Les chercheurs ont démontré que les empreintes digitales pouvaient être clonées pour l’authentification biométrique pour aussi peu que 5 $ sans utiliser d’outils sophistiqués ou inhabituels.
Bien que l’authentification biométrique basée sur les empreintes digitales soit généralement considérée comme supérieure aux codes PIN et aux mots de passe en termes de sécurité, le fait que les empreintes puissent être laissées dans de nombreux lieux publics la rend propice aux abus.
Il a déjà été prouvé qu’il existe des moyens de collecter et d’utiliser les empreintes digitales des personnes pour tromper même les capteurs les plus sophistiqués. Cependant, ceux-ci impliquent généralement l’utilisation d’outils de niche tels que les appareils photo reflex numériques et imprimantes 3D haute fidélité.
Si seulement il existait un moyen peu coûteux de récupérer ces empreintes et de les convertir en empreintes digitales utilisables, cela aurait un impact sévère et négatif sur la sécurité de cette méthode d’authentification particulière.
Selon l’équipe de Kraken Security Labs, il existe un moyen de cloner des empreintes digitales à l’aide de matériaux peu coûteux, sans aucun outil haut de gamme impliqué à aucune étape du processus.
Une imprimante et de la colle
Comme l’équipe l’a démontré, voler l’empreinte digitale consiste à la photographier avec n’importe quel smartphone moderne, puis à générer le négatif sur un logiciel de manipulation de photos.
Cette étape d’édition de base est suffisante pour tonifier adéquatement les contours de l’empreinte digitale volée et la préparer pour l’étape d’impression, de sorte qu’aucune image DSLR haute résolution n’est requise.
Pour l’étape d’impression, toute imprimante laser acceptant des feuilles d’acétate conviendrait à l’attaque. L’acétate est généralement utilisé pour les cartes, les pochoirs et les superpositions, mais il est idéal dans ce cas car l’imprimante laser peut le graver.
Une fois l’impression terminée, l’empreinte synthétique peut se former en appliquant de la colle à bois sur l’impression et en la laissant sécher.
Source : Kraken
Grâce à des tests, l’équipe de Kraken a découvert que l’empreinte digitale résultante peut tromper les capteurs d’empreintes digitales de pointe tels que celui utilisé dans le dernier MacBook Pro.
« Nous avons pu effectuer cette attaque bien connue sur la majorité des appareils dont notre équipe disposait pour les tests. S’il s’agissait d’une véritable attaque, nous aurions eu accès à une vaste gamme d’informations sensibles. » – Kraken
Vous ne devriez pas vous fier uniquement aux empreintes digitales
Les découvertes de Kraken ne signifient pas que la fin des empreintes digitales est proche, mais c’est un bon rappel des raisons pour lesquelles les gens ne devraient pas les traiter comme une seule couche de protection pour leurs comptes.
Les empreintes digitales sont une méthode d’authentification biométrique pratique, mais lorsqu’il s’agit d’applications critiques, elles ne doivent être utilisées que comme 2FA en conjonction avec un mot de passe fort.
« Une empreinte digitale ne doit pas être considérée comme une alternative sécurisée à un mot de passe fort. Cela rend vos informations – et, potentiellement, vos crypto-actifs – vulnérables même aux attaquants les plus simples », expliquent les chercheurs de Kraken.
À mesure que la technologie progresse et que l’électronique grand public à bas prix devient plus capable de produire des résultats de haute fidélité, les empreintes digitales seront encore plus faciles à cloner.