L'authentification biométrique est considérée comme une alternative plus sûre aux mots de passe traditionnels. L'authentification par empreinte digitale est actuellement la forme la plus courante de biométrie et est utilisée dans les smartphones, les ordinateurs portables et d'autres appareils tels que les serrures intelligentes et les clés USB.
Cependant, une étude de Cisco Talos a révélé que 80% de l'authentification par empreinte digitale peut être facilement contournée.
Pour leurs tests, les chercheurs ont pris les empreintes digitales directement de l'utilisateur cible de l'appareil ou de surfaces qu'une victime potentielle avait touchées. Dans le même temps, les experts ont fixé un budget relativement faible pour cette étude afin de déterminer ce qu'un attaquant aux ressources limitées peut réaliser. Ainsi, au total, ils ont dépensé environ 2000 dollars pour tester des appareils Apple, Microsoft, Samsung, Huawei, etc.
Les experts ont traité les impressions résultantes avec des filtres pour augmenter le contraste, ont utilisé une imprimante 3D pour créer des impressions, puis ont formé une fausse impression, remplissant ce formulaire avec de la colle peu coûteuse. Lorsque vous travaillez avec des capteurs capacitifs, les matériaux doivent également inclure du graphite et de la poudre d'aluminium pour augmenter la conductivité.
Les analystes ont testé les fausses empreintes digitales sur des scanners d'empreintes digitales optiques, capacitifs et ultrasoniques, mais n'ont trouvé aucune différence significative en termes de sécurité. Mais Cisco Talos note qu'ils ont obtenu les meilleures performances en attaquant les capteurs à ultrasons, qui sont les plus récents et généralement intégrés directement à l'écran de l'appareil.
Résultats de test.
Le moyen le plus simple de tricher avec de fausses empreintes digitales était le verrou AICase, ainsi que les smartphones Huawei Honor 7x et Samsung Note 9 basés sur Android. Pour ces appareils, les attaques ont réussi à 100%.
Vidéo promotionelle:
Les attaques contre l'iPhone 8, le MacBook Pro 2018 et le Samsung S10 ont été presque aussi réussies, avec un taux de réussite de plus de 90%.
Cinq modèles d'ordinateurs portables exécutant Windows 10 et deux clés USB (Verbatim Fingerprint Secure et Lexar Jumpdrive F35) ont montré les meilleurs résultats: ils ne pouvaient pas être trompés avec un faux.
Ainsi, dans le cas des téléphones mobiles, les chercheurs ont contourné l'authentification par empreinte digitale sur la grande majorité des appareils. Sur les ordinateurs portables, nous avons réussi à atteindre 95% de succès (c'était particulièrement facile avec le MacBook Pro), mais il n'était pas du tout possible de contourner la protection des appareils Windows 10 à bord en utilisant le framework Windows Hello.
Les analystes écrivent que malgré le fait qu'ils n'ont pas réussi à tromper l'authentification biométrique sur les machines Windows et les clés USB, cela ne signifie pas qu'ils sont si bien protégés. Il faut juste une approche différente pour les casser. Il est peu probable qu'ils résistent à un attaquant avec un bon budget, beaucoup de ressources et une équipe professionnelle.
Alors que le Samsung A70 a également fait preuve de résilience, les chercheurs expliquent que son authentification biométrique fonctionne tout simplement extrêmement mal et ne reconnaît souvent même pas les véritables empreintes digitales enregistrées avec le système.
Sur la base des résultats obtenus, les experts concluent que la technologie d'authentification par empreinte digitale n'a pas encore atteint le niveau après lequel elle peut être considérée comme fiable et sécurisée. En fait, les chercheurs écrivent que l'authentification par empreinte digitale des smartphones est devenue plus faible depuis 2013, lorsque Apple a introduit TouchID pour l'iPhone 5, puis le système a été piraté.
Auteur: Maria Nefedova