Des chercheurs en sécurité allemands sont parvenus à hacker l’authentification par les veines de la main en utilisant une fausse main en cire. Un système pourtant réputé ultra-sécurisé.
Afin de renforcer la sécurité des appareils et notamment des smartphones, les fabricants intègrent des technologies d’authentification biométrique, comme le lecteur d’empreinte digitale ou FaceID sur l’iPhone. On a aussi pu voir se développer la reconnaissance vocale ou le scan de la rétine, des solutions qui ne sont pas infaillibles. Récemment, on a découvert que seule la reconnaissance faciale de l’iPhone – le système FaceID – n’a pas été dupée par un visage imprimé en 3D.
Une autre méthode considérée comme plus difficile à tromper existe : l’authentification veineuse. Ce système fonctionne, comme son nom l’indique, avec un scanner qui numérique la forme, la taille et la position des veines présente sous la peau de la main d’un utilisateur. L’un des avantages de ce dispositif basé sur l’analyse des veines et jugé ultra-sécurisé est qu’il peut être plus difficile pour un pirate de récupérer la « cartographie » du réseau veineux de la main d’un utilisateur, comparé à une simple empreinte digitale qui peut être récoltée sur un objet ou une photo de haute qualité. Toutefois, cela ne suffit pas toujours, comme l’ont prouvé des chercheurs en sécurité allemands à l’occasion du Chaos Communication Congress à Leipzig, rapporte Motherboard.
Jan Krissler et Julian Albrecht ont réussi à contourner l’authentification veineuse en utilisant une fausse main en cire. « Cela vous met mal à l’aise de constater que cette méthode est considérée comme un système hautement sécurisé, puis vous modifiez un appareil photo, prenez du matériel bon marché et la piratez », explique Jan Krissler. Cette annonce et d’autant plus inquiétante que le système est proposé dans des bâtiments très sécurisés. Il est notamment utilisé par le service de renseignement allemand (BND) dans son nouveau siège à Berlin. Pour contourner le système, les deux chercheurs ont d’abord pris des photos de leurs veines puis ils ont utilisé un appareil photo reflex dont le filtre anti-infrarouge a été retiré. En enlevant cet élément présent au niveau du capteur de l’appareil, ils ont pu voir le réseau de leurs veines. « Il suffit de prendre des photos à une distance de cinq mètres », précise Jan Krissler. En tout, ils ont eu besoin de 30 jours et de plus de 2 500 photos pour perfectionner le processus et trouver une image adaptée. Ils ont ensuite utilisé cette image pour faire une maquette en cire de leurs mains qui comprenait le détail du réseau veineux.
Un système réputé plus sécurisé que les lecteurs d’empreintes digitales
« Lorsque nous avons dupé le système pour la première fois, j’ai été très surpris que ce soit si facile », ajoute Jan Krissler. Les chercheurs ont partagé les détails de leurs recherches avec Fujitsu et Hitachi. Ces deux sociétés fabriquent ces capteurs et si les chercheurs ont pu présenter leurs travaux aux employés d’Hitachi, Fujitsu n’a pas répondu et aucune des deux firmes n’a souhaité répondre aux questions de Motherboard. Alors que les deux chercheurs n’ont consacré qu’un mois à cette recherche, une société ou des services secrets disposant de ressources financières importantes pourraient s’intéresser à ces travaux et développer un système encore plus efficace. La « biométrie est toujours une course aux armements », assure Jan Krissler.« Les fabricants améliorent leurs systèmes, les hackers arrivent et cassent leur sécurité, et cela recommence ».