{"id":20718,"date":"2023-06-19T09:17:17","date_gmt":"2023-06-19T07:17:17","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20718"},"modified":"2023-06-19T09:17:17","modified_gmt":"2023-06-19T07:17:17","slug":"fingerprint-brute-force-android","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fingerprint-brute-force-android\/20718\/","title":{"rendered":"BrutePrint : contourner la protection des empreintes digitales des smartphones"},"content":{"rendered":"

La reconnaissance d\u2019empreintes digitales est consid\u00e9r\u00e9e comme une m\u00e9thode d\u2019authentification relativement s\u00e9curis\u00e9e. Des publications sur les diff\u00e9rentes fa\u00e7ons de d\u00e9jouer la s\u00e9curit\u00e9 du capteur d\u2019empreintes digitales<\/a> apparaissent de temps \u00e0 autre, mais toutes les m\u00e9thodes sugg\u00e9r\u00e9es se r\u00e9sument, d\u2019une mani\u00e8re ou d\u2019une autre, \u00e0 l\u2019imitation physique du doigt du propri\u00e9taire du t\u00e9l\u00e9phone, que ce soit \u00e0 l\u2019aide d\u2019un tampon en silicone ou d\u2019une impression \u00e0 l\u2019encre conductrice<\/a>. Il s\u2019agit d\u2019obtenir une image de haute qualit\u00e9 d\u2019un doigt, et pas n\u2019importe lequel\u00a0: celui qui est enregistr\u00e9 dans le syst\u00e8me.<\/p>\n

En r\u00e9sum\u00e9, toutes ces m\u00e9thodes s\u2019accompagnent de nombreuses difficult\u00e9s dans le monde r\u00e9el. Mais est-il possible de r\u00e9aliser ce tour de force de mani\u00e8re plus \u00e9l\u00e9gante, sans quitter le monde purement num\u00e9rique et tous les avantages qu\u2019il offre\u00a0? Il s\u2019av\u00e8re que c\u2019est le cas\u00a0: les chercheurs chinois Yu Chen et Yiling He ont r\u00e9cemment publi\u00e9 une \u00e9tude expliquant comment pirater par force brute presque tous les smartphones Android prot\u00e9g\u00e9s par des empreintes digitales. Ils ont appel\u00e9 l\u2019attaque BrutePrint<\/a>.<\/p>\n

Dans quelle mesure les empreintes digitales sont-elles uniques ?<\/h2>\n

Avant de nous pencher sur le travail de nos camarades chinois, quelques notions th\u00e9oriques\u2026 Tout d\u2019abord, et vous le savez peut-\u00eatre, les empreintes digitales sont vraiment uniques et ne changent jamais avec l\u2019\u00e2ge.<\/p>\n

En 1892, le scientifique anglais Sir Francis Galton a publi\u00e9 un ouvrage intitul\u00e9 Les empreintes digitales<\/a>. Il y r\u00e9sume les donn\u00e9es scientifiques de l\u2019\u00e9poque sur les empreintes digitales, et les travaux de Galton jettent les bases th\u00e9oriques de l\u2019utilisation pratique ult\u00e9rieure des empreintes digitales en criminalistique.<\/p>\n

Sir Francis Galton a notamment calcul\u00e9 que la probabilit\u00e9 de concordance des empreintes digitales \u00e9tait \u00ab\u00a0inf\u00e9rieure \u00e0 2<sup>36<\/sup>, soit une chance sur environ soixante-quatre milliards\u00a0\u00bb. Les experts en m\u00e9decine l\u00e9gale s\u2019en tiennent encore aujourd\u2019hui \u00e0 cette valeur.<\/p>\n

Par ailleurs, si vous vous int\u00e9ressez \u00e0 l\u2019anatomie pure et dure ou aux facteurs biologiques \u00e0 l\u2019origine du caract\u00e8re unique des empreintes digitales, voici un nouveau document de recherche<\/a> sur le sujet.<\/p>\n

Quelle est la fiabilit\u00e9 des capteurs d\u2019empreintes digitales ?<\/h2>\n

Les travaux de Sir Francis et tout ce qui en d\u00e9coule se rapportent toutefois au monde analogique (chaud) et couvrent des domaines tels que la prise d\u2019empreintes digitales, leur comparaison avec celles laiss\u00e9es, par exemple, sur une sc\u00e8ne de crime, et cela s\u2019arr\u00eate l\u00e0. Mais les choses sont sensiblement diff\u00e9rentes dans la r\u00e9alit\u00e9 num\u00e9rique (froide). La qualit\u00e9 de la repr\u00e9sentation des empreintes digitales d\u00e9pend de plusieurs facteurs\u00a0: le type de capteur, sa taille et sa r\u00e9solution et, dans une large mesure, les algorithmes de post-traitement et de comparaison de \u00a0\u00bb\u00a0l\u2019image\u00a0\u00ab\u00a0.<\/p>\n

\"Comparaison<\/a>

Les empreintes digitales telles qu\u2019elles \u00e9taient per\u00e7ues par Sir Francis Galton il y a 150 ans (\u00e0 gauche) et par le capteur optique de votre smartphone dernier cri (\u00e0 droite). Source<\/a> et Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Et, bien s\u00fbr, le d\u00e9veloppeur doit faire en sorte que l\u2019appareil soit tr\u00e8s bon march\u00e9 (sinon personne ne l\u2019ach\u00e8tera), qu\u2019il permette une authentification en une fraction de seconde (sinon il sera submerg\u00e9 par les plaintes concernant la lenteur) et qu\u2019il \u00e9vite \u00e0 tout prix les faux n\u00e9gatifs (sinon l\u2019utilisateur rejettera l\u2019ensemble du syst\u00e8me). Il en r\u00e9sulte des syst\u00e8mes d\u2019authentification peu pr\u00e9cis.<\/p>\n

Ainsi, en ce qui concerne les capteurs utilis\u00e9s dans les smartphones, les chiffres cit\u00e9s pour la probabilit\u00e9 de correspondance des fragments d\u2019empreintes digitales sont beaucoup moins optimistes que le fameux chiffre de 1\u00a0chance sur 64\u00a0milliards. Par exemple, Apple estime la probabilit\u00e9 de Touch ID<\/a> entre 1 et 50\u00a0000. On peut donc supposer que pour les mod\u00e8les de capteurs \u00e9conomiques, la probabilit\u00e9 diminuera encore d\u2019un ordre de grandeur ou deux.<\/p>\n

Nous passons ainsi de milliards de combinaisons possibles \u00e0 des milliers. Ce chiffre est d\u00e9j\u00e0 \u00e0 la port\u00e9e des attaques par force brute<\/a>. Il ne reste donc plus au pirate potentiel qu\u2019un obstacle \u00e0 franchir\u00a0: la limite du nombre de tentatives de reconnaissance d\u2019empreintes digitales. Normalement, seules cinq d\u2019entre elles sont autoris\u00e9es, suivies d\u2019une p\u00e9riode prolong\u00e9e de verrouillage de l\u2019authentification par empreinte digitale.<\/p>\n

Cet obstacle peut-il \u00eatre surmont\u00e9\u00a0? Yu Chen et Yiling He y r\u00e9pondent par l\u2019affirmative dans leur \u00e9tude.<\/p>\n

BrutePrint : pr\u00e9paration \u00e0 l\u2019utilisation de la force brute pour les smartphones Android prot\u00e9g\u00e9s par une empreinte digitale<\/h2>\n

La m\u00e9thode du chercheur repose sur une faille dans l\u2019impl\u00e9mentation g\u00e9n\u00e9rique du capteur d\u2019empreintes digitales des smartphones Android\u00a0: aucun des mod\u00e8les test\u00e9s ne chiffre le canal de communication entre le capteur et le syst\u00e8me. Cela ouvre la possibilit\u00e9 d\u2019une attaque MITM<\/a> sur le syst\u00e8me d\u2019authentification\u00a0: avec un dispositif connect\u00e9 au smartphone via le port SPI de la carte m\u00e8re, il est possible d\u2019intercepter les messages entrants du capteur d\u2019empreintes digitales et d\u2019envoyer ses propres messages en \u00e9mulant le capteur d\u2019empreintes digitales.<\/p>\n

Les chercheurs ont construit un tel dispositif (pseudo-capteur) et l\u2019ont compl\u00e9t\u00e9 par un gadget permettant de cliquer automatiquement sur l\u2019\u00e9cran du capteur du smartphone. La partie mat\u00e9rielle a donc \u00e9t\u00e9 mise en place pour alimenter les smartphones en images d\u2019empreintes digitales multiples en mode automatique.<\/p>\n

\"Appareil<\/a>

Appareil pour pirater par force brute le syst\u00e8me d\u2019authentification par empreinte digitale. Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

\u00c0 partir de l\u00e0, ils ont proc\u00e9d\u00e9 \u00e0 la pr\u00e9paration de sp\u00e9cimens d\u2019empreintes digitales pour l\u2019attaque par force brute. Les chercheurs ne r\u00e9v\u00e8lent pas la source de leur base de donn\u00e9es d\u2019empreintes digitales, se limitant \u00e0 des sp\u00e9culations g\u00e9n\u00e9rales sur la mani\u00e8re dont les pirates ont pu l\u2019obtenir (collections de recherche, fuites de donn\u00e9es, propre base de donn\u00e9es).<\/p>\n

L\u2019\u00e9tape suivante a consist\u00e9 \u00e0 soumettre la base de donn\u00e9es d\u2019empreintes digitales \u00e0 une IA afin qu\u2019elle g\u00e9n\u00e8re une sorte de dictionnaire d\u2019empreintes digitales pour maximiser les performances de l\u2019attaque par force brute. Les images d\u2019empreintes digitales ont \u00e9t\u00e9 adapt\u00e9es par l\u2019IA pour correspondre \u00e0 celles g\u00e9n\u00e9r\u00e9es par les capteurs install\u00e9s sur les smartphones participant \u00e0 l\u2019\u00e9tude.<\/p>\n

\"Exemples<\/a>

Les images renvoy\u00e9es par les diff\u00e9rents types de capteurs d\u2019empreintes digitales sont tr\u00e8s diff\u00e9rentes les unes des autres. Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

Les deux failles \u00e0 la base de l\u2019approche BrutePrint : Cancel-After-Match-Fail et Match-After-Lock<\/h2>\n

L\u2019attaque BrutePrint exploite deux failles. Les chercheurs les ont d\u00e9couvertes dans la logique de base du cadre d\u2019authentification par empreintes digitales qui, \u00e0 premi\u00e8re vue, est fourni avec tous les smartphones Android sans exception. Les vuln\u00e9rabilit\u00e9s \u00e9taient appel\u00e9es Cancel-After-Match-Fail (annulation apr\u00e8s l\u2019\u00e9chec de la correspondance) et Match-After-Lock (correspondance apr\u00e8s verrouillage).<\/p>\n

La faille Cancel-After-Match-Fail<\/h3>\n

Cancel-After-Match-Fail (CAMF)<\/strong> exploite deux caract\u00e9ristiques importantes du m\u00e9canisme d\u2019authentification par empreinte digitale. La premi\u00e8re est le fait que ce m\u00e9canisme repose sur un \u00e9chantillonnage multiple, ce qui signifie que chaque tentative d\u2019authentification utilise non pas une mais une s\u00e9rie de deux \u00e0 quatre images d\u2019empreintes digitales (en fonction du mod\u00e8le de smartphone). La seconde est le fait qu\u2019en plus de l\u2019\u00e9chec<\/em>, une tentative d\u2019authentification peut \u00e9galement entra\u00eener une erreur<\/em>\u00a0; dans ce cas, le m\u00e9canisme revient au d\u00e9but.<\/p>\n

Cela permet d\u2019envoyer une s\u00e9rie d\u2019images se terminant par un cadre pr\u00e9d\u00e9fini pour d\u00e9clencher une erreur. Ainsi, si l\u2019une des images de la s\u00e9rie d\u00e9clenche une correspondance, l\u2019authentification est r\u00e9ussie. Si ce n\u2019est pas le cas, le cycle se terminera par une erreur, apr\u00e8s quoi une nouvelle s\u00e9rie d\u2019images pourra \u00eatre soumise sans perdre la pr\u00e9cieuse tentative.<\/p>\n

\"Diagramme<\/a>

Fonctionnement de la faille Cancel-After-Match-Fail : l\u2019erreur vous permet de revenir au point de d\u00e9part sans perdre une tentative. Source<\/a>.<\/p><\/div>\n

\u00a0<\/p>\n

La faille Match-After-Lock<\/h3>\n

La deuxi\u00e8me faille est appel\u00e9e Match-After-Lock (MAL)<\/strong>. La logique d\u2019authentification par empreinte digitale pr\u00e9voit une p\u00e9riode de verrouillage apr\u00e8s un \u00e9chec, mais de nombreux fournisseurs de smartphones ne parviennent pas \u00e0 mettre en \u0153uvre correctement cette fonctionnalit\u00e9 dans leurs versions d\u2019Android. Ainsi, m\u00eame si l\u2019authentification des empreintes digitales n\u2019est pas possible en mode verrouillage, il est toujours possible de soumettre de plus en plus de nouvelles images, auxquelles le syst\u00e8me r\u00e9pondra toujours par une valeur \u00a0\u00bb\u00a0vrai\u00a0\u00a0\u00bb ou \u00a0\u00bb\u00a0faux\u00a0\u00ab\u00a0. En d\u2019autres termes, une fois que vous avez d\u00e9tect\u00e9 l\u2019image correcte, vous pouvez l\u2019utiliser d\u00e8s que le syst\u00e8me n\u2019est plus verrouill\u00e9, ce qui permet de mener \u00e0 bien l\u2019authentification.<\/p>\n

Attaques exploitant Cancel-After-Match-Fail et Match-After-Lock<\/h2>\n

L\u2019attaque exploitant la premi\u00e8re faille a \u00e9t\u00e9 couronn\u00e9e de succ\u00e8s pour tous les smartphones test\u00e9s \u00e9quip\u00e9s d\u2019Android authentique, mais pour une raison inconnue, elle n\u2019a pas fonctionn\u00e9 avec HarmonyOS.<\/a> La faille Match-After-Lock a \u00e9t\u00e9 exploit\u00e9e sur les smartphones vivo et Xiaomi, ainsi que sur les deux t\u00e9l\u00e9phones Huawei fonctionnant sous HarmonyOS.<\/p>\n

\"Tableau<\/a>

Tous les smartphones test\u00e9s se sont r\u00e9v\u00e9l\u00e9s vuln\u00e9rables \u00e0 au moins une attaque. Source<\/a>.<\/p><\/div>\n

Tous les smartphones Android et HarmonyOS participant \u00e0 l\u2019\u00e9tude se sont av\u00e9r\u00e9s vuln\u00e9rables \u00e0 au moins une des attaques d\u00e9crites. Cela signifie qu\u2019ils autorisent tous un nombre ind\u00e9fini de tentatives malveillantes d\u2019authentification par empreinte digitale.<\/p>\n

Selon l\u2019\u00e9tude, il a fallu entre 2,9 et 13,9\u00a0heures pour pirater le syst\u00e8me d\u2019authentification d\u2019un smartphone Android avec une seule empreinte digitale enregistr\u00e9e. Mais pour les smartphones ayant le nombre maximum d\u2019empreintes enregistr\u00e9es pour un mod\u00e8le donn\u00e9 (quatre pour Samsung, cinq pour tous les autres), le temps a \u00e9t\u00e9 consid\u00e9rablement r\u00e9duit : le piratage a pris de 0,66 \u00e0 2,78\u00a0heures.<\/p>\n

\"Temps<\/a>

Probabilit\u00e9 de r\u00e9ussite d\u2019une attaque BrutePrint en fonction du temps pass\u00e9 : une empreinte enregistr\u00e9e (ligne continue) et nombre maximal d\u2019empreintes enregistr\u00e9es (ligne pointill\u00e9e). Source<\/a>.<\/p><\/div>\n

Qu\u2019en est-il des iPhones ?<\/h2>\n

Le syst\u00e8me Touch ID utilis\u00e9 dans les iPhones s\u2019est av\u00e9r\u00e9 plus r\u00e9sistant \u00e0 BrutePrint. Selon l\u2019\u00e9tude, le principal avantage de l\u2019iPhone est que la communication entre le capteur d\u2019empreintes digitales et le reste du syst\u00e8me est crypt\u00e9e. Il n\u2019y a donc aucun moyen d\u2019intercepter ou de fournir au syst\u00e8me une empreinte digitale pr\u00e9par\u00e9e sur un appareil \u00e9quip\u00e9 de Touch ID.<\/p>\n

L\u2019\u00e9tude souligne que les iPhones peuvent \u00eatre partiellement vuln\u00e9rables aux manipulations utilis\u00e9es pour maximiser le nombre de tentatives de reconnaissance d\u2019empreintes digitales. Mais ce n\u2019est pas aussi grave qu\u2019il n\u2019y para\u00eet\u00a0: alors que les smartphones Android permettent de prolonger les tentatives \u00e0 l\u2019infini, sur les iPhones, le nombre de tentatives ne peut \u00eatre augment\u00e9 que de 5 \u00e0 15.<\/p>\n

Les utilisateurs d\u2019iOS peuvent donc dormir sur leurs deux oreilles\u00a0: Touch ID est beaucoup plus fiable que l\u2019authentification par empreinte digitale utilis\u00e9e dans Android et HarmonyOS. De plus, de nos jours, la plupart des mod\u00e8les d\u2019iPhone utilisent de toute fa\u00e7on Face ID.<\/p>\n

\u00c0 quel point tout cela est-il dangereux ?<\/h2>\n

Les propri\u00e9taires de smartphones Android ne devraient pas non plus s\u2019inqui\u00e9ter outre mesure de BrutePrint\u00a0: en pratique, cette attaque ne constitue pas une menace majeure. Il existe plusieurs raisons \u00e0 cela\u00a0:<\/p>\n