À l’occasion du Chaos Communication Congress, un hacker a fait la démonstration d’une technique qui permet de cloner les empreintes digitales à partir de simples photos numériques montrant les doigts d’un individu. Les politiciens et autres personnalités de premier plan vont-ils devoir garder les mains dans leurs poches lorsqu’ils s’exprimeront en public ?
Le 06/01/2015 à 11:24 - Par
Sur cette capture d’écran extraite de sa présentation donnée au Chaos Communication Congress, le hacker Starbug montre la copie de l’empreinte digitale du pouce de la ministre allemande de la Défense, Ursula von der Leyen. Il a pu faire cette reproduction à partir de photos numériques montrant les mains de la dirigeante sous différents angles. © Starbug
Starbug, un hacker membre du Chaos Computer Club (CCC pour les intimes), vient de démontrer qu’il est techniquement possible de copier les empreintes digitales d’une personne en se servant de photos numériques de ses doigts. Lors de la 31e édition du Chaos Communication Congress qui s’est tenue il y a quelques jours à Hambourg (Allemagne), Jan Krissler, alias Starbug, a illustré son propos avec un exemple pour le moins impressionnant.
Il est parvenu à reproduire l’empreinte digitale du pouce d’Ursula von der Leyen, la ministre de la Défense du gouvernement allemand. Pour cela, il s’est servi de plusieurs photos de presse montrant les doigts de la dirigeante sous divers angles. Pour extraire les empreintes, Starbug a eu recours aulogiciel d’analyse VeriFinger qui est distribué gratuitement sur Internet. Ensuite, il a inversé lescouleurs de l’image obtenue afin de faire ressortir les reliefs. Cette image a été imprimée pour fabriquer un moule négatif qui a été rempli de colle à bois. Lors de sa démonstration diffusée surYouTube, le hacker s’est servi de ce faux pouce pour tromper le lecteur d’empreintes digitales Touch ID d’un iPhone.
Cette année encore, le Chaos Communication Congress a apporté son lot de révélations et de questionnements en matière de protection des données et de sécurité informatique. © Der Robert/CC-BY-2.0
Porter des gants pour protéger ses empreintes
Au moment de la sortie de l’iPhone 5s, qui était le premier modèle de la marque à incorporer le lecteur Touch ID, Starbug avait déjà exposé les limites du système. Mais, à ce moment-là, sa technique reposait sur la collecte d’empreintes à partir d’une surface physique. Désormais, des photos numériques de bonne qualité suffisent… L’exemple du smartphone Apple est médiatiquement frappant, mais ce leurre peut fonctionner avec d’autres lecteurs d’empreintes qui sécurisent l’accès à des ordinateurs ou des bâtiments. « Après cette conférence, les politiciens vont probablement porter des gants lorsqu’ils s’exprimeront en public », a plaisanté Starbug. Si le grand public n’est a priori pas directement menacé par cette découverte, dont la mise en œuvre est assez complexe, il en va autrement pour de hauts dirigeants ou des chercheurs qui se servent de la reconnaissance d’empreintes pour accéder à des bâtiments ou des données sensibles.
Il serait somme toute assez facile pour un pirate ou un service de renseignement, de se procurer des images montrant les mains d’une personnalité politique, d’un entrepreneur ou de toute autre personne exerçant dans un domaine sensible. C’est d'ailleurs pour renforcer les contrôles d'accèsque de nombreuses alternatives aux empreintes digitales sont à l’étude. Cela passe par la reconnaissance des battements du cœur, des mouvements oculaires ou encore de l’odeur corporelle.