En coulisse
Après le piratage de Dropbox : le cloud chez soi
par Dominik Bärlocher
Empreintes digitales: un risque de sécurité
27/1/2017
Pour déverrouiller un smartphone, le lecteur d'empreinte est la méthode la plus rapide, mais certainement pas la plus sûre. Et le scanner d'iris présente plus de danger encore. Jetons un coup d'œil aux propriétés sécurisantes de vos empreintes digitales, à l'espace juridique européen et voyons comment le V de la victoire peut mettre à mal votre sécurité.
Le lecteur d'empreinte digitale est désormais une méthode reconnue pour déverrouiller un smartphone. Les appareils non équipés d'un scanner de ce type sont, d'ailleurs, considérés comme démodés ou technologiquement désuets. Les experts en matière de sécurité de l'information ont cependant de sueurs froides lorsqu'ils se penchent sur l'évolution des données biométriques en tant que facteur d'authentification. Et «données biométriques en tant que facteur d'authentification» n'est en réalité qu'un concept que personne ne comprend. Explication!
- Données biométriques: toutes les parties de votre corps qui peuvent d'une façon ou d'une autre, fournir des informations uniques à votre sujet. Il s'agit donc des empreintes digitales, de l'iris, des ondes cérébrales, des empreintes des orteils, de l'ADN, de la voix, etc.
- Facteur d'authentification: une chose dont vous avez besoin pour accéder à un espace protégé ou un service protégé. Par exemple: une clé, un code PIN, un badge, un mot de passe, etc.
Le présent article traite essentiellement des données biométriques fournies par les empreintes digitales et un peu de l'iris. Car les arguments pour ou contre les empreintes digitales peuvent sans mal s'appliquer à l'iris.
L'insécurité majeure des empreintes digitales
Au cinéma ou à la télé, il semble facile d'imiter une empreinte digitale. Un peu de poussière et du ruban adhésif... parfois même de la cire ou de la poudre, et le tour est joué. Est-ce aussi simple dans la vie réelle?
Oui, il faut juste un peu de temps et un magasin de bricolage (ou l'offre de Galaxus). Le hacker Jan Krissler alias Starbug du Chaos Computer Club est un expert en matière de trucage d'empreinte digitale. Dans une vidéo, il explique comment contourner le capteur biométrique de l'iPhone de manière très simple.
Le souci ne résulte pas seulement de la simplicité relative de l'opération de contournement, mais aussi de l'analyse des menaces. Par expérience, nous savons qu'un grand nombre de sociétés et d'utilisateurs négligent une telle analyse. Souvent, des affaires comme "le hacker russe" ou "le piratage informatique par l'état chinois" sont alors citées, de manière irréfléchie et sans penser plus loin. Au quotidien, on entend des réflexions du genre «Mais, je n'ai rien à cacher» ou «Qui pourrait bien s'intéresser à mes photos?», une nouvelle fois sans une once d'arrière-pensée ou de logique à propos des conséquences néfastes si cela devait se produire.
En général, une analyse des menaces apporte une réponse bien connue aux questions «Qu'arrive-t-il lorsqu'une précaution de sécurité échoue?» Et que va-t-il se passer si votre empreinte digitale est falsifiée? Vite suivies par d'autres questions comme «Que se passe-t-il lorsque toutes les images/photos stockées sur mon iCloud ou Google Drive deviennent accessibles à tous?» Allez-vous honnêtement prétendre que cela ne serait pas embarrassant? Une collègue a récemment évoqué des photos d'elle en tenue d'Ève, publiées sur Google Drive. Certes, les photos étaient destinées à son copain, mais Google a gentiment pris l'initiative de les copier sur son Drive, via Photos App.
N'importe qui peut accéder à ses selfies nue, grâce à l'empreinte digitale utilisée pour le mobile. Est-ce là sa volonté? «Bien sûr que non!», répond-elle. Voilà, l'utilité de l'analyse des menaces. «Enfin, la publication de mes photos en sous-vêtements ne me gênerait pas autant. Car elles sont joliment cadrées et réussies. Par contre, celles que j'ai prises pour mon projet de régime seraient embarrassantes» ajoute-t-elle.
Le problème gênant de la nudité de ma collègue est pourtant facile à résoudre.
Bien, maintenant que nous avons pris conscience qu'il est possible de falsifier une empreinte digitale avec de la colle à bois et que certaines personnes mal intentionnées peuvent accéder ainsi à des données personnelles, passons à l'étape suivante.
Vous possédez un nombre limité de doigts
Un mot de passe est un concept dynamique. Cela signifie qu'il peut être changé à volonté. Que ce soit 123456, yA3XKdpa ou CorrectBatteryStapleHorse peu importe. L'essentiel étant que vous pouvez changer votre mot de passe, aussi souvent que vous le voulez. Vous pouvez opter pour une autre stratégie en modifiant la longueur, les chiffres et les caractères de ponctuation. Et le tout en quelques secondes!
Il en va tout autrement pour vos empreintes. Vous avez dix doigts et donc dix empreintes que vous garderez toute votre vie. Normalement, impossible de les modifier. Par conséquent, si une de vos empreintes digitales devait être volée, vous ne serez plus jamais sûr de rien. Si un pirate s'efforce de vous piquer toutes vos empreintes digitales, vous pouvez d'emblée, faire une croix sur cette méthode d'authentification.
Si, toutefois vous persistez à vouloir recourir au capteur d'empreinte, il vous reste toujours des solutions insolites. Vous avez encore dix orteils, que vous pourriez scanner. Deux yeux pour le scanner d'iris. Et si on veut être un peu moins sérieux: ces messieurs ont une possibilité supplémentaire. Mesdames, vous êtes malheureusement désavantagées.
Cette plaisanterie est devenue un sujet de recherche et les utilisateurs de Reddit ont testé d'autres parties du corps.
- Le petit orteil fonctionne parfaitement
- Le coude n'a pas pu être enregistré. Cela fonctionnait bien au départ, mais le capteur n'a plus voulu participer ensuite
- La langue ne fonctionne pas, qu'elle soit mouillée ou non
- Le testicule gauche a beau être enregistré, le déverrouillage pose problème
- Les mamelons fonctionnent, même si seul l'un des deux a été enregistré
Encore pire: un hacker n'a même plus besoin de votre téléphone
Dans la vidéo précédente, le pirate a besoin de votre téléphone. Qu'il vous le dérobe ou qu'il l'emprunte seulement un court instant, cela n'a pas d'importance. Le hacker Starbug a mis en évidence un nouveau genre de piratage: il peut copier vos empreintes digitales à partir d'une photo avec une résolution convenable et les reproduire au moyen de la technique présentée ci-dessus.
C'était il y a deux ans. Récemment, le Japan Times a révélé que cette nouvelle éventualité choquante était tout à fait possible. Des chercheurs du National Institute of Informatics (NII) japonais y sont parvenus dans des conditions de laboratoire. C'est possible jusqu'à une distance d'environ trois mètres. En comparaison : Starbug a récupéré sur internet une photo de la ministre de la Défense allemande Ursula von der Leyen et il a acheté le nécessaire dans un magasin de bricolage. Ses recherches démontrent qu'il peut lire des empreintes digitales utilisables pour l'authentification à une distance de sept mètres maximum.
Mais, en fait, l'article du Japan Times ne porte pas réellement sur les photos, qui conduisent aux empreintes digitales. Il semblerait que cette phrase soit la plus importante:
But NII says it has developed a transparent film containing titanium oxide that can be attached to fingers to hide their prints, the reports said.
Dans son rapport, le NII indique avoir développé une pellicule transparente qui contient de l'oxyde de titane. Elle peut être fixée sur les doigts pour couvrir les empreintes digitales
Apparemment, le risque, d'être pris en photo avec un appareil HD et ainsi de se faire voler ses empreintes, est tel que l'on commence déjà à chercher et à trouver des contre-mesures.
La législation en Suisse
Juste pour info... on peut être contraint de déverrouiller son smartphone par reconnaissance digitale, mais on ne peut pas être contraint de donner son mot de passe. Puisqu'on parle de sécurité ;)
Ce commentaire a été laissé par l'utilisateur bluefisch200 sur mon article concernant le sujet Speed-Tuning pour Android. Quand je lui ai demandé sa source, bluefisch200 m'a envoyé un lien vers un article du magazine en ligne Mashable, au sujet d'un juge américain, qui a statué en premier sur la classification et la différenciation légale des empreintes digitales:
- Les mots de passe, codes PIN et modèles sont considérés comme un savoir et sont donc protégés par le 5e amendement de la Constitution des États-Unis.
- Les empreintes digitales sont des éléments de preuve, comme l'ADN ou une clé matérielle, et vous pouvez donc être contraints à les donner.
Bluefisch200 en conclut que cela vaut aussi pour la Suisse.
«Ce n'est pas le cas», affirme Martin Steiger. Il est avocat, avec son cabinet de Zurich, spécialisé en droit des nouvelles technologies. Le précédent juridique américain est intéressant, mais il ne concerne pas directement l'espace judiciaire suisse et ne peut donc pas être appliqué tel quel dans notre pays.
Au contraire : «Personne ne peut être contraint à déverrouiller son téléphone, que ce soit par mot de passe ou par empreinte digitale», déclare Steiger. Même un mandat de perquisition approprié peut théoriquement être contesté, bien que Steiger n'ait pas connaissance d'un cas de ce genre en Suisse. Il estime toutefois que les autorités judiciaires suisses se sont déjà intéressées à la question. Même si la police peut accéder au contenu d'un téléphone déverrouillé «de plein gré», cela ne veut pas dire que les preuves seront recevables devant un tribunal.
Il en va de même pour le relevé d'empreintes digitales: la police a le droit de relever vos empreintes digitales, mais vous pouvez refuser. Si besoin est, le ministère public peut ensuite prendre des mesures coercitives pour vous y contraindre. Cependant, selon Steiger, les empreintes relevées par la police ne peuvent pas être utilisées pour déverrouiller un téléphone. La méthode de Starbug échoue donc à ce stade. «Mais: l'État de droit suisse adopte souvent la position ‹La fin justifie les moyens›. Je ne serais donc pas surpris qu'une prise d'empreinte utilisée pour un déverrouillage soit déclarée admissible devant le tribunal», dit Steiger.
L'avocat affirme tout de même: «Souvent, les policiers demandent à l'accusé(e) dès le premier contact ses mots de passe et codes PIN. Ou qu'il ou elle déverrouille son portable par reconnaissance digitale.» Il ne faut pas répondre à ces questions. En cas de doute, les accusés doivent au moins provisoirement refuser de les donner et de déverrouiller leur téléphone. Ils n'ont pas besoin de se justifier, car dans un État de droit, le principe qui prime est: «Nul n'est tenu de s'accuser lui-même».
Ces articles pourraient aussi vous intéresser
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
Smartphone
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
69 commentaires
later