Pour pirater une empreinte digitale, une photo suffit

Pour pirater une empreinte digitale, une photo suffit

Apple l’assure encore : le système « Touch ID », qui permet de déverrouiller un iPhone grâce à son empreinte digitale, est plus que fiable.

« Votre empreinte digitale est le mot de passe absolu. Vous l’avez toujours sur vous. Et personne ne pourra jamais le deviner. »

Une nouvelle fois, des hackers allemands viennent de prouver que c’est faux.
Samedi soir, des membres du Chaos Computer Club (CCC), dont la 31e convention annuelle (le « 31C3 ») se tient de samedi à mardi à Hambourg, ont annoncé avoir reproduit l’empreinte du pouce droit d’Ursula von der Leyen, la ministre allemande de la Défense, à partir d’une simple photo.
L’image de son doigt a été prise lors d’une conférence de presse en octobre

This image is enough to fake Ursula von der Leyens (secretary of defense) fingerprint. #31c3 pic.twitter.com/OABaTssCxZ
— Johannes Boie (@johannesboie) [url=https://twitter.com/johannesboie/status/548932736539717632]27 Décembre 2014

[/url]« CETTE IMAGE SUFFIT POUR CONTREFAIRE L’EMPREINTE DIGITALE D’URSULA VON DER LEYEN (MINISTRE DE LA DÉFENSE) »

Un brin fanfaron (mais c’est compréhensible), le communiqué du CCC prédit« qu’après cette conférence, les politiciens porteront probablement des gants lors de leurs apparitions publiques ». L’intervention du hacker allemand Jan Krissler, alias « Starbug », diffusée en streaming sur le site du 31C3, est disponible en ligne (et en allemand).

Hacker d’empreintes depuis 2004

Jan Krissler est un excellent spécialiste de la biométrie au sein du CCC, qui combat depuis des années l’illusion de sécurité offerte par les empreintes digitales et la reconnaissance de l’iris. Le journal Die Zeit a publié samedi les conclusions d’une étude qu’il a conduite sur ces questions pour l’Université technique de Berlin.
En 2004, Jan Krissler montrait comment « fabriquer de fausses empreintes digitales en quelques minutes et à très peu de frais ». Elles permettaient de contourner la plupart des systèmes de prise d’empreintes, y compris ceux des aéroports. Quatre ans plus tard, le Chaos Computer Club rendait publique l’empreinte digitale du ministre de l’Intérieur allemand Wolfgang Schäuble.
Les vulnérabilités des systèmes grand public, en particulier ceux des iPhone,étaient déjà connues. Après le lancement de l’iPhone 5S, le CCC avait trompé le lecteur d’empreintes digitales avec une fausse empreinte en latex. Malgré les mises à jour de sécurité entreprises par Apple, les iPhone 6 ne passent pas mieux le test.

La vraie nouveauté dans ce que vient de démontrer le CCC, c’est qu’il n’y a même plus besoin de copier l’empreinte déposée sur un support : verre, table ou téléphone. Avec une simple photo, les pirates y arrivent les doigts dans le nez.

Source : Rue89