Des chercheurs de Cisco Talos ont réussi à déjouer la protection par empreinte digitale des mobiles huit fois sur 10. Un travail qui n’est pas à la portée du hacker du dimanche. © meenkulathiamma, Adobe Stock
Tech

La protection par empreinte digitale est trop facile à contourner

ActualitéClassé sous :cybersécurité , biométrie par empreinte digitale , empreinte digitale

Un groupe de chercheurs de Cisco est parvenu à contourner 8 fois sur 10 la protection par empreinte digitale proposée par les plus grands fabricants de mobiles.

Cela fait maintenant des années que la sécurisation du déverrouillage par empreinte digitale se trouve sur la grande majorité des mobiles et même les modèles d'entrée de gamme. Dès l'arrivée de TouchID sur les iPhone 5S en 2013, les hackers se sont évertués à tenter le piratage de ce type d'authentification situé sur la touche ronde du mobile. Il ne leur avait fallu à l'époque que 48 heurs pour y parvenir.

Ce challenge est devenu de plus en plus compliqué à force de renforts de sécurisation par les différents constructeurs. Aujourd'hui, les empreintes digitales servent bien souvent pour la double-authentification d'un compte sur les mobiles et c'est plutôt efficace. On peut le dire, désormais tout le monde est à l'abri d'une tentative de piratage via ces systèmes de sécurisation par empreinte digitale. "Tout le monde", sauf peut-être des personnes précisément ciblées par des pirates dotés de moyens importants ou soutenus par des Etats. C'est ce que révèle une étude que vient de publier le groupe de sécurité Talos de Cisco. Avec un budget de 2000 dollars par mois, ils ont mis à l'épreuve les systèmes d'authentification par empreinte digitale sur les mobiles d'Apple, de Microsoft, Samsung, Huawei et les trois autres principaux fabricants de capteurs que l'on trouve sur les appareils électroniques. Au final, sur 20 tentatives avec chaque appareil, dans 80% des cas l'authentification a été réussie avec de fausses empreintes digitales très proches des réelles.

A partir des empreintes collectées et affinées numériquement, l'équipe a créé des moules imprimés en 3D sur des tampons souples pour leurrer les systèmes de déverrouillage par empreinte digitale. © Cisco Talos

0% de chances avec Windows 10

Si ce piratage est possible et assez efficace, l'équipe explique qu'il a fallut réaliser plus de 50 moules d'empreintes avant qu'un seul fonctionne avec ce niveau de résultat. L'expérience s'est déroulée sur plusieurs mois. Autant dire, qu'elle n'est vraiment pas à portée de tous les pirates. Il faut d'abord obtenir des empreintes digitales de la cible et concevoir les modèles d'empreintes. Cela demande une telle détermination que la cible doit être de grande importance pour souhaiter accéder au contenu de son appareil. C'est bien pour cette raison que les groupes de pirates soutenus par des entités dotées de gros moyens ou des Etats seraient les seuls susceptibles de réaliser l'opération.

Qu'il s'agisse des iPhone ou des autres mobiles, les chiffres étaient assez similaires. Certains modèles, comme les Honor 7x ou le Samsung Note 9, ont pu être déverrouillés systématiquement. Globalement, plus les modèles étaient récents et plus il fallait de tentatives. Dans tous les cas, cela signifie que la probabilité d'accéder au contenu d'un mobile avant son blocage par code est très forte. Outre les mobiles, seules deux clés USB sécurisées par capteur ont refusé toutes les tentatives de déverrouillage avec la fausse empreinte. L'ordinateur qu'elles sécurisait était animé par Windows 10. Pour les chercheurs, c'est grâce à l'algorithme de comparaison d'empreintes intégré à Windows 10 que la sécurisation a été renforcée. Mais pour eux, cela ne signifie pas pour autant que c'est impossible. Il faudrait juste un peu plus de temps et de moyens pour y parvenir.

  • Les systèmes de protection par empreinte digitale peuvent être déjoués avec une fausse empreinte.
  • Dans 8 cas sur 10, l'appareil est déverrouillé.
  • L'opération demande beaucoup de moyens et ne peut être envisagée que par des pirates soutenus par des Etats ou de grosses entités.
Cela vous intéressera aussi
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !