Le système d’authentification par identification des veines permet de déverrouiller des appareils. Il est réputé plus sécurisé que l’authentification par reconnaissance d’empreintes digitales. Pourtant, des hackers ont réussi à le déjouer, a rapporté Motherboard le jeudi 27 décembre.
Une technologie utilisée dans des services de renseignement nationaux
Jan Krissler et Julian Albrecht ont fait leur démonstration lors de l’annuel Chaos Communication Congress, un rassemblement de hackers, sur un système d’authentification par analyse des veines.
Ce dernier fonctionne comme un système d’authentification classique. Une personne scanne une première fois sa main ; la machine reconnaît et enregistre l’architecture de son réseau de veines, situé sous la peau. Grâce entres autres à la reconnaissance d’images, la machine est ensuite capable de l’identifier parmi d’autres.
Cette technologie n’est pas encore présente dans nos téléphones, le dispositif étant trop gros, mais elle est utilisée dans des lieux très sécurisés, comme des bâtiments dédiés à des services de renseignements nationaux. Certains imaginent aussi la substituer aux codes de cartes bancaires, ou aux clés d’ouverture des voitures.
Jan Krissler et Julian Albrecht ont réussi à déjouer ce système, réputé plus sécurisé que les empreintes digitales, grâce à de fausses mains réalisées en cire.
De fausses mains, avec de fausses veines
Motherboard raconte qu’ils ont commencé par prendre en photo, grâce à un appareil un peu trafiqué, leurs propres réseaux de veines. Ils ont ensuite créé de fausses mains, dans lesquelles ils ont inséré ces clichés. Ils ont démontré qu’ils pouvaient ainsi déjouer les systèmes d’authentification des marques Hitachi et Fujitsu. Or ces dernières représentent à elles deux la quasi totalité du marché.
Le procédé est relativement simple à mettre en place, une fois qu’on l’a compris, et que l’on a les bons outils. Les deux hackers estiment qu’il leur faudrait 15 minutes pour faire une nouvelle main truquée. Pour imaginer ce procédé, ils ont eu besoin de davantage de temps : 30 jours de recherche, et surtout, 2 500 tests infructueux.
Dans un communiqué transmis au média Heise Online, un porte-parole de Fujitsu a indiqué que la technique des deux hackers ne fonctionnerait qu’en laboratoire, et non en conditions réelles. Jan Krissler et Julian Albrecht ont en effet rencontré quelques problèmes à cause de la luminosité du hall du Chaos Communication Congress, qui faussait leur dispositif. Mais ils sont bien parvenus à le faire fonctionner finalement.
L’authentification par analyse de veines n’est pas la première à avoir été déjouée. Ces dernières années, des hackers ont déjà dévoilé de nombreuses failles. Jan Krissler – alias Starbug – lui-même avait détourné le Touch ID d’Apple, seulement 24 heures après sa sortie en Allemagne. Il a également prouvé que les systèmes de reconnaissance d’iris pouvaient être aisément trompés.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !