DeepMasterPrints : des empreintes digitales artificielles capables de tromper un tiers des smartphones

Le par  |  4 commentaire(s) Source : VNBC
OnePlus 6T empreintes 03

Des chercheurs américains affirment avoir développé des techniques pour créer une sorte de passe universel pour contourner les lecteurs d'empreintes des smartphones.

Le lecteur d'empreintes est devenu une fonctionnalité standard de bon nombre de smartphones pour sécuriser le déverrouillage et limiter l'accès aux données de l'appareil mobile.

Toutefois, la plupart des capteurs sont en fait des systèmes optiques prenant une photo de l'empreinte et la comparant à une référence pour l'authentifier et il est régulièrement démontré qu'il n'est pas très difficile de tromper les dispositifs.

Des chercheurs de l'Université de New York et de l'Etat du Michigan sont allés plus loin en développant un système DeepMasterPrints qui se targue de fonctionner comme un passe universel capable de déverrouiller un nombre significatif de smartphones.

Utilisant des techniques de deep learning, le système profite aussi du fait que les empreintes comparéessur smartphones sont souvent des empreintes partielles, bien plus faciles à reproduire que des empreintes complètes mais qui permettent d'obtenir des temps d'analyse (et donc de déverrouillage) rapides.

DeepMasterPrints 02

Pour chaque empreinte, plusieurs images de l'empreinte digitale partielle sont stockées et si l'empreinte testée est validée pour un petit nombre de ces références, le smartphone est déverrouillé, expliquent les chercheurs, alors que la vérification de l'empreinte complète nécessiterait une comparaison avec plusieurs dizaines d'images partielles, au prix d'un temps de traitement bien plus long.

L'outil DeepMasterPrints est en principe capable de créer des empreintes digitales artificielles capables de déverrouiller un peu moins d'un tiers des smartphones du marché mais, pour les chercheurs, un taux de réussite de plus de 20% est déjà une menace sérieuse pour la sécurité des lecteurs d'empreintes sur smartphone, censé garantir un taux d'erreur de 1/1000.

DeepMasterPrints 01

La méthode veut surtout permettre aux fabricants de modules de lecture d'empreintes de s'améliorer. Certains systèmes sont plus fragiles que d'autres, comme le lecteur d'empreintes logé dans le bouton on/off sur la tranche, fin et discret mais ne pouvant récupérer qu'une empreinte très partielle (guère plus d'un quart de l'empreinte totale).

La technique DeepMasterPrints tire aussi parti du fait que certains motifs des empreintes digitales se retrouvent plus fréquemment que d'autres, permettant de créer des modèles plus susceptibles de provoquer le déverrouillage, même sans connaître les caractéristiques de l'empreinte de référence.

C'est là que l'entraînement du système par des réseaux neuronaux peut aider à créer des empreintes digitales universelles présentant des caractéristiques susceptibles de correspondre avec certaines images partielles enregistrées sur le smartphone.

Utilisée à des fins malveillantes, une telle technique ne viserait pas spécifiquement un individu mais chercherait plutôt à gagner l'accès à un grand nombre d'appareils mobiles.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2045746
D'un autre côté, qui est capable d'exploiter cette faille ? La population est-elle composée majoritairement de chercheurs en informatique ?

Donc, pour moi, cela reste une méthode fiable.
Le #2045755
C'est quand même inquiétant, sachant que beaucoup d'applications y compris bancaires utilisent de plus en plus l'empreinte digitale pour déverrouiller l'application.
Keepass le fait également, et donc pourrait donner accès à l'ensemble des mots de passe stockés.
Le #2045774
Mouais…
Perso : ceux que je côtoie utilisent l'empreinte pour déverrouiller l'appareil, mais rarement pour des données sensibles, ou alors il y a un code en plus.
Et puis c'est pas tout le monde qui peut s'amuser à "cracker" des empreintes
Le #2045842
Ulysse2K a écrit :

D'un autre côté, qui est capable d'exploiter cette faille ? La population est-elle composée majoritairement de chercheurs en informatique ?

Donc, pour moi, cela reste une méthode fiable.


Qui est capable de programmer un contrôleur pour démarrer une caisse ? Pas grand monde, par contre le matos est en vente sur le dark web et autres.

Tout le monde n'a pas les capacités pour hacker une console, mais la aussi des outils tout prêts sont dispo.

etc, etc, on voit que cette argument, même si a première vue sensé, trouve vite ses limites et s'avère non pertinent.

De plus, le problème de la biométrie, c'est qu'on ne peut pas changer ses empreintes comme un mot de passe.

En ce qui me concerne, cette méthode est donc à bannir car elle est par essence inefficace pour gérer des accès, et ce quelque soit la techno utilisée (sans compter les problématiques de vie privée et fichage qui vont avec).
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme