La firme de sécurité Thalos, une filiale de Cisco, a trouvé qu'il était facile de cloner une empreinte digitale, afin de déverrouiller un appareil. Elle a comparé ensuite sur ce point des smartphones, ordinateurs portables et autres appareils de marques premium assez récents.

Le déverrouillage n'est pas possible avec chaque appareil, mais sur certains, les chercheurs ont trouvé une possibilité de réussite de 80 pour cent en moyenne.

Thalos s'est basée sur trois scénarios:

  • Collecte directe: la victime est inconsciente ou ivre, et son empreinte digitale est prise directement sur un gabarit (avec une matière qui conserve l'empreinte) pour ensuite la copier. (orange)
  • Scan: l'empreinte digitale est copiée sur un autre scanner, comme celui d'un l'aéroport ou sur tout autre système d'accès sécurisé. (bleu)
  • Tiers: l'empreinte digitale est copiée sur la base d'une empreinte recueillie sur un verre ou une bouteille. (jaune)

Ce sont les deux premières méthodes qui offrent généralement le plus de succès. Mais sur base d'une empreinte sur un verre, les chercheurs ont aussi réussi à déverrouiller rapidement des appareils. Thalos fait observer que les scanners d'empreintes digitales ont toujours une marge et c'est là que le capteur et l'algorithme peuvent être trompés.

La possibilité de succès chez l'iPad (5ème génération) est de 50-60 pour cent. Chez l'iPhone 8, elle oscille entre 45 et 90 pour cent. Le Samsung S10 obtient un score encore plus mauvais (75-90 pour cent), alors que chez le Note 9, on atteint même 75-100 pour cent. Le concurrent Huawei ne fait pas mieux. Sur la base d'une empreinte digitale sur un verre, le P30 Lite peut être trompé dans quelque 70 pour cent des cas. Chez l'Honor 7X, c'est même 90-100 pour cent.

Le Samsung A70 ne fut, lui, pas du tout berné, mais les chercheurs constatèrent qu'ils ne parvenaient que très rarement à le déverrouiller avec un doigt bien réel. Il est donc ici surtout question d'une identification qui fonctionne mal.

Ordinateur portable Windows 10 vs MacBook

Ce qui est étonnant, c'est que les chercheurs ont aussi testé des ordinateurs portables et ont bien dû observer que les modèles avec Windows Hello (spécifiquement les HP Pavilion X360 et Lenovo Yoga) ne pouvaient pas être bernés.

Le Macbook Pro de 2018, par contre, pouvait être trompé dans 90-95 pour cent des cas en utilisant les deux premières méthodes, mais avec un doigt contrefait sur la base d'une empreinte recueillie sur un verre, le déverrouillage réussissait dans 60 pour cent des cas. Même une serrure pouvait être ouverte au moyen d'une empreinte digitale. Deux supports de stockage avec scanner d'empreintes digitales (Verbatim Fingerprint Secure et Lexar Jumpdrive F35) n'ont cependant pas pu être mystifiés.

Possible certes, mais pas évident

Les chercheurs ont aussi apporté quelques nuances. Il s'agit en l'occurrence d'une méthode d'attaque très ciblée. Quelqu'un qui vole votre téléphone ou qui trouve un téléphone égaré, ne peut y accéder facilement. Mais pour des cibles spécifiques (politiciens, CEO, personnes qui peuvent être une cible à cause d'informations stockées sur leur téléphone), Thalos recommande d'utiliser uniquement un mot de passe long et complexe au lieu d'une empreinte digitale. Ou une vérification en deux étapes (2FA), si c'est possible.

Thalos n'a pas révélé avec quel matériel précis le test a été réalisé, mais selon elle, il s'agit d'une imprimante 3D à usage domestique, mais qui est suffisamment détaillée que pour enregistrer les nuances dans les empreintes digitales.

L'approche en question n'a pas non plus réussi du premier coup. C'est ainsi qu'une empreinte digitale contrefaite doit aussi avoir les mêmes dimensions. Un demi-millimètre en trop ou en moins peut causer un échec. Il en est résulté qu'il fallut parfois imprimer plus de cinquante empreintes avant de trouver la taille voulue.

En résumé, une empreinte digitale peut être parfaitement copiée sur la base d'une simple empreinte sur un verre. Cela demande un peu de... doigté, mais une fois l'empreinte bien au point, la plupart des appareils testés pouvaient quasiment toujours être déverrouillés.

La firme de sécurité Thalos, une filiale de Cisco, a trouvé qu'il était facile de cloner une empreinte digitale, afin de déverrouiller un appareil. Elle a comparé ensuite sur ce point des smartphones, ordinateurs portables et autres appareils de marques premium assez récents.Le déverrouillage n'est pas possible avec chaque appareil, mais sur certains, les chercheurs ont trouvé une possibilité de réussite de 80 pour cent en moyenne.Thalos s'est basée sur trois scénarios:Ce sont les deux premières méthodes qui offrent généralement le plus de succès. Mais sur base d'une empreinte sur un verre, les chercheurs ont aussi réussi à déverrouiller rapidement des appareils. Thalos fait observer que les scanners d'empreintes digitales ont toujours une marge et c'est là que le capteur et l'algorithme peuvent être trompés.La possibilité de succès chez l'iPad (5ème génération) est de 50-60 pour cent. Chez l'iPhone 8, elle oscille entre 45 et 90 pour cent. Le Samsung S10 obtient un score encore plus mauvais (75-90 pour cent), alors que chez le Note 9, on atteint même 75-100 pour cent. Le concurrent Huawei ne fait pas mieux. Sur la base d'une empreinte digitale sur un verre, le P30 Lite peut être trompé dans quelque 70 pour cent des cas. Chez l'Honor 7X, c'est même 90-100 pour cent.Le Samsung A70 ne fut, lui, pas du tout berné, mais les chercheurs constatèrent qu'ils ne parvenaient que très rarement à le déverrouiller avec un doigt bien réel. Il est donc ici surtout question d'une identification qui fonctionne mal.Ce qui est étonnant, c'est que les chercheurs ont aussi testé des ordinateurs portables et ont bien dû observer que les modèles avec Windows Hello (spécifiquement les HP Pavilion X360 et Lenovo Yoga) ne pouvaient pas être bernés.Le Macbook Pro de 2018, par contre, pouvait être trompé dans 90-95 pour cent des cas en utilisant les deux premières méthodes, mais avec un doigt contrefait sur la base d'une empreinte recueillie sur un verre, le déverrouillage réussissait dans 60 pour cent des cas. Même une serrure pouvait être ouverte au moyen d'une empreinte digitale. Deux supports de stockage avec scanner d'empreintes digitales (Verbatim Fingerprint Secure et Lexar Jumpdrive F35) n'ont cependant pas pu être mystifiés.Les chercheurs ont aussi apporté quelques nuances. Il s'agit en l'occurrence d'une méthode d'attaque très ciblée. Quelqu'un qui vole votre téléphone ou qui trouve un téléphone égaré, ne peut y accéder facilement. Mais pour des cibles spécifiques (politiciens, CEO, personnes qui peuvent être une cible à cause d'informations stockées sur leur téléphone), Thalos recommande d'utiliser uniquement un mot de passe long et complexe au lieu d'une empreinte digitale. Ou une vérification en deux étapes (2FA), si c'est possible.Thalos n'a pas révélé avec quel matériel précis le test a été réalisé, mais selon elle, il s'agit d'une imprimante 3D à usage domestique, mais qui est suffisamment détaillée que pour enregistrer les nuances dans les empreintes digitales.L'approche en question n'a pas non plus réussi du premier coup. C'est ainsi qu'une empreinte digitale contrefaite doit aussi avoir les mêmes dimensions. Un demi-millimètre en trop ou en moins peut causer un échec. Il en est résulté qu'il fallut parfois imprimer plus de cinquante empreintes avant de trouver la taille voulue.En résumé, une empreinte digitale peut être parfaitement copiée sur la base d'une simple empreinte sur un verre. Cela demande un peu de... doigté, mais une fois l'empreinte bien au point, la plupart des appareils testés pouvaient quasiment toujours être déverrouillés.