseils