La sécurité n’a jamais fait bon ménage avec la facilité d’usage. L’innovation de LG risque d’être une preuve supplémentaire. Le conglomérat coréen annonce avoir développé un écran pouvant reconnaître des empreintes digitales. Son procédé repose sur un sillon de 0,3 mm de profondeur sur la partie inférieure du verre de protection permettant d’y insérer un capteur d’empreintes.
L’authentification de l’empreinte digitale est la mesure biométrique la plus employée dans le monde depuis les années 60. Pour renforcer la sécurité des smartphones, différents fabricants (Apple, Samsung…) proposent cette solution depuis quelques années. Lors du Mobile World Congress 2014 de Barcelone, Samsung avait même présenté son Galaxy S5 comme un porte monnaie électronique. Il intègre en effet une technologie d’authentification biométrique permettant aux utilisateurs PayPal de régler leurs achats en magasin et en ligne par reconnaissance de leurs empreintes digitales.
Cette intégration dans un smartphone apparaît comme la première adaptation concrète des travaux menés la FIDO Alliance. Créé en juillet 2012, ce consortium réunit notamment Google, Netflix, PayPal, des établissements bancaires, mais aussi Bank of America ou Target.
Pour éviter un piratage, les données biométriques ne sont pas stockées dans l’appareil mobile, mais dans le Cloud.
La FIDO Alliance propose deux protocoles spécifiques, le standard U2F (Universal Second Factor) s’appuyant sur un code PIN associé à toute forme d’appareil (clé USB, mobile NFC, etc.) et d’autre part le standard UAF (Universal Authentication Framework) comprenant toutes les solutions biométriques. Ces solutions s’appuient toutes sur une clé cryptée, une méthodologie déjà établie permettant d’établir une connexion de confiance.
Mais ce procédé biométrique est-il efficace ? Son principe est le suivant. Une quinzaine de points caractéristiques (les minuties, codifiées à la fin des années 1800 en « caractéristiques de Galton »,) correctement localisés permettent d’identifier une empreinte parmi des millions. Par ailleurs, la probabilité de trouver deux individus avec des empreintes similaires est de 1 sur 1024.
Présentée comme une solution pratique et sécurisée, l’authentification digitale a été rapidement mise à mal par les hackers. « C’est complètement stupide d’utiliser comme élément de sécurité quelque chose qu’on laisse si facilement traîner derrière soi », a expliqué le président du Chaos Computer Club, Frank Rieger.
Résultat, les capteurs d’empreintes du Galaxy 5 et de l’iPhone 5S ont été piratés quelques jours après leur sortie par les chercheurs allemands du SRLabs.
L’équipe a également constaté que le smartphone coréen était moins bien sécurisé que son concurrent américain, car il n’y a pas de deuxième couche de sécurité (Code PIN sous l’iPhone 5S).
Certes, la technique utilisée par les chercheurs allemands n’est pas à la portée du premier venu (la photo d’une empreinte a été transférée sur un support à base de colle à bois, lequel est apposé sur un moule) mais elle est inquiétante : « lier le capteur à des applications aussi sensibles que PayPal va inciter encore plus les pirates à apprendre à usurper des empreintes digitales, une compétence aisée à maîtriser » souligne le SRLabs.
Le plus surprenant est que les mises en garde contre les limites de ce type d’authentification sont récurrentes depuis quelques années.
En mai 2002, Tsutomu Matsumoto, de la Yokohama National University, a développé une technique permettant de concevoir de fausses empreintes digitales avec la gélatine alimentaire, utilisée pour la fabrication des bonbons. Il affirme être parvenu, 8 fois sur 10, à duper les 11 systèmes de reconnaissance d’empreintes qu’il a testés. Autre variante proposée et testée pour des empreintes laissées sur des verres : de la colle ultra forte et un logiciel de retouche photo pour augmenter le contraste de l’image avant de l’imprimer sur un transparent.
Pour réduire les risques, des chercheurs américains de l’Université de Virginie ont constaté fin 2005 qu’il fallait prendre en compte la transpiration. Ils ont effectué une série de tests pour lesquels ils ont utilisé une soixantaine de faux échantillons (à partir de pâte à modeler, d’argile, de gélatine et de plâtre dentaire). Ils ont également utilisé des doigts prélevés sur des cadavres humains. Leur étude a confirmé qu’il était facile de tromper la majorité (90 %) des lecteurs d’empreintes. Par contre, le taux d’erreur n’atteint que 10 % lorsque la sueur est prise en compte. Leur algorithme détecte et prend en compte la trame de la transpiration lorsque le lecteur contrôle une image d’empreinte digitale. De quoi intéresser la NSA qui a financé ce projet à hauteur de 3,1 millions de dollars…
Philippe Richard
Dans l'actualité
- Faire parler les « traces » d’empreintes digitales
- 4 transactions via votre carte de crédit pourraient révéler votre identité
- Vos ondes cérébrales pourraient remplacer vos mots de passe
- Payer avec son doigt, impensable?
- L’autodestruction des smartphones : une solution radicale en labo
- Les 100 premiers acteurs français du digital pèsent 12Md€
Dans les ressources documentaires