Voilà ce que conclut une étude réalisée par la New York University de Tandon, qui a été présentée lors d'une conférence sur la sécurité organisée à Los Angeles. Le rapport complet se trouve ici.

En bref, il est question ici de DeepMasterPrints: une technique par laquelle une empreinte digitale est générée avec l'aide de l'apprentissage machine. Cette empreinte peut alors servir de 'master key' (passe-partout). Selon le journal The Guardian, le système n'échoue que dans un cas sur cinq. Il nous faut cependant apporter ici la nuance, selon laquelle le système s'applique surtout au contrôle d'accès par exemple, où plusieurs personnes peuvent passer au moyen de leur empreinte digitale. S'il est question, disons, d'un smartphone, où un seul, voire deux utilisateurs sont enregistrés, l'approche est alors moins évidente.

DeepMasterPrints utilise deux points faibles dans le système. C'est ainsi que lors de l'enregistrement, une partie de votre doigt est scannée plusieurs fois. Or ces fragments séparés ne sont ensuite pas regroupés. Il en résulte qu'il y a une assez grande marge au niveau de la correspondance avec une empreinte digitale conservée, qui autorise l'accès quelque part. Il ne s'agit en effet que d'un fragment d'un autre fragment, plutôt que de l'empreinte digitale complète.

Le second problème, c'est que certaines caractéristiques des empreintes digitales apparaissent plus souvent que d'autres. Il en résulte qu'il est possible d'intégrer nombre de ces caractéristiques communes dans une empreinte digitale contrefaite. Ces deux failles combinées font qu'il est très possible de berner un scanner d'empreintes digitales.

Les chercheurs comparent leur technique à une attaque de type 'dictionnaire', où un mot de passe est deviné en testant des mots connus. Il suffit d'alimenter suffisamment d'empreintes digitales à un algorithme pour en tirer des enseignements et ensuite contrefaire une empreinte digitale complète qui, en combinant des éléments récurrents, ouvre l'accès dans de nombreux cas.