Sécurité par empreintes digitales sur une machine tactile : il n’y aurait pas comme un os ?

En entendant que le prochain iPhone pourrait avoir un lecteur d’empreintes digitales, je me suis demandé quel sens cela pouvait avoir sur une machine tactile. Je me suis personnellement amusé à contourner ce genre de protection sur les premiers lecteurs d’empreintes digitales. Il ne suffisait alors que d’une empreinte sur un bout de scotch posé au bout d’une gomme blanche pour que ça passe dans un cas sur deux.

C’était le cas sur ce genre de dispositifs, où on mettait le doigt à plat :

usingfinger

Pour contrer le problème, la plupart des lecteurs plus récents ont commencé à lire la conductivité du contact pour valider la présence d’un doigt humain : la salinité et l’humidité combinée font que la peau est électriquement conductive, ce qui est d’ailleurs utilisé dans la plupart des écrans tactiles, qui ne peuvent pas fonctionner si vous utilisez des gants.

Comme d’habitude, les hackers ont trouvé la parade, en utilisant un support en gélatine, comme vous ne trouverez expliqué dans cet excellent article : http://stdot.com/pub/ffs/hack3.html (crédit pour la photo ci-dessus, d’ailleurs).

Depuis, les lecteurs sont passés pour la plupart à des systèmes comme celui-ci :

Dans ce cas, le doigt doit défiler sur le système, et ceci rend plus complexe l’attaque par scotch ou gélatine. Surtout, les plus professionnels de ces lecteurs embarquent également un capteur infra-rouge qui permet de vérifier la température émise par le doigt, et donc de sécuriser encore plus la reconnaissance.

Du coup, les pirates ont visiblement abandonné les attaques physiques (ou peut-être simplement qu’ils ne communiquent plus dessus), mais cela n’est pas nécessairement une bonne nouvelle, car cela peut tout simplement vouloir dire que c’est plus simple de s’attaquer au software (voir http://www.brightsideofnews.com/news/2012/9/12/hacking-your-fingerprint-elcomsoft-finds-security-holes-in-biometric-readers.aspx)

En lisant http://www.inquisitr.com/490728/authentec-iphone-6-fingerprint-detection-and-apple-release-date-rumors/, je suis tombé sur un montage qui m’a fait me poser la question de l’intérêt d’un lecteur d’empreinte sur un dispositif tactile.

AuthenTec iPhone 6 Fingerprint Detection And Apple Release Date Rumors

Le site imagine un lecteur d’empreintes intégré à l’écran, ce qui pourrait laisser imaginer que la reconnaissance se fait de manière uniquement visuelle, et donc sans les sécurités dont nous parlions juste avant.

Or, les dispositifs à reconnaissance d’empreintes se basent en partie sur le fait qu’il n’est pas immédiat de relever une empreinte. Mais sur un dispositif tactile, l’écran en est en général recouvert après quelques minutes d’utilisation à peine !

Un autre article (http://www.ibtimes.com/apple-iphone-6-rumors-features-may-include-fingerprint-sensor-home-button-added-security-video) m’a rassuré sur le fait que le précédent n’était qu’une vue d’artiste, et qu’il serait plutôt question que le lecteur d’empreintes soit intégré au bouton “home”. Mais du coup, cela parait difficilement compatible avec un système à défilement, et on reviendrait donc sur les capteurs statiques d’ancienne génération, plus faciles à tromper… et avec une magnifique sources d’empreintes juste au-dessus, sur l’écran Sourire.

Je me doute bien qu’Apple aura bien réfléchi à tout ça, mais je serais curieux de savoir l’option qu’ils ont choisi, et quelle sera la sensibilité finale aux attaques “gomme” ou “gélatine”…

About JP Gouigoux

Jean-Philippe Gouigoux est Architecte Logiciel, MVP Connected Systems Developer. Il intervient régulièrement à l'Université de Bretagne Sud ainsi qu'à l'Agile Tour. Plus de détails sur la page "Curriculum Vitae" de ce blog.
This entry was posted in Sécurité. Bookmark the permalink.

2 Responses to Sécurité par empreintes digitales sur une machine tactile : il n’y aurait pas comme un os ?

  1. Arnaud says:

    Bonjour,

    Apple ne s’est toujours pas prémuni contre ce type d’attaque. Le TouchID est toujours vulnérable aux attaques par “gélatine”, ou plus précisément par “colle à bois”. Nous avons démontré que cette attaque était encore réalisable sur un iPhone 6s dans le contexte d’une PoC.

    Un Ingénieur en Cyberdéfense.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha Captcha Reload