[Mythbusters] Biométrie explosée !

Le
Yannix
Salut,

Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters ! :

http://www.youtube.com/watch?v=MAfAVGES-Yc (Si vous ne comprenez pas
l'english, je peux vous retrouver la version en français de cette
épisode de la série Mythbusters si vous voulez.)

Je constate qu'ils arrivent à passer le contrôle de la porte, même avec
une simple empreinte imprimée sur du papier ! Ce qui semble plus simple
que le test de reconnaissance avec l'ordinateur, mais qu'ils arrivent à
passer aussi! Qu'en pensez vous ?


X.

PS: je mets en copie fr.sci.zetetique dès fois qu'il y ait de la triche
dans cet épisode.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Chriss
Le #22988371
Yannix a écrit :
Salut,

Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters ! :

http://www.youtube.com/watch?v=MAfAVGES-Yc (Si vous ne comprenez pas
l'english, je peux vous retrouver la version en français de cette
épisode de la série Mythbusters si vous voulez.)

Je constate qu'ils arrivent à passer le contrôle de la porte, même avec
une simple empreinte imprimée sur du papier ! Ce qui semble plus simple
que le test de reconnaissance avec l'ordinateur, mais qu'ils arrivent à
passer aussi! Qu'en pensez vous ?



Jamie Hyneman et Adam Savage sont deux experts en effets spéciaux.
Après avoir mis leur talent à contribution sur les plateaux de tournage
de Star Wars : la menace fantôme, La Matrice et A.I., ils se lancent
corps et âme dans un projet scientifique complètement fou. Tous les
moyens sont bons pour vérifier la véracité des nombreuses légendes
urbaines qui circulent. Tous!

L'insolite et le rationnel font bon ménage avec Les Stupéfiants,
version française de Mythbusters, série scientifique à succès de la
chaîne Discovery.

--
Liberté implique responsabilité. C'est là pourquoi la plupart des
hommes la redoutent.
Shaw (George Bernard)
Fabien LE LEZ
Le #22989381
On Tue, 04 Jan 2011 23:58:51 +0100, Yannix
Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters



C'est pas nouveau.

Qu'en pensez vous ?



Ça fait des années qu'on dit, ici et ailleurs, que le principe de
l'authentification par empreintes digitales est de la fumisterie.
C'est à peu près aussi sûr que l'authentification par la date de
naissance.
Yannix
Le #22990041
Le 05/01/2011 11:10, Fabien LE LEZ a écrit :
On Tue, 04 Jan 2011 23:58:51 +0100, Yannix
Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters



C'est pas nouveau.

Qu'en pensez vous ?



Ça fait des années qu'on dit, ici et ailleurs, que le principe de
l'authentification par empreintes digitales est de la fumisterie.
C'est à peu près aussi sûr que l'authentification par la date de
naissance.



Oui mais les fabricants de l'ordinateur de madame Michu ne semblent pas
au courant :
http://www.lemondeinformatique.fr/actualites/lire-lenovo-securise-les-donnees-via-un-lecteur-d-empreintes-digitales-20767.html


Et le meilleur est pour la fin :
http://www.itespresso.fr/lenovo-affiche-pc-portable-reconnaissance-faciale-35528.html

Madame Michu n'a plus qu'à s'afficher en burqa intégrale sur les photos
du mariage de sa nièce pour éviter qu'on accède à son portable Lenovo
ultra-sécurisé...

X.

PS: Mais bon, c'est sûrement un coup des chinois du FBI de chez Lenovo,
n'est-ce pas ? :-)
Ascadix
Le #22992071
Fabien LE LEZ a émis l'idée suivante :
On Tue, 04 Jan 2011 23:58:51 +0100, Yannix
Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters



C'est pas nouveau.

Qu'en pensez vous ?



Ça fait des années qu'on dit, ici et ailleurs, que le principe de
l'authentification par empreintes digitales est de la fumisterie.
C'est à peu près aussi sûr que l'authentification par la date de
naissance.



Et quand tu veut changer/révoquer le pass ..faut couper un doigt.

10 pass maxi ( 20 pour les acrobates, 21 pour les vantards )


:-))))))

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Stephane Catteau
Le #22993821
Yannix devait dire quelque chose comme ceci :

Ça fait des années qu'on dit, ici et ailleurs,





2002 si je me souviens bien, la première discussion après qu'un
spécialiste ait forcé une reconnaissance d'empreinte à l'aide d'une
feuille de papier.


que le principe de l'authentification par empreintes digitales est
de la fumisterie. C'est à peu près aussi sûr que l'authentification
par la date de naissance.



Oui mais les fabricants de l'ordinateur de madame Michu ne semblent pas
au courant :



Bien sûr que si ils sont au courant, mais d'une part madame Michu n'a
personne dans son entourage à même de passer outre la protection, et
d'autre part elle n'achète pas de la sécurité mais l'illusion de la
tranquilité. Elle veut juste pouvoir dormir tranquille parce qu'elle
sait que son fils ne découvrira jamais qu'elle fréquente en douce des
sites sur le macramé.
Jean-Marc Desperrier
Le #22994741
Yannix wrote:
Un test d'intrusion avec falsification des empreintes digitales par les
Mythbusters ! :



Ca n'est pas très neuf pour ceux qui connaissent un peu le domaine, mais
c'est bien que ce genre de chose soit le plus connu possible.

Ce qu'il faut retenir c'est que la biométrie par empreintes digitales
marche très bien pour identifier quelqu'un à la condition *impérative*
qu'une personne soit physiquement présente pour vérifier que le
protocole de prise d'empreinte est suivi à la lettre.

Si ce n'est pas le cas, il n'y aucune sécurité.

Un autre point intéressant et encore bien moins connu que les faiblesses
des empreintes digitales, c'est les limites de l'identification par ADN.
La plupart des tribunaux donnent malheureusement une confiance absolue,
aveugle à l'identification ADN.

Mais la première limite de l'ADN cependant est qu'il a toujours été
possible de piéger quelqu'un en déposant volontairement des traces de
son matériel génétique sur la scène d'un crime.

Et surtout il y a aujourd'hui deux facteurs supplémentaires qui empirent
nettement les choses :

- Le premier c'est que les empreintes ADN sont devenus incroyablement
populaires, ce qui fait que le nombre de relevés effectués surcharge les
laboratoires ce qui conduit à un travail à la chaîne où les erreurs sont
de plus en plus graves et de plus en plus fréquentes. On voit donc des
laboratoire faire des erreurs grossière d'étiquetage, des erreurs
d'interprétation du résultat. Parfois c'est au niveau du personnel qui
réalise le test que se situe le problème, comme dans cette affaire de
test de paternité où le résultat a été falsifié par la technicienne qui
se trouvait être la nouvelle petite amie du père présumé.

- Le deuxième, qui interagit très négativement avec le premier, c'est
que les techniques se sont améliorées permettant la détection à partir
de quantité de plus en plus faible de matériel génétique.

Mais certaines de ces techniques sont aussi nettement moins sure, et la
probabilité d'une correspondance accidentelle est beaucoup moins infime
qu'auparavant.
Or aujourd'hui on a créé d'énorme fichier ADN, et on recherche sur toute
la base une correspondance. Il y a un type qui a ainsi été condamné aux
US, alors qu'il n'avait aucun mobile, et habitait à plusieurs centaines
de km. Au procès les experts affirmaient qu'il n'y avait qu'une chance
sur des millions d'une fausse correspondance. Dans une contre-enquête,
d'autres experts étaient beaucoup plus réservés, chacun sortant une
probabilité d'erreur différente.

Et surtout avec une telle sensibilité, la contamination accidentelle
devient très difficile à éviter. On peut rire des allemands qui ont
cherché vainement une mystérieuse tueuse en série, qui était en fait la
technicienne préparant les cotons tiges destinés aux relevés de la
police scientifique. Mais beaucoup moins du cas où l'ADN d'un suspect a
été identifié sur le relevé de la scène du crime, parce que le test de
son ADN et celui de la scène du crime avait été pratiqués cote à cote
dans le laboratoire.

Tout ce que je raconte ici vient d'un article que je ne retrouve pas,
mais ce qui est frappant c'est que je trouve d'autres exemples du même
type d'erreur ! :
http://www.cbsnews.com/stories/2007/07/17/earlyshow/main3065082.shtml
http://www.garyisinnocent.org/web/

Double échec : Deux échantillons s'entre contamine dans un laboratoire,
et on sort un type d'une base de donnée, sans aucun lien direct avec la
victime, sur la base d'une échantillon d'ADN vieux de 30 ans (même si on
arrive aujourd'hui à en faire qqch la qualité de l'ADN se dégrade
fortement avec le temps)
Tonton Th
Le #22994901
On 01/06/2011 09:41 AM, Stephane Catteau wrote:

2002 si je me souviens bien, la première discussion après qu'un
spécialiste ait forcé une reconnaissance d'empreinte à l'aide d'une
feuille de papier.



C'était pas plutôt avec de la gélatine genre Haribo ?

--
Ma coiffeuse est formidable - http://sonia.buvette.org/
Kevin Denis
Le #22995171
Le 06-01-2011, Jean-Marc Desperrier
Ce qu'il faut retenir c'est que la biométrie par empreintes digitales
marche très bien pour identifier quelqu'un à la condition *impérative*
qu'une personne soit physiquement présente pour vérifier que le
protocole de prise d'empreinte est suivi à la lettre.



Il y a une nuance entre identifier et authentifier.
L'identité est publique, c'est le nom, l'empreinte digitale ou le login.

L'authentification est secrète et connue uniquement par la personne
s'authentifiant, ce qui prouve bien que la personne est bien ce
qu'elle prétend être. Cette authentification doit rester secrète!
(ce qui n'est pas le cas des empreintes digitales entre autre).
De plus cette authentification doit être révocable (en cas de
compromission ou de changement de politique d'accès, encore une
fois, à moins de couper des doigts, ça semble difficile :) )

M'identifier avec une empreinte digitale sur une machine ne me pose
pas de problèmes, pas plus que de dire que mon login est "kevin".

Par contre, m'authentifier avec pose problème.
--
Kevin
Fabien LE LEZ
Le #22995351
On 06 Jan 2011 15:08:41 GMT, Kevin Denis
pas plus que de dire que mon login est "kevin".



J'ai vu pas mal de gens écrire qu'il ne faut pas autoriser le login
SSH en root, parce que root est un login trop connu...
Stephane Catteau
Le #22995501
Tonton Th n'était pas loin de dire :

2002 si je me souviens bien, la première discussion après qu'un
spécialiste ait forcé une reconnaissance d'empreinte à l'aide d'une
feuille de papier.



C'était pas plutôt avec de la gélatine genre Haribo ?



Ah oui si, exact. Mais bon, j'ai l'excuse de mon grand âge et des
huits années écoulées.
Publicité
Poster une réponse
Anonyme