Des chercheurs utilisent des imprimantes 3D pour tromper le scanner d’empreintes digitales de votre téléphone
Les scanners d'empreintes digitales sont une méthode pratique pour accéder à vos téléphones et appareils, mais ils ne sont pas sécurisés. Si vous voulez de la sécurité, vous devez vous en tenir à un long PIN, ou mieux encore, un mot de passe (si possible). Les chercheurs de Cisco Talos ont souligné ce point lorsqu'ils se sont introduits dans plusieurs appareils à l'aide d'une imprimante 3D résine, d'un logiciel et d'une colle à 2 000 $.
Maintenant, le but de la recherche n'est pas de suggérer que votre voisin pourrait facilement entrer dans votre appareil avec une imprimante 3D standard et de la poudre d'empreintes digitales. Non, les chercheurs de Talos admettent pleinement que ce qu'ils ont fait est un travail fastidieux et nécessiterait un budget quelque part dans le quartier de 2 000 $.
Mais, bien qu'il ne s'agisse pas de la petite caisse «de votre Joe moyen» et des connaissances de Google, cela relève bien du domaine de nombreux budgets et capacités des forces de l'ordre et des agences gouvernementales.
Pour tester la sécurité de l'authentification par empreintes digitales dans vos appareils, l'équipe Talos a décidé de maintenir un budget relativement bas. Ils ont ensuite utilisé trois méthodes pour collecter les empreintes digitales. Tout d'abord, ils ont créé des moules en utilisant de la pâte à modeler. Deuxièmement, ils ont copié numériquement les empreintes digitales à partir d'un capteur d'empreintes digitales – en particulier, le type que vous pourriez utiliser lorsque vous passez la douane ou entrez dans une entreprise. Et troisièmement, ils ont pris des photos d'empreintes digitales sur du verre brossé avec de la poudre de magnésium (similaire au «dépoussiérage des empreintes digitales).
La première méthode a servi de contrôle car elle créerait l'empreinte digitale la plus précise.
Ils ont ensuite utilisé un logiciel pour combiner si nécessaire et améliorer les données d'empreintes digitales provenant de capteurs ou d'images et les ont exportées vers un fichier d'imprimante 3D. Cela leur a permis d'imprimer en 3D un moule en résine (qui nécessitait une imprimante spécialisée compatible UV) pour créer des empreintes digitales. Les chercheurs ont tenté d'imprimer directement les empreintes digitales en 3D, mais cela a échoué. Au lieu de cela, des moules imprimés en 3D combinés à de la colle textile ont fait l'affaire.
Avec les fausses empreintes digitales à portée de main, Talos a découvert qu'il pouvait déverrouiller les appareils mobiles 80% du temps. Ils ont testé les appareils Apple, Samsung et Huawei et ont réussi avec chaque appareil, quel que soit le type de capteur d'empreintes digitales utilisé.
Les ordinateurs portables étaient une autre histoire. Windows Hello n'est pas tombé sous le charme des fausses empreintes digitales, mais il a trompé les Apple MacBook Pros. De même, les clés USB Verbatim et Lexar ne se déverrouillaient pas pour les fausses empreintes digitales.
Pourtant, le taux de réussite élevé sur les smartphones est révélateur. Cela ne signifie pas que cela a été facile; selon Talos, les marges d'erreur sont faibles. Une empreinte digitale juste 1% trop grande ou trop petite ne pourra pas déverrouiller les appareils, par exemple. Et, en raison du processus de durcissement, obtenir une fausse empreinte digitale qui fonctionnait souvent prenait plus de 50 tentatives de moulage. Globalement, Talos a décrit le processus comme «difficile et fastidieux».
Mais la recherche montre que pour une entité avec du temps, de la patience et un budget aussi bas que 2000 $, pénétrer dans votre téléphone verrouillé par les empreintes digitales est tout à fait possible. Si vous ne prévoyez pas de problème avec ces connaissances, des fonctionnalités comme TouchID offrent toujours de nombreuses commodités. Mais pour plus de sécurité, passez à un code PIN.
Source: Talos