DeepMasterPrints : des empreintes digitales artificielles capables de tromper un tiers des smartphones

Le lecteur d'empreintes est devenu une fonctionnalité standard de bon nombre de smartphones pour sécuriser le déverrouillage et limiter l'accès aux données de l'appareil mobile.

Toutefois, la plupart des capteurs sont en fait des systèmes optiques prenant une photo de l'empreinte et la comparant à une référence pour l'authentifier et il est régulièrement démontré qu'il n'est pas très difficile de tromper les dispositifs.

Des chercheurs de l'Université de New York et de l'Etat du Michigan sont allés plus loin en développant un système DeepMasterPrints qui se targue de fonctionner comme un passe universel capable de déverrouiller un nombre significatif de smartphones.

Utilisant des techniques de deep learning, le système profite aussi du fait que les empreintes comparéessur smartphones sont souvent des empreintes partielles, bien plus faciles à reproduire que des empreintes complètes mais qui permettent d'obtenir des temps d'analyse (et donc de déverrouillage) rapides.

Pour chaque empreinte, plusieurs images de l'empreinte digitale partielle sont stockées et si l'empreinte testée est validée pour un petit nombre de ces références, le smartphone est déverrouillé, expliquent les chercheurs, alors que la vérification de l'empreinte complète nécessiterait une comparaison avec plusieurs dizaines d'images partielles, au prix d'un temps de traitement bien plus long.

L'outil DeepMasterPrints est en principe capable de créer des empreintes digitales artificielles capables de déverrouiller un peu moins d'un tiers des smartphones du marché mais, pour les chercheurs, un taux de réussite de plus de 20% est déjà une menace sérieuse pour la sécurité des lecteurs d'empreintes sur smartphone, censé garantir un taux d'erreur de 1/1000.

La méthode veut surtout permettre aux fabricants de modules de lecture d'empreintes de s'améliorer. Certains systèmes sont plus fragiles que d'autres, comme le lecteur d'empreintes logé dans le bouton on/off sur la tranche, fin et discret mais ne pouvant récupérer qu'une empreinte très partielle (guère plus d'un quart de l'empreinte totale).

La technique DeepMasterPrints tire aussi parti du fait que certains motifs des empreintes digitales se retrouvent plus fréquemment que d'autres, permettant de créer des modèles plus susceptibles de provoquer le déverrouillage, même sans connaître les caractéristiques de l'empreinte de référence.

C'est là que l'entraînement du système par des réseaux neuronaux peut aider à créer des empreintes digitales universelles présentant des caractéristiques susceptibles de correspondre avec certaines images partielles enregistrées sur le smartphone.

Utilisée à des fins malveillantes, une telle technique ne viserait pas spécifiquement un individu mais chercherait plutôt à gagner l'accès à un grand nombre d'appareils mobiles.