DeepMasterPrints : des empreintes digitales artificielles capables de tromper un tiers des smartphones
Des chercheurs américains affirment avoir développé des techniques pour créer une sorte de passe universel pour contourner les lecteurs d'empreintes des smartphones.
Le lecteur d'empreintes est devenu une fonctionnalité standard de bon nombre de smartphones pour sécuriser le déverrouillage et limiter l'accès aux données de l'appareil mobile.
Toutefois, la plupart des capteurs sont en fait des systèmes optiques prenant une photo de l'empreinte et la comparant à une référence pour l'authentifier et il est régulièrement démontré qu'il n'est pas très difficile de tromper les dispositifs.
Des chercheurs de l'Université de New York et de l'Etat du Michigan sont allés plus loin en développant un système DeepMasterPrints qui se targue de fonctionner comme un passe universel capable de déverrouiller un nombre significatif de smartphones.
Utilisant des techniques de deep learning, le système profite aussi du fait que les empreintes comparéessur smartphones sont souvent des empreintes partielles, bien plus faciles à reproduire que des empreintes complètes mais qui permettent d'obtenir des temps d'analyse (et donc de déverrouillage) rapides.
Pour chaque empreinte, plusieurs images de l'empreinte digitale partielle sont stockées et si l'empreinte testée est validée pour un petit nombre de ces références, le smartphone est déverrouillé, expliquent les chercheurs, alors que la vérification de l'empreinte complète nécessiterait une comparaison avec plusieurs dizaines d'images partielles, au prix d'un temps de traitement bien plus long.
L'outil DeepMasterPrints est en principe capable de créer des empreintes digitales artificielles capables de déverrouiller un peu moins d'un tiers des smartphones du marché mais, pour les chercheurs, un taux de réussite de plus de 20% est déjà une menace sérieuse pour la sécurité des lecteurs d'empreintes sur smartphone, censé garantir un taux d'erreur de 1/1000.
La méthode veut surtout permettre aux fabricants de modules de lecture d'empreintes de s'améliorer. Certains systèmes sont plus fragiles que d'autres, comme le lecteur d'empreintes logé dans le bouton on/off sur la tranche, fin et discret mais ne pouvant récupérer qu'une empreinte très partielle (guère plus d'un quart de l'empreinte totale).
La technique DeepMasterPrints tire aussi parti du fait que certains motifs des empreintes digitales se retrouvent plus fréquemment que d'autres, permettant de créer des modèles plus susceptibles de provoquer le déverrouillage, même sans connaître les caractéristiques de l'empreinte de référence.
C'est là que l'entraînement du système par des réseaux neuronaux peut aider à créer des empreintes digitales universelles présentant des caractéristiques susceptibles de correspondre avec certaines images partielles enregistrées sur le smartphone.
Utilisée à des fins malveillantes, une telle technique ne viserait pas spécifiquement un individu mais chercherait plutôt à gagner l'accès à un grand nombre d'appareils mobiles.
-
![Fichier d'empreintes digitales : la Cnil tape sur les doigts du ministère de l'Intérieur]()
La Commission nationale de l'informatique et des libertés (Cnil) rappelle à l'ordre le ministère de l'Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (Faed). -
![Qualcomm : un capteur d'empreintes digitales ultrasonique de nouvelle génération]()
Qualcomm annonce une évolution de son capteur d'empreintes digitales à ultrasons. Une deuxième génération promise plus rapide, outre une plus grande surface de lecture.
Vos commentaires
Donc, pour moi, cela reste une méthode fiable.
Keepass le fait également, et donc pourrait donner accès à l'ensemble des mots de passe stockés.
Perso : ceux que je côtoie utilisent l'empreinte pour déverrouiller l'appareil, mais rarement pour des données sensibles, ou alors il y a un code en plus.
Et puis c'est pas tout le monde qui peut s'amuser à "cracker" des empreintes
Qui est capable de programmer un contrôleur pour démarrer une caisse ? Pas grand monde, par contre le matos est en vente sur le dark web et autres.
Tout le monde n'a pas les capacités pour hacker une console, mais la aussi des outils tout prêts sont dispo.
etc, etc, on voit que cette argument, même si a première vue sensé, trouve vite ses limites et s'avère non pertinent.
De plus, le problème de la biométrie, c'est qu'on ne peut pas changer ses empreintes comme un mot de passe.
En ce qui me concerne, cette méthode est donc à bannir car elle est par essence inefficace pour gérer des accès, et ce quelque soit la techno utilisée (sans compter les problématiques de vie privée et fichage qui vont avec).