Le couple identifiant et mot de passe domine les procédures d’authentification dans les systèmes d’information. Cette formule ne garantit pas une sécurité satisfaisante.Principal risque : le ‘ buddy punching ‘. Cette expression désigne une pratique courante : l’échange de mots de passe entre collègues pour des raisons de commodité. Infrastructures à
clés publiques, token, clés USB ne sont que des renforts. Le fin du fin pour éviter le détournement semble être la biométrie. Les scanners d’empreintes digitales, intégrés au
clavier ou branchés sur le port USB, se démocratisent. Identifier une personne auprès d’une application par ses caractéristiques physiologiques garantit une authentification certaine. Du moins le croyait-on.Hélas, début août, deux pirates allemands, Lisa et Starbug, ont présenté une technique de falsification qui leurre les scanners d’empreintes digitales. La méthode reprend une expérience d’un chercheur en cryptologie
japonais, Tsutomu Matsumoto,
présentée en mai 2002.En utilisant de l’adhésif cyanoacrylate, une empreinte peut être polymérisée, puis révélée, colorée en blanc. Le cyanoacrylate prend sur des supports non poreux, tels les plastiques des scanners. L’image résultante est
photographiée, puis imprimée sur une feuille transparente. Elle est ensuite transférée sur une feuille de circuit imprimée photosensitive pour obtenir une forme tridimensionnelle. Le résultat est appliqué sur un faux doigt en gélatine. Les pirates
allemands ont perfectionné la technique en remplaçant la gélatine par du latex liquide ?” une fois desséché, celui-ci fournit une fine couche qui peut être posée sur un doigt. Cette solution a pour avantage de tromper des scanners capacitifs
usant d’électrodes pour détecter si un doigt est humain ou artificiel. Cela grâce à la moindre épaisseur du latex.Le doigt en gélatine de Tsutomu Matsumoto, lui, ne fonctionne correctement ?” dans 80 % des cas lors de ses tests ?” qu’avec des scanners optiques. Pire : une simple couche de latex liquide posée sur un doigt permet
de détourner l’authentification en toute discrétion. Ce qui confirme les doutes de Bruce Schneier, expert en sécurité de la société Counterpane qui, dès 1998, alertait sur les limites de la biométrie.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.