Deux hackeurs ont découvert que certains systèmes de sécurité biométriques basés sur le réseau des veines de la main pouvaient être dupés par une simple maquette à base de cire d’abeille.
Ces systèmes biométriques, utilisés depuis quelques années pour contrôler, par exemple, les accès à des bâtiments sensibles, sont censés reconnaître le réseau de veines qui court sous la paume des mains ou dans les doigts. Ces dispositifs, très populaires en Asie et utilisés, ont expliqué les chercheurs, pour déverrouiller des ordinateurs, contrôler l’accès à des hôpitaux ou à des installations nucléaires, sont des alternatives aux classiques (et vulnérables) systèmes de reconnaissance des empreintes digitales.
Deux pirates, Julian Albrecht et Jan Krissler, ont présenté jeudi 27 décembre leur méthode pour tromper ces appareils de détection des veines sur la scène du Chaos Communication Congress, la grand-messe des hackeurs qui se tient à Leipzig (Allemagne) jusqu’au 30 décembre.
Une imprimante et de la cire d’abeille
La méthode est très simple, surtout lorsqu’on la compare au niveau de sécurité dont se prévalent ces dispositifs de sécurité biométriques. Les deux hackeurs ont simplement pris des photographies de leur propre main avec un appareil dont le filtre à rayons infrarouges avait été enlevé afin d’obtenir une image de leurs veines, ont légèrement retouché les images, les ont imprimés, avant de les couvrir de cire d’abeille pour reproduire la chair humaine.
L’appareil de détection des veines de la paume de la main ne voyait aucune différence entre la main véritable et sa copie. Les deux hackeurs ont procédé de manière similaire pour un appareil de détection des veines dans le doigt. Les deux appareils testés, de marque Hitachi et Fujitsu, disposent, selon les chercheurs, d’une très importante part de marché dans le monde entier. Les deux entreprises, contactées par les deux hackeurs pour leur présenter leur trouvaille, ne leur ont pas précisé comment elles comptaient améliorer leurs appareils.
Les chercheurs ont dû réaliser plusieurs centaines de clichés pour parvenir à fixer correctement l’image de leurs veines. Un processus laborieux que des attaquants mieux équipés et plus déterminés pourraient nettement accélérer. Il est possible, explique l’un des deux chercheurs au site spécialisé Motherboard, « de prendre des photos à une distance de cinq mètres », ce qui pourrait rendre leur technique utilisable lors d’une conférence de presse d’une personne haut placée afin de « voler » son empreinte veineuse. Les chercheurs ont également expliqué avoir réussi à insérer un minuscule appareil photo dans un sèche-mains.
Tradition antibiométrie
C’est une tradition du Chaos Communication Congress (CCC) que de montrer les limites des systèmes de sécurité biométrique, qui sont vus comme un danger pour les libertés dans la communauté des hackeurs. Jan Krissler, plus connu dans ce cercle par son pseudonyme, Starbug, avait déjà été à l’origine d’un coup d’éclat sur la scène du CCC en 2008 en récupérant les empreintes digitales de Wolfgang Schaüble, alors ministre de l’intérieur d’un pays qui venait d’acter l’insertion dans les passeports des empreintes digitales.
Le même Starbug avait réitéré l’expérience six ans plus tard en se procurant, à partir d’une simple photo, les empreintes de la ministre de la défense, Ursula von der Leyen. Sur scène, les deux chercheurs ont d’ailleurs expliqué vouloir renouveler l’expérience avec les réseaux de veines de l’actuel ministre de l’intérieur, Horst Seehofer : « on essaie, on y travaille encore. »
Voir les contributions
Réutiliser ce contenu
