Une fausse main de cire pour pirater l'authentification veineuse

Bastien Contreras
Publié le 07 janvier 2019 à 09h30
0190000007457063-photo-main-veines.jpg

L'authentification veineuse est réputée pour être l'une des méthodes de reconnaissance les plus infaillibles. Pourtant, deux hackers ont réussi à tromper le système en utilisant une fausse main fabriquée en cire d'abeille.

Le principe de l'authentification veineuse est de scanner les veines de votre main et de les comparer à un modèle, afin de vous identifier. Particulièrement sophistiqué, ce système n'est aujourd'hui utilisé, en Europe, que pour l'accès à des bâtiments sous haute sécurité.

Une fabrication en un tour de main

Mais deux hackers allemands, Jan Krissler et Julian Albrecht, ont prouvé que le dispositif n'était en réalité pas à l'abri d'un piratage. Jan Krissler, également connu sous le nom de Starbug, s'était déjà distingué en craquant le système Touch ID d'Apple ou la technologie de reconnaissance d'iris.

Pour leurrer les dispositifs les plus répandus conçus par Fujistu et Hitachi, les deux chercheurs ont dû photographier des mains, à l'aide d'un reflex dépourvu de filtre infrarouge, pour voir apparaître le système veineux. Néanmoins, on imagine mal un hacker devoir jouer au paparazzi avec les mains de ses victimes... C'est pourquoi Krissler et Albrecht ont démontré qu'il était possible de miniaturiser l'appareil photo et de l'insérer, par exemple dans un sèche-main.

Après avoir traité l'image obtenue, il fallait alors créer une fausse main renfermant le système veineux capturé et imprimé. Les chercheurs sont parvenus à un résultat satisfaisant, en ayant recours à de la cire d'abeille, capable d'absorber une partie de la lumière du capteur. Ce processus de fabrication ne prendrait que 15 minutes.

Une menace balayée d'un revers de main

Le subterfuge ainsi créé présente toutefois des limites et nécessiterait quelques améliorations pour être vraiment efficace. Outre la difficulté à obtenir des images précises des mains de la future victime (si quelqu'un vous surprend en train de bricoler un sèche-main, vous allez sans doute paraître suspect), le dispositif aurait en effet besoin de conditions lumineuses particulières pour fonctionner.

C'est notamment ce qui a poussé un porte-parole de Fujitsu à minimiser la portée de cette expérience. Selon lui, la fausse main de cire ne pourrait pas tromper le système d'authentification veineuse dans la réalité.

Source : The Verge
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
Fodger

Et si l’individu a connu un traumatisme ?

ZiiD

Clair un petite radio + supplément photo IR offert par la maison. Bien sûr.
Hé hop ! Clairement les seuls à pouvoir violer se système c’est une agence gouvernementales. Mais quand on sais que la CIA à accès à la quasi totalité des ordis de se monde. Et dans le cas de rentrer dans un bâtiment il suffit de soulever des gens ou les soudoyer. À quoi bon?

Momozemion

L’article explique que ça prend 15 minutes et que c’est accessible à n’importe qui, et selon toi, ça ne concerne que la CIA.
Mieux, tu nous explique que glisser 5 sous dans une main font mieux.

Dans le genre neuneu bien basique, t’es bon.

TNZ

C’est toute la saveur de l’authentification biométrique. On ne peut pas révoquer / renouveller une “clé”.

Momozemion

C’est au moins aussi savoureux de lire un commentaire d’un mec qui ne sait pas de quoi il parle.
Il est bien évident que la clé peut être révoquée.

TNZ

Réfléchis un peu … en biométrique, tu ne peux pas changer tes empreintes. Une fois compromises, c’est foutu.
Même si l’empreinte est sorti du système pour qu’elle ne puisse plus être utilisée, cela ne règle pas le problème de la “clé” renouvelée pour la personne légitime.
La sécurité ne consiste pas à bloquer les intrus … cela consiste à s’assurer que les personnes légitimement autorisées puissent accéder à la ressource protégée.
“le mec qui ne sait pas de quoi il parle” te salue bien … et t’invite à visionner d’urgence Idiocracy.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles