Pourquoi il vaut mieux ne pas se connecter avec son empreinte digitale

© iStock

“Les mots de passe sont sans valeur. Mais savez-vous ce qui est encore pire qu’un mot de passe? Votre empreinte digitale”, déclare Elliot Williams de Hackaday. Il a examiné de très près la connexion au moyen de l’empreinte digitale et en est arrivé – alors même qu’Apple Pay est proche – à des conclusions étonnantes.

Selon Williams, il y a trois raisons pour lesquelles une empreinte digitale ne convient pas en tant que solution de sécurité.

Trop facile à imiter

La première, c’est que les empreintes digitales ne sont pas secrètes, puisqu’on en laisse partout, et que l’on peut donc relativement facilement s’en emparer. Le pirate allemand Jan Krissler avait démontré il y a quelques années déjà qu’il était possible de falsifier une empreinte digitale laissée sur une tasse à café. Cela prend un peu de temps, mais c’est quasiment tout. Krisler avait eu besoin de deux jours pour créer un doigt factice en plastique qui avait réussi à berner TouchID de l’iPhone 5.

Unique

La deuxième objection, c’est que les empreintes digitales ne sont pas abrogeables. Si une base de données de mots de passe est piratée, ce qui arrive parfois, vous êtes bon à remplacer tous vos mots de passe, mais cela ne va pas plus loin. C’est nettement plus compliqué avec les empreintes digitales.

Une protection supplémentaire par hachage rendue impossible

La troisième objection, c’est que les empreintes digitales ne se prêtent pas bien au ‘hachage’. Cela est dû au fait que ‘quasiment’ suffit et doit suffire avec l’identification des empreintes digitales. Une empreinte digitale doit également être identifiée, lorsqu’elle est plus ou mois déformée, si quelque chose de plus dur ou de plus doux que la normale est pressé sur l’identificateur de l’empreinte, et aussi en cas de blessure. Le principe du hachage, c’est que de mini-écarts sont justement induits afin qu’un pirate ne puisse savoir s’il se rapproche ou non de la solution. Le hash de !motdepasse123 ne ressemble par conséquent totalement pas à !Motdepasse123, même si la seule différence réside dans le M capital. Il en résulte qu’une base de données d’empreintes digitales ne peut être sécurisée par hachage. Les empreintes stockées ne peuvent être protégées que par cryptage, ce qui fait que le stockage devient forcément un point faible.

L’analyse de Hackaday suscite la question de savoir s’il est bien sensé d’utiliser des services tels Apple Pay, qui peuvent être activés par une empreinte digitale.

Source: Automatiseringgids

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire