Des chercheurs nord-américains ont réussi à leurrer le lecteur biométrique de deux smartphones Android haut de gamme en se servant d'une imprimante jet d'encre équipée d'encres conductrices que l'on trouve dans le commerce. La démonstration, qui prend à peine 15 minutes, vise à alerter sur la vulnérabilité de ces systèmes alors qu'ils sont amenés à servir de plus en plus pour les paiements sur mobile.

En septembre 2013, Apple présentait son nouvel iPhone 5S muni d'un lecteur d'empreintes digitales. À peine vingt-quatre heures plus tard, le groupe européen de hackers Chaos Computer Club (CCC) publiait une démonstration dévoilant comment il était possible de tromper le système Touch ID en fabriquant une fausse empreinte digitale. Décrite comme assez « simple », la méthode, qui consistait à utiliser des matériaux et équipements du commerce, était tout de même fastidieuse. Une équipe de chercheurs de l'université d'État du Michigan (États-Unis) vient de présenter une technique beaucoup plus rapide et abordable.

Kai Cao et Anil Jain, deux membres du département d'informatique et d'ingénierie, sont parvenus à tromper le lecteur d'empreintes digitales de deux smartphones Android haut de gamme très répandus : le Samsung Galaxy S6 et le Honor 7 de Huawei. Pour cela, il leur a fallu moins d'un quart d'heure et une imprimante jet d'encre. Dans la vidéo de démonstration que l'on peut voir sur YouTube, ils détaillent le processus.

La copie de l’empreinte digitale a été réalisée sur une imprimante jet d’encre Brother MFC-J5910DW dont les cartouches d’origine ont été remplacées par des cartouches AgIC. Vendue dans le commerce, cette encre conductrice permet d’imprimer des circuits sur du papier ordinaire pour réaliser des montages électroniques. © Michigan State University

Une imprimante jet d’encre du commerce et une encre conductrice

Dans l'imprimante, ils ont installé trois cartouches d’encre AgIC. Il s'agit d'une encre conductrice mise au point en 2014 par des chercheurs japonais qui permet de fabriquer des circuits imprimés avec une imprimante jet d'encre du commerce. Ils ont ensuite numérisé l'empreinte digitale de l'index à une résolution de 300 points par pouce. L'image est inversée puis imprimée sur un papier spécial AgIC. Il ne reste plus qu'à découper l'empreinte puis à l'appliquer sur le lecteur pour déverrouiller le smartphone. Les chercheurs soulignent qu'ils ont créé plusieurs leurres de différents doigts qui ont parfaitement fonctionné. Ils notent cependant qu'il a fallu plusieurs tentatives pour tromper l'Honor 7.

L'équipe de l'université du Michigan n'explique pas comment elle récupère une empreinte digitale mais l'on sait qu'il existe des méthodes assez simples qui consistent à utiliser du cyanoacrylate pour révéler l'empreinte sur une surface. Par ailleurs, Starbug, le hacker du CCC qui avait piraté le Touch ID, avait montré, il y a un an de cela, comment cloner les empreintes digitales à partir de simples photos numériques montrant les doigts d'un individu.

À l'instar de celle du CCC, la démonstration de Kai Cao et Anil Jain a pour vocation d'alerter l'opinion, et surtout les constructeurs, sur la nécessité de renforcer la sécurité de ces systèmes biométriques alors qu'ils sont amenés à jouer un rôle primordial avec le développement du paiement sur mobile.

Quoi qu'il en soit, les deux experts ne se montrent pas très optimistes pour l'avenir. « À mesure que les fabricants de téléphones renforcent leurs méthodes de lutte contre ce type de fraude, la méthode ici proposée ne fonctionnera peut-être pas avec les nouveaux modèles. Cependant, ce n'est qu'une question de temps avant que des hackers ne développent des stratégies de piratage pas simplement pour les empreintes digitales mais pour les autres techniques biométriques qui sont adoptées sur les téléphones mobiles (reconnaissance faciale et vocale, scan de l'iris) ».

Toutefois, certaines méthodes envisagées montreront peut-être une meilleure robustesse. À l'occasion du dernier Mobile World Congress, MasterCard a dévoilé un système permettant de valider un paiement en utilisant un autoportrait (selfie). Le géant de la carte bancaire travaille également sur une solution biométrique qui consiste à utiliser les battements du cœur.

Cela vous intéressera aussi