Sécurité : l’identification par empreinte digitale en question
Peut-on vraiment confier aux lecteurs d'empreinte digitale ce que nous avons de plus précieux : le contenu de nos téléphones et nos données ? Il suffit, en effet, d’une imprimante et d’un peu de savoir-faire pour fabriquer un faux doigt avec une empreinte qui n'est pas la vôtre.
C’est une vidéo dont le but est de nous mettre en garde et de remettre en question le faux sentiment de sécurité que l’empreinte digitale a hérité des films d’espionnage dans l'inconscient collectif. Ses auteurs ? Des experts en sécurité informatique de la banque américaine Kraken, spécialisée dans les crypto-monnaies.
Dans cette vidéo, ils montrent à quel point il est simple de reproduire une empreinte digitale pour en faire une copie qui trompe les capteurs biométriques de tous nos appareils connectés : smartphones, tablettes et ordinateurs.
Le processus comporte quatre étapes
La première étape consiste à récupérer un objet sur lequel l’empreinte digitale à reproduire a été déposée par son propriétaire : "Une photo de l'empreinte, c'est tout ce dont quelqu'un qui vous veut du mal a besoin pour la copier, qu'il la prenne sur un écran d'ordinateur, de smartphone ou sur le verre dans lequel vous avez bu", dit la voix off dans la vidéo.
Cette photo doit ensuite être traitée, nettoyée, optimisée pour l’impression. Elle passe donc par un logiciel de traitement d’image comme Photoshop ou Pixelmator. Les auteurs de la vidéo estiment à une heure le temps nécessaire pour effectuer toutes les retouches sur l’image, ce qui implique donc un peu de savoir-faire.
Troisième étape : l’impression, via une imprimante laser, sur une feuille d’acétate, autrement dit de plastique transparent. On les trouve à 35 centimes l’unité sur Internet. Enfin, on dépose quelques gouttes de colle à bois sur l’empreinte imprimée et on laisse prendre et sécher. Résultat : un faux bout de doigt, constitué d’une matière nacrée opaque, sur lequel on retrouve les circonvolutions des crêtes caractéristiques de chacun de nous.
Lecteurs à ultra-sons : un espoir de meilleure sécurité
S’il s’agissait simplement de se fabriquer un faux nez, ce serait beaucoup moins grave, parce que ce faux bout d’index réussit à tromper tous les lecteurs biométriques sur lesquels il est testé : iPhone, iPad, smartphones Android, ordinateurs portables, et même, des porte-feuilles électroniques !
Aucun lecteur d’empreinte actuel ne résiste à cette copie : la faute, en grande partie, à ces capteurs dits capacitifs qui se contentent de probabilités pour dire si le doigt présenté est bien le vôtre, et pour donner accès notamment à vos moyens de paiement comme Samsung Pay, Google Pay ou Apple Pay. L'authentification biométrique passe par un téléphone ou une carte bancaire, comme la carte à lecteur d'empreinte digitale lancée, cette année, par BNP Paribas qui permet de faire du "sans contact" en s'affranchissant du plafond de 50 euros.
Pourquoi est-il si facile de tromper ces lecteurs d’empreinte ?
Ils n’ont pas radicalement évolué dans nos appareils depuis la révolution qu’a représenté l’iPhone 5S en 2013. On attend maintenant l’arrivée de lecteurs à ultra-sons, infiniment plus précis, et qui fonctionnent de la même manière qu’une chauve-souris se repère dans l’obscurité. Sur le papier, c’est un espoir de plus grande sécurité, mais il reste à confirmer.
Cette démonstration a un but : nous inciter à ne pas trop faire confiance à nos lecteurs d’empreinte digitale : "Pour vous protéger, ne faites jamais confiance intégralement à l’identification par empreinte digitale", ajoute la voix-off dans la vidéo.
On comprend qu’utiliser sa seule empreinte digitale pour donner l’accès à ce qu’on a de plus précieux, c’est un peu comme écrire son code secret sur des Post-it qu’on collerait dans son porte-feuille. Cette reconnaissance immédiate en posant son doigt nous a longtemps fait rêver, et James Bond n’y est pas pour rien. Mais elle s’avère, aujourd’hui, très insuffisante pour nous protéger des risques de piratage, qu’il s’agisse d'intelligence économique ou – parfois – de la sphère privée.
Deux conseils
Si possible, privilégiez les appareils avec reconnaissance faciale : il s’en est vendu 1 milliard l’an dernier. Mais il s’était aussi vendu 1 milliard de smartphones avec lecteur d’empreinte digitale en 2018 ! Ces appareils qui scannent votre visage ("FaceID" sur iPhone, "reconnaissance faciale" sur Samsung Galaxy, "Face Unlock" sur Google Pixel sauf sur les tout derniers modèles, les Pixel 6 et Pixel 6 Pro) sont nettement plus sûrs, même si certains ont aussi réussi à les tromper avec des masques en latex "à la Mission Impossible".
A défaut, en plus de votre empreinte digitale, activez l’authentification à deux facteurs, quitte à remettre en service votre bon vieux code secret… mais sans le noter partout !