Deux chercheurs en sécurité informatique ont réussi à tromper un système de sécurité biométrique basé sur l’authentification des veines de la paume de la main. Ils n’ont eu besoin que d’un appareil photo légèrement modifié et d’une main en cire.
Hackers Make a Fake Hand to Beat Vein Authentication: https://t.co/5DcUu9PvLP pic.twitter.com/2fe5LHvvcS
— Rancé (@JorgeRance) January 1, 2019
Du capteur d’empreintes digitales au « Face ID » d’Apple, les procédés d’authentification biométriques sont de plus en plus utilisés. Mais sont-ils vraiment efficaces ? L’un d’entre eux, basé sur l’analyse des veines de la paume de la main, a été récemment trompé par deux hackers, rapporte Slate. Pour y parvenir, Jan Krissler et Julian Albrecht, qui ont présenté leur méthode au Chaos Communication Congress de Leipzig (Allemagne), ont utilisé une simple main en cire.
Avec du matériel « accessible à tous »
La technologie déjouée repose sur une analyse, via un capteur infrarouge, de la forme et de la taille de la main ainsi que de la position des veines sous la peau. Un dispositif de sécurité en apparence difficile à contourner.
Les deux chercheurs ont ainsi eu besoin de 30 jours pour arriver à bout du système mais les moyens qu’ils ont utilisés restent modestes : une main en cire et un appareil photo reflex privé de son filtre infrarouge. « Il est inquiétant que ce système, vanté comme étant de haute sécurité, puisse être piraté en modifiant un appareil photo et avec du matériel accessible à tous », souligne Jan Krissler.
Les deux hommes ont pris des photos de leurs mains laissant apparaître leurs veines. Plus de 2 500 clichés ont été utilisés pour élaborer une image correcte capable de déjouer le dispositif de sécurité. En s’appuyant sur les meilleures photos, le détail du réseau veineux a été imprimé à l’échelle de la main, précise Slate. Ensuite, ils ont conçu une main en cire dotée de ce réseau veineux.
Des conditions de laboratoire difficilement reproductibles selon Fujitsu
Les deux chercheurs en sécurité informatique ont révélé les détails de leur « piratage » à Fujitsu et Hitachi, deux entreprises élaborant ces dispositifs biométriques. Un porte-parole de Fujitsu a tenu à minimiser l’impact d’une telle découverte, soulignant qu’il s’agissait de conditions de laboratoire difficilement reproductibles dans le « monde réel ». Un avis que ne partagent pas les hackers.
Il ne s’agit pas du premier fait d’arme de Jan Krissler. En 2013, le chercheur avait déjoué le capteur d’empreinte d’Apple « Touch ID », le jour même du lancement de l’iPhone 5s. L’année suivante, il avait reproduit les empreintes digitales de la Ministre de la défense allemande grâce à quelques photographies.