Les capteurs à empreintes digitales ont transformé les smartphones modernes en miracles de commodité. Une touche de doigt déverrouille le téléphone – pas de mot de passe requis. Avec des services comme Apple Pay ou Android Pay, une empreinte digitale peut acheter un sac d’épicerie, un nouvel ordinateur portable ou même un milliard Aston Martin. Et appuyer sur un doigt dans une application bancaire permet à un utilisateur de payer des factures ou de transférer des milliers de dollars.
Bien qu’une telle magie soit pratique, elle a également laissé un trou de sécurité béant.
Les nouveaux résultats publiés lundi par des chercheurs de l’Université de New York et de l’Université d’État du Michigan suggèrent que les smartphones peuvent facilement être trompés par de fausses empreintes digitalement composées de nombreuses fonctionnalités communes trouvées dans les impressions humaines. Dans les simulations informatiques, les chercheurs des universités ont pu développer un ensemble de « MasterPrints » artificiels qui pourraient correspondre à des impressions réelles similaires à celles utilisées par les téléphones jusqu’à 65 pour cent du temps.
Les chercheurs n’ont pas testé leur approche avec des téléphones réels, et d’autres experts en matière de sécurité ont déclaré que le taux de correspondance serait nettement plus faible dans les conditions réelles. Pourtant, les résultats soulèvent des questions troublantes sur l’efficacité de la sécurité de l’empreinte digitale sur les smartphones.
« Ce n’est certainement pas aussi inquiétant que présenté, mais c’est presque certainement très mal », a déclaré Andy Adler, professeur de systèmes et de génie informatique à l’Université Carleton au Canada, qui étudie les systèmes de sécurité biométriques. « Si tout ce que je veux faire, c’est prendre votre téléphone et utiliser votre Apple Pay pour acheter des choses, si je peux entrer dans un téléphone sur 10, ce n’est pas une mauvaise chance. »
Continuez à lire l’histoire principale
COUVERTURE CONNEXION
TECH TIP
Laisser de nouvelles empreintes digitales sur l’iPhone 28 MARS 2017
Au revoir, mot de passe. Les banques optent pour numériser les doigts et les visages au lieu. 21 JUIN 2016
BITS BLOG
Avec iOS 8 d’Apple, votre empreinte digitale peut devenir le mot de passe principal SEPT. 24, 2014
Les empreintes humaines complètes sont difficiles à falsifier, mais les scanneurs de doigts sur les téléphones sont si petits qu’ils ne lis que des empreintes partielles. Lorsqu’un utilisateur configure une sécurité d’empreinte digitale sur un iPhone Apple ou un téléphone qui exécute le logiciel Android de Google, le téléphone prend habituellement huit à dix images d’un doigt pour faciliter la correspondance. Et beaucoup d’utilisateurs enregistrent plus d’un doigt, par exemple, le pouce et l’index de chaque main.
Comme un coup de doigt doit correspondre à une seule image mémorisée pour débloquer le téléphone, le système est vulnérable aux fausses correspondances.
« C’est comme si vous disposiez de 30 mots de passe et l’attaquant ne doit correspondre à un », a déclaré Nasir Memon, professeur d’informatique et d’ingénierie à la Tandon School of Engineering de NYU, qui est l’un des trois auteurs de l’étude, qui était Publié dans IEEE Transactions on Information Forensics and Security. Les autres auteurs sont Aditi Roy, un boursier postdoctoral à l’école Tandon de N.Y.U., et Arun Ross, professeur d’informatique et d’ingénierie au Michigan State.
Dr. Memon a déclaré que leurs résultats indiquaient que si vous pouviez en quelque sorte créer un gant magique avec un MasterPrint sur chaque doigt, vous pouvez entrer dans 40 à 50 pour cent des iPhones dans les cinq essais autorisés avant que le téléphone ne demande le mot de passe numérique, connu comme un personnage numéro d’identification.
Apple a déclaré que la chance d’un faux match dans le système d’empreinte digitale de l’iPhone était de 1 sur 50 000 avec une empreinte digitale enregistrée. Ryan James, un porte-parole de l’entreprise, a déclaré que Apple avait testé diverses attaques lors de l’élaboration de son système Touch ID, et a également incorporé d’autres fonctions de sécurité pour éviter de fausses correspondances.
Google a refusé de commenter.
Le risque réel est difficile à quantifier. Apple et Google gardent beaucoup de détails sur leur secret de la technologie des empreintes digitales, et les dizaines d’entreprises qui fabriquent des téléphones Android peuvent adapter le design standard de Google de manière à réduire le niveau de sécurité.
Stephanie Schuckers, professeur à l’Université Clarkson et directrice du Centre pour la recherche technologique d’identification, a été prudente quant aux implications des résultats de MasterPrint. Elle a déclaré que les chercheurs utilisaient un logiciel de programmation médiocre disponible sur le marché qui était conçu pour correspondre aux empreintes digitales complètes, limitant l’applicabilité plus large de leurs résultats.
« Pour savoir vraiment quel serait l’impact sur un téléphone portable, il faudrait l’essayer sur le téléphone portable », at-elle dit. Elle a noté que les fabricants de téléphones portables et d’autres personnes qui utilisent des systèmes de sécurité d’empreinte digitale étudient des techniques anti-spoofing pour détecter la présence d’un vrai doigt, comme la recherche de transpiration ou l’examen de motifs dans des couches plus profondes de la peau. Un nouveau capteur d’empreinte digitale de Qualcomm, par exemple, utilise l’échographie.
Les fabricants de téléphones ont reconnu que les capteurs d’empreintes digitales ne sont pas infaillibles, mais ont déclaré que la facilité de toucher un doigt pour débloquer un téléphone signifiait que plus d’utilisateurs utilisaient des dispositifs de sécurité au lieu de laisser leur téléphone débloqué – une habitude commune au début des smartphones.
M. Ross a reconnu les limites du travail. « La plupart des fournisseurs de téléphones intelligents actuels ne nous donnent pas accès à l’image d’empreinte digitale », a-t-il déclaré.
Pour un voleur ou un espion pour transformer les empreintes digitales dans les clés du smartphone, il faudrait beaucoup de travail supplémentaire. « Pour lancer cette attaque, il faut encore faire des faux doigts », a déclaré le Dr Ross.
Pourtant, la découverte fondamentale de l’équipe selon laquelle les empreintes partielles sont vulnérables à la falsification est importante, a déclaré Chris Boehnen, directeur du programme Odin du gouvernement fédéral, qui étudie comment vaincre les attaques de sécurité biométriques dans le cadre de l’activité Intelligence Research Research Advanced.
« Ce qui concerne ici, c’est que vous pourriez trouver un téléphone aléatoire, et votre barrière à l’attaque est assez faible », a déclaré le Dr Boehnen.
Les fabricants de téléphones pourraient facilement augmenter la sécurité en rendant plus difficile de faire correspondre l’empreinte partielle, at-il dit, « mais la compagnie de téléphone moyenne est plus préoccupée par le fait que vous soyez ennuyé que vous devez mettre votre doigt sur le téléphone deux ou trois fois avec Quelqu’un qui s’engouffre.
L’ajout d’un capteur d’empreinte digitale plus large réduirait également le risque, a déclaré le Dr Boehnen. Et certaines nouvelles options de sécurité biométrique, telles que le scanner d’iris dans le nouveau Galaxy S8 de Samsung, sont plus difficiles à tromper. (La reconnaissance de visage, une autre option de sécurité disponible sur certains téléphones, est considérée comme moins sécurisée que les empreintes digitales.)
Les utilisateurs du téléphone peuvent également se protéger en désactivant l’authentification des empreintes digitales pour leurs applications les plus sensibles, comme les paiements mobiles, a déclaré le Dr Boehnen.
Dr. Memon a déclaré que, malgré ses recherches, il utilisait toujours la sécurité de l’empreinte digitale sur son iPhone.
« Je ne suis pas inquiet », at-il dit. « Je pense que c’est toujours un moyen très pratique de déverrouiller un téléphone. Mais je préfère voir Apple me faire entrer le code PIN s’il est inactif pendant une heure. »
La Source: http://nyti.ms/2ppxwAG
