{"id":14668,"date":"2020-04-17T08:53:54","date_gmt":"2020-04-17T08:53:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14668"},"modified":"2020-04-17T08:53:54","modified_gmt":"2020-04-17T08:53:54","slug":"sas2020-fingerprint-cloning","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/sas2020-fingerprint-cloning\/14668\/","title":{"rendered":"Falsifier des empreintes digitales : c&rsquo;est possible, mais difficile"},"content":{"rendered":"<p>La <a href=\"https:\/\/www.kaspersky.fr\/blog\/capteurs-dempreintes-digitales-mobiles-securises-ou-non\/5143\/\" target=\"_blank\" rel=\"noopener\">s\u00e9curit\u00e9 des autorisations bas\u00e9es sur les empreintes digitales<\/a> fait l\u2019objet de d\u00e9bats acharn\u00e9s depuis des ann\u00e9es. En 2013, peu apr\u00e8s la sortie de l\u2019iPhone 5S avec TouchID, <a href=\"https:\/\/www.ccc.de\/en\/updates\/2013\/ccc-breaks-apple-touchid\" target=\"_blank\" rel=\"noopener nofollow\">des chercheurs ont montr\u00e9 qu\u2019il \u00e9tait possible de tromper la technologie<\/a> en photographiant une empreinte digitale laiss\u00e9e sur une surface en verre, et en l\u2019utilisant pour faire un moulage qui pourrait tromper le syst\u00e8me. Mais la technologie progresse sans cesse, et ses am\u00e9liorations ont donn\u00e9 des raisons de garder espoir.<\/p>\n<p>L\u2019ann\u00e9e derni\u00e8re, par exemple, des fabricants ont commenc\u00e9 \u00e0 \u00e9quiper leurs smartphones de <a href=\"https:\/\/www.kaspersky.com\/blog\/mwc19-recap\/25885\/\" target=\"_blank\" rel=\"noopener nofollow\">scanners d\u2019empreintes digitales \u00e0 ultrasons<\/a> cach\u00e9s sous l\u2019\u00e9cran, afin de ne pas avoir besoin d\u2019autres panneaux et ils seraient, tout du moins en th\u00e9orie, plus s\u00fbrs.<\/p>\n<p>Nos coll\u00e8gues de Cisco Talos <a href=\"https:\/\/blog.talosintelligence.com\/2020\/04\/fingerprint-research.html\" target=\"_blank\" rel=\"noopener nofollow\">ont d\u00e9cid\u00e9 de voir<\/a> s\u2019il \u00e9tait facile de tromper diff\u00e9rents types de scanners d\u2019empreintes digitales d\u2019appareils modernes, ou si la technologie est enfin s\u00fbre.<\/p>\n<h2>L\u2019autorisation par empreintes digitales : la th\u00e9orie<\/h2>\n<p>Rappelons-nous d\u2019abord comment fonctionnent les scanners d\u2019empreintes digitales. Le principe de base est simple. Placez votre doigt sur le scanner d\u2019un smartphone ou d\u2019un ordinateur portable, ou encore sur une serrure intelligente, et le capteur extraira une image de votre empreinte digitale. Chaque type de scanner reconna\u00eet les empreintes digitales \u00e0 sa mani\u00e8re. L\u2019\u00e9quipe de Cisco Talos s\u2019est concentr\u00e9e sur les trois plus populaires :<\/p>\n<ul>\n<li><strong>Les scanners capacitatifs<\/strong>\u00a0sont les plus courants. Ils cr\u00e9ent une image au moyen d\u2019une petite charge \u00e9lectrique g\u00e9n\u00e9r\u00e9e par des condensateurs miniatures int\u00e9gr\u00e9s qui peuvent stocker l\u2019\u00e9lectricit\u00e9. Lorsque le doigt touche le scanner, il d\u00e9charge ces condensateurs. Un contact plus important (les bosses des empreintes digitales) provoque une d\u00e9charge plus importante ; les espaces entre la peau et le capteur (les creux des empreintes digitales) provoquent une d\u00e9charge plus l\u00e9g\u00e8re. Le scanner mesure la diff\u00e9rence et d\u00e9termine le motif.<\/li>\n<li><strong>Les scanners optiques<\/strong>\u00a0prennent une photo de l\u2019empreinte digitale. L\u2019appareil \u00e9claire le doigt \u00e0 travers un prisme, les bosses et les creux refl\u00e8tent cette lumi\u00e8re diff\u00e9remment, et le capteur lit l\u2019information et la convertit en une image.<\/li>\n<li><strong>Les scanners \u00e0 ultrasons<\/strong>\u00a0utilisent un signal ultrason au lieu de la lumi\u00e8re et enregistrent l\u2019\u00e9cho g\u00e9n\u00e9r\u00e9 par les bosses et les creux (tout comme dans le cas de la r\u00e9flexion de la lumi\u00e8re, les bosses et les creux ont diff\u00e9rents \u00e9chos). Ce type de scanner n\u2019a pas besoin d\u2019\u00eatre en contact avec le doigt et peut donc \u00eatre plac\u00e9 sous l\u2019\u00e9cran. De plus, il \u00a0\u00bb entend \u00a0\u00bb non seulement la partie du doigt proche de la surface, mais aussi les bords plus \u00e9loign\u00e9s du capteur, de sorte que l\u2019image est plus proche de la r\u00e9alit\u00e9 tridimensionnelle. Cela aide le scanner \u00e0 d\u00e9tecter les faux qui utilisent des copies d\u2019empreintes plates.<\/li>\n<\/ul>\n<p>Une fois votre empreinte digitale obtenue, le scanner ou le syst\u00e8me d\u2019exploitation la compare \u00e0 celle enregistr\u00e9e dans l\u2019appareil. Comme aucune m\u00e9thode de lecture d\u2019empreintes digitales existante n\u2019est parfaite, chaque fabricant autorise une certaine marge d\u2019erreur.<\/p>\n<p>Plus cette marge est \u00e9lev\u00e9e, plus il est facile de falsifier une empreinte digitale. Si les r\u00e9glages sont plus stricts et la marge d\u2019erreur plus faible, le scanner est plus difficile \u00e0 tromper, mais l\u2019appareil risque \u00e9galement de ne pas reconna\u00eetre son v\u00e9ritable propri\u00e9taire.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\">\n<h2>Comment est-ce que les chercheurs ont falsifi\u00e9 des empreintes digitales<\/h2>\n<p>Pour faire une copie physique d\u2019une empreinte digitale, il faut bien \u00e9videmment en acqu\u00e9rir une. L\u2019\u00e9quipe de recherche a trouv\u00e9 trois fa\u00e7ons de le faire.<\/p>\n<h3>Comment voler une empreinte digitale. M\u00e9thode n\u00ba 1 : faire un moulage<\/h3>\n<p>Il est possible de faire un moulage de l\u2019empreinte digitale de la cible lorsque, par exemple, la victime est inconsciente ou indispos\u00e9e. Tout mat\u00e9riau mou qui durcit est appropri\u00e9, par exemple la p\u00e2te \u00e0 modeler.<\/p>\n<p>Un agresseur peut alors utiliser le moule pour fabriquer un faux doigt. La difficult\u00e9 \u00e9vidente est que l\u2019agresseur a besoin d\u2019avoir un contact physique avec la victime, qui doit se trouver dans un \u00e9tat appropri\u00e9.<\/p>\n<h3>Comment voler une empreinte digitale. M\u00e9thode n\u00ba 2 : obtenir une image scanner<\/h3>\n<p>Une autre technique consiste \u00e0 obtenir une empreinte digitale prise \u00e0 l\u2019aide d\u2019un scanner. Cette m\u00e9thode est plus compliqu\u00e9e du point de vue technique, mais toutes les entreprises qui manipulent des donn\u00e9es biom\u00e9triques ne les stockent pas de mani\u00e8re fiable, pour le plus grand bonheur des voleurs. Il n\u2019est donc pas difficile de <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-biostar2-leak\/\" target=\"_blank\" rel=\"noopener nofollow\">trouver des empreintes digitales scann\u00e9es en ligne<\/a> ou de les acheter \u00e0 bas prix sur le darknet.<\/p>\n<p>Ensuite, l\u2019image plate doit \u00eatre transform\u00e9e en un mod\u00e8le 3D et imprim\u00e9e avec une imprimante 3D. Tout d\u2019abord, le programme dans lequel les chercheurs ont cr\u00e9\u00e9 le dessin ne leur a pas permis de d\u00e9finir sa taille. Ensuite, le photopolym\u00e8re qu\u2019utilise une imprimante 3D \u00e9conomique devait \u00eatre chauff\u00e9 apr\u00e8s l\u2019impression, ce qui modifiait les dimensions du mod\u00e8le.<\/p>\n<p>Troisi\u00e8mement, lorsque les chercheurs ont finalement r\u00e9ussi \u00e0 r\u00e9aliser un mod\u00e8le correct, il s\u2019est av\u00e9r\u00e9 que le polym\u00e8re dont il \u00e9tait fait \u00e9tait trop dur, et pas un seul scanner n\u2019est tomb\u00e9 dans le pi\u00e8ge. Comme solution de secours, les chercheurs ont d\u00e9cid\u00e9 d\u2019imprimer un moulage, au lieu d\u2019un mod\u00e8le de doigt, qu\u2019ils ont ensuite utilis\u00e9 pour fabriquer une proth\u00e8se de doigt \u00e0 partir d\u2019un mat\u00e9riau plus \u00e9lastique.<\/p>\n<h3>Comment voler une empreinte digitale. M\u00e9thode n\u00ba 3 : prendre une photo d\u2019une empreinte digitale sur une surface en verre<\/h3>\n<p>Une autre option, et c\u2019est s\u00fbrement la plus simple, consiste \u00e0 photographier l\u2019empreinte digitale que la victime a laiss\u00e9 sur une surface en verre. C\u2019est exactement ce qui s\u2019est pass\u00e9 dans le cas de l\u2019iPhone 5S. L\u2019image est trait\u00e9e pour obtenir le niveau de clart\u00e9 requis, puis, comme auparavant, passe dans une imprimante 3D.<\/p>\n<p>Comme l\u2019ont remarqu\u00e9 les chercheurs, les exp\u00e9riences d\u2019impression 3D ont \u00e9t\u00e9 longues et fastidieuses. Ils ont d\u00fb calibrer l\u2019imprimante et trouver le moule de la bonne taille par t\u00e2tonnements, et l\u2019impression r\u00e9elle de chaque mod\u00e8le (50 au total) avec les r\u00e9glages requis a dur\u00e9 une heure. Ainsi, la fabrication d\u2019une fausse empreinte digitale pour d\u00e9verrouiller un smartphone vol\u00e9 n\u2019est pas du tout un travail rapide. La copie de l\u2019empreinte digitale d\u2019une victime endormie n\u2019est pas non plus une m\u00e9thode tr\u00e8s rapide.<\/p>\n<p>La fabrication d\u2019un moulage pour recr\u00e9er l\u2019empreinte digitale n\u2019est que la moiti\u00e9 de la t\u00e2che. Le choix du mat\u00e9riau pour le mod\u00e8le lui-m\u00eame s\u2019est av\u00e9r\u00e9 beaucoup plus difficile, car la fausse empreinte \u00e9tait destin\u00e9e \u00e0 \u00eatre test\u00e9e sur trois types de capteurs, chacun avec une m\u00e9thode diff\u00e9rente de lecture des empreintes digitales. Par exemple, le fait qu\u2019un mat\u00e9riau puisse conduire le courant n\u2019a pas d\u2019importance pour les capteurs ultrasoniques et optiques, mais est primordial pour les capteurs capacitifs.<\/p>\n<p>Cependant, cette partie du processus est accessible \u00e0 tout le monde. Le meilleur mat\u00e9riau pour les fausses impressions est la colle textile bon march\u00e9.<\/p>\n<h2>Quels appareils ont \u00e9t\u00e9 forc\u00e9s avec de fausses empreintes digitales<\/h2>\n<p>Les chercheurs ont test\u00e9 leurs copies sur plusieurs smartphones, tablettes et ordinateurs portables de diff\u00e9rents fabricants, ainsi que sur une serrure intelligente et deux cl\u00e9s USB prot\u00e9g\u00e9es par un capteur d\u2019empreintes digitales : Verbatim Fingerprint Secure et Lexar Jumpdrive Fingerprint F35.<\/p>\n<p>Les r\u00e9sultats ont \u00e9t\u00e9 plut\u00f4t d\u00e9courageants : la majorit\u00e9 des smartphones et des tablettes ont pu \u00eatre dup\u00e9s dans 80 \u00e0 90 % des cas et ce taux de r\u00e9ussite a parfois atteint 100 %. Les moules imprim\u00e9s en 3D \u00e9taient les moins efficaces, mais la diff\u00e9rence n\u2019\u00e9tait pas vraiment importante ; les trois m\u00e9thodes d\u00e9crites ci-dessus fonctionnaient bien.<\/p>\n<p>Il y a eu des exceptions. Par exemple, l\u2019\u00e9quipe de recherche a \u00e9t\u00e9 totalement incapable de craquer le smartphone Samsung A70 (mais il faut mentionner que le A70 est aussi le plus susceptible de ne pas reconna\u00eetre son v\u00e9ritable propri\u00e9taire).<\/p>\n<p>Les appareils fonctionnant avec Windows 10 se sont \u00e9galement r\u00e9v\u00e9l\u00e9s imp\u00e9n\u00e9trables, quel que soit le fabricant. Les chercheurs attribuent cette constance remarquable au fait que le syst\u00e8me d\u2019exploitation lui-m\u00eame effectue la comparaison des empreintes digitales : peu de choses d\u00e9pendent donc du fabricant de l\u2019appareil.<\/p>\n<p>Quant aux cl\u00e9s USB prot\u00e9g\u00e9es, elles se sont r\u00e9v\u00e9l\u00e9es dignes de ce nom, bien que nos coll\u00e8gues avertissent qu\u2019elles pourraient elles aussi \u00eatre expos\u00e9es \u00e0 une attaque plus sophistiqu\u00e9e.<\/p>\n<p>Enfin, les plus faciles \u00e0 duper ont \u00e9t\u00e9 les scanners d\u2019empreintes digitales \u00e0 ultrasons. Malgr\u00e9 leur capacit\u00e9 \u00e0 percevoir une image en 3D, ils se font duper par les fausses empreintes si un vrai doigt les presse contre le capteur.<\/p>\n<h2>La protection des empreintes digitales pour les utilisateurs ordinaires<\/h2>\n<p>Selon les chercheurs, la s\u00e9curit\u00e9 des autorisations bas\u00e9es sur les empreintes digitales laisse beaucoup \u00e0 d\u00e9sirer, et dans une certaine mesure, la situation s\u2019est m\u00eame d\u00e9t\u00e9rior\u00e9e par rapport aux ann\u00e9es pr\u00e9c\u00e9dentes.<\/p>\n<p>Ceci dit, la fabrication d\u2019un faux doigt est un processus assez co\u00fbteux, tout du moins en temps, ce qui signifie que l\u2019utilisateur ordinaire n\u2019a pas grand-chose \u00e0 craindre. Mais ce n\u2019est pas pareil si vous vous trouvez dans la ligne de mire d\u2019un groupe criminel ou d\u2019un service de renseignement bien financ\u00e9. Dans ce cas, il est pr\u00e9f\u00e9rable de prot\u00e9ger tous vos appareils \u00e0 l\u2019ancienne, avec un mot de passe. Apr\u00e8s tout, il est plus difficile de <a href=\"https:\/\/www.kaspersky.com\/blog\/strong-password-day\/25519\/\" target=\"_blank\" rel=\"noopener nofollow\">craquer un mot de passe fort<\/a>, et vous pouvez toujours le changer si vous pensez qu\u2019il est peut-\u00eatre tomb\u00e9 entre de mauvaises mains.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Des chercheurs ont trouv\u00e9 une mani\u00e8re de cr\u00e9er de fausses empreintes digitales pour tromper de nombreux appareils, m\u00eame si cela demande beaucoup d\u2019efforts.<\/p>\n","protected":false},"author":2581,"featured_media":14670,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1869],"tags":[1023,1253,3898,602,3901,1038,3900,3899,435],"class_list":{"0":"post-14668","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-biometrique","9":"tag-empreintes-digitales","10":"tag-ordinateurs-portables","11":"tag-sas","12":"tag-sas-2020","13":"tag-security-analyst-summit","14":"tag-serrures-intelligentes","15":"tag-smart-locks","16":"tag-smartphones"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas2020-fingerprint-cloning\/14668\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas2020-fingerprint-cloning\/20638\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/16466\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/8128\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/21522\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas2020-fingerprint-cloning\/19775\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/18446\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas2020-fingerprint-cloning\/22420\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas2020-fingerprint-cloning\/21364\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas2020-fingerprint-cloning\/28101\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sas2020-fingerprint-cloning\/8113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas2020-fingerprint-cloning\/34929\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas2020-fingerprint-cloning\/14974\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sas2020-fingerprint-cloning\/13338\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas2020-fingerprint-cloning\/23729\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/sas2020-fingerprint-cloning\/11372\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas2020-fingerprint-cloning\/28161\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/sas2020-fingerprint-cloning\/25306\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas2020-fingerprint-cloning\/22053\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas2020-fingerprint-cloning\/27359\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas2020-fingerprint-cloning\/27197\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14668","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=14668"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14668\/revisions"}],"predecessor-version":[{"id":14673,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/14668\/revisions\/14673"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/14670"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=14668"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=14668"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=14668"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}