Falsifier des empreintes digitales : c’est possible, mais difficile

La sécurité des autorisations basées sur les empreintes digitales fait l’objet de débats acharnés depuis des années. En 2013, peu après la sortie de l’iPhone 5S avec TouchID, des chercheurs ont montré qu’il était possible de tromper la technologie en photographiant une empreinte digitale laissée sur une surface en verre, et en l’utilisant pour faire un moulage qui pourrait tromper le système. Mais la technologie progresse sans cesse, et ses améliorations ont donné des raisons de garder espoir.

L’année dernière, par exemple, des fabricants ont commencé à équiper leurs smartphones de scanners d’empreintes digitales à ultrasons cachés sous l’écran, afin de ne pas avoir besoin d’autres panneaux et ils seraient, tout du moins en théorie, plus sûrs.

Nos collègues de Cisco Talos ont décidé de voir s’il était facile de tromper différents types de scanners d’empreintes digitales d’appareils modernes, ou si la technologie est enfin sûre.

L’autorisation par empreintes digitales : la théorie

Rappelons-nous d’abord comment fonctionnent les scanners d’empreintes digitales. Le principe de base est simple. Placez votre doigt sur le scanner d’un smartphone ou d’un ordinateur portable, ou encore sur une serrure intelligente, et le capteur extraira une image de votre empreinte digitale. Chaque type de scanner reconnaît les empreintes digitales à sa manière. L’équipe de Cisco Talos s’est concentrée sur les trois plus populaires :

• Les scanners capacitatifs sont les plus courants. Ils créent une image au moyen d’une petite charge électrique générée par des condensateurs miniatures intégrés qui peuvent stocker l’électricité. Lorsque le doigt touche le scanner, il décharge ces condensateurs. Un contact plus important (les bosses des empreintes digitales) provoque une décharge plus importante ; les espaces entre la peau et le capteur (les creux des empreintes digitales) provoquent une décharge plus légère. Le scanner mesure la différence et détermine le motif.
• Les scanners optiques prennent une photo de l’empreinte digitale. L’appareil éclaire le doigt à travers un prisme, les bosses et les creux reflètent cette lumière différemment, et le capteur lit l’information et la convertit en une image.
• Les scanners à ultrasons utilisent un signal ultrason au lieu de la lumière et enregistrent l’écho généré par les bosses et les creux (tout comme dans le cas de la réflexion de la lumière, les bosses et les creux ont différents échos). Ce type de scanner n’a pas besoin d’être en contact avec le doigt et peut donc être placé sous l’écran. De plus, il  » entend  » non seulement la partie du doigt proche de la surface, mais aussi les bords plus éloignés du capteur, de sorte que l’image est plus proche de la réalité tridimensionnelle. Cela aide le scanner à détecter les faux qui utilisent des copies d’empreintes plates.

Une fois votre empreinte digitale obtenue, le scanner ou le système d’exploitation la compare à celle enregistrée dans l’appareil. Comme aucune méthode de lecture d’empreintes digitales existante n’est parfaite, chaque fabricant autorise une certaine marge d’erreur.

Plus cette marge est élevée, plus il est facile de falsifier une empreinte digitale. Si les réglages sont plus stricts et la marge d’erreur plus faible, le scanner est plus difficile à tromper, mais l’appareil risque également de ne pas reconnaître son véritable propriétaire.

Comment est-ce que les chercheurs ont falsifié des empreintes digitales

Pour faire une copie physique d’une empreinte digitale, il faut bien évidemment en acquérir une. L’équipe de recherche a trouvé trois façons de le faire.

Comment voler une empreinte digitale. Méthode nº 1 : faire un moulage

Il est possible de faire un moulage de l’empreinte digitale de la cible lorsque, par exemple, la victime est inconsciente ou indisposée. Tout matériau mou qui durcit est approprié, par exemple la pâte à modeler.

Un agresseur peut alors utiliser le moule pour fabriquer un faux doigt. La difficulté évidente est que l’agresseur a besoin d’avoir un contact physique avec la victime, qui doit se trouver dans un état approprié.

Comment voler une empreinte digitale. Méthode nº 2 : obtenir une image scanner

Une autre technique consiste à obtenir une empreinte digitale prise à l’aide d’un scanner. Cette méthode est plus compliquée du point de vue technique, mais toutes les entreprises qui manipulent des données biométriques ne les stockent pas de manière fiable, pour le plus grand bonheur des voleurs. Il n’est donc pas difficile de trouver des empreintes digitales scannées en ligne ou de les acheter à bas prix sur le darknet.

Ensuite, l’image plate doit être transformée en un modèle 3D et imprimée avec une imprimante 3D. Tout d’abord, le programme dans lequel les chercheurs ont créé le dessin ne leur a pas permis de définir sa taille. Ensuite, le photopolymère qu’utilise une imprimante 3D économique devait être chauffé après l’impression, ce qui modifiait les dimensions du modèle.

Troisièmement, lorsque les chercheurs ont finalement réussi à réaliser un modèle correct, il s’est avéré que le polymère dont il était fait était trop dur, et pas un seul scanner n’est tombé dans le piège. Comme solution de secours, les chercheurs ont décidé d’imprimer un moulage, au lieu d’un modèle de doigt, qu’ils ont ensuite utilisé pour fabriquer une prothèse de doigt à partir d’un matériau plus élastique.

Comment voler une empreinte digitale. Méthode nº 3 : prendre une photo d’une empreinte digitale sur une surface en verre

Une autre option, et c’est sûrement la plus simple, consiste à photographier l’empreinte digitale que la victime a laissé sur une surface en verre. C’est exactement ce qui s’est passé dans le cas de l’iPhone 5S. L’image est traitée pour obtenir le niveau de clarté requis, puis, comme auparavant, passe dans une imprimante 3D.

Comme l’ont remarqué les chercheurs, les expériences d’impression 3D ont été longues et fastidieuses. Ils ont dû calibrer l’imprimante et trouver le moule de la bonne taille par tâtonnements, et l’impression réelle de chaque modèle (50 au total) avec les réglages requis a duré une heure. Ainsi, la fabrication d’une fausse empreinte digitale pour déverrouiller un smartphone volé n’est pas du tout un travail rapide. La copie de l’empreinte digitale d’une victime endormie n’est pas non plus une méthode très rapide.

La fabrication d’un moulage pour recréer l’empreinte digitale n’est que la moitié de la tâche. Le choix du matériau pour le modèle lui-même s’est avéré beaucoup plus difficile, car la fausse empreinte était destinée à être testée sur trois types de capteurs, chacun avec une méthode différente de lecture des empreintes digitales. Par exemple, le fait qu’un matériau puisse conduire le courant n’a pas d’importance pour les capteurs ultrasoniques et optiques, mais est primordial pour les capteurs capacitifs.

Cependant, cette partie du processus est accessible à tout le monde. Le meilleur matériau pour les fausses impressions est la colle textile bon marché.

Quels appareils ont été forcés avec de fausses empreintes digitales

Les chercheurs ont testé leurs copies sur plusieurs smartphones, tablettes et ordinateurs portables de différents fabricants, ainsi que sur une serrure intelligente et deux clés USB protégées par un capteur d’empreintes digitales : Verbatim Fingerprint Secure et Lexar Jumpdrive Fingerprint F35.

Les résultats ont été plutôt décourageants : la majorité des smartphones et des tablettes ont pu être dupés dans 80 à 90 % des cas et ce taux de réussite a parfois atteint 100 %. Les moules imprimés en 3D étaient les moins efficaces, mais la différence n’était pas vraiment importante ; les trois méthodes décrites ci-dessus fonctionnaient bien.

Il y a eu des exceptions. Par exemple, l’équipe de recherche a été totalement incapable de craquer le smartphone Samsung A70 (mais il faut mentionner que le A70 est aussi le plus susceptible de ne pas reconnaître son véritable propriétaire).

Les appareils fonctionnant avec Windows 10 se sont également révélés impénétrables, quel que soit le fabricant. Les chercheurs attribuent cette constance remarquable au fait que le système d’exploitation lui-même effectue la comparaison des empreintes digitales : peu de choses dépendent donc du fabricant de l’appareil.

Quant aux clés USB protégées, elles se sont révélées dignes de ce nom, bien que nos collègues avertissent qu’elles pourraient elles aussi être exposées à une attaque plus sophistiquée.

Enfin, les plus faciles à duper ont été les scanners d’empreintes digitales à ultrasons. Malgré leur capacité à percevoir une image en 3D, ils se font duper par les fausses empreintes si un vrai doigt les presse contre le capteur.

La protection des empreintes digitales pour les utilisateurs ordinaires

Selon les chercheurs, la sécurité des autorisations basées sur les empreintes digitales laisse beaucoup à désirer, et dans une certaine mesure, la situation s’est même détériorée par rapport aux années précédentes.

Ceci dit, la fabrication d’un faux doigt est un processus assez coûteux, tout du moins en temps, ce qui signifie que l’utilisateur ordinaire n’a pas grand-chose à craindre. Mais ce n’est pas pareil si vous vous trouvez dans la ligne de mire d’un groupe criminel ou d’un service de renseignement bien financé. Dans ce cas, il est préférable de protéger tous vos appareils à l’ancienne, avec un mot de passe. Après tout, il est plus difficile de craquer un mot de passe fort, et vous pouvez toujours le changer si vous pensez qu’il est peut-être tombé entre de mauvaises mains.