Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Biométrie : deux hackeurs leurrent un système de reconnaissance des veines

En seulement 30 jours, à partir d’un matériel bon marché, deux chercheurs allemands ont réussi à déjouer un système de reconnaissance des veines en fabricant une main en cire. Pourtant, cette technologie biométrique est réputée pour être plus sécurisée que la reconnaissance des empreintes digitales.

Les systèmes biométriques de reconnaissance du système veineux, réputés pour être quasi infaillibles, sont utilisés pour sécuriser les accès à des bâtiments sensibles tels que les hôpitaux, les centres de serveurs ou certaines installations nucléaires. Considérés comme une alternative plus sécurisée que les lecteurs d’empreintes digitales, ils authentifient le réseau de veines qui s’étend sous la paume de la main. Or, deux spécialistes allemands de la cybersécurité, Julian Albrecht et Jan Krissler, viennent de démontrer que cette technologie d’authentification n’était pas aussi fiable qu’escompté. D’ailleurs, certains lecteurs, parmi les plus usités, peuvent être leurrés à partir d’une simple maquette en cire d’abeille.

Révélations durant le CCC
La démonstration a eu lieu le 27 décembre dernier, à l’occasion du le Chaos Communication Congress (CCC), la grand-messe des hackeurs qui se tient tous les ans à Leipzig en Allemagne. L’une des traditions de cet événement incontournable consiste à démontrer les limites des technologies biométriques, que les hackers considèrent comme une atteinte à la liberté individuelle. Au vu du niveau technologique dont se targuent ces systèmes d’authentification, la méthode des spécialistes allemands brille par sa simplicité. En effet, à partir d’un appareil photo dont on a seulement ôté le filtre à rayons infrarouges, les deux scientifiques se sont contentés de prendre un photo de leurs mains pour obtenir une image de leur système veineux. Une fois les images légèrement retravaillées, cette cartographie veineuse a été imprimée puis recouverte de cire d’abeille pour restituer le modelé de la chair humaine. Et le lecteur n’y a vu que du feu ! Cette grossière réplique d’une main a suffi à berner le système biométrique. Les deux experts ont, ensuite, réitéré le procédé sur deux systèmes de détection veineuse dans les doigts, signés Hitachi et Fujitsu, et censés faire autorité en la matière. Là encore, la méthode a porté ses fruits.

30 jours de labeur et 2 500 photos
Il faut tout de même savoir que le duo est passé par un processus laborieux, qui a nécessité la réalisation de 2 500 clichés pour obtenir une photogrammétrie correcte de la taille et de la disposition de leurs veines. L’idée étant de démontrer qu’il suffit d’un matériel de qualité moyenne pour déjouer les lecteurs les plus sécurisés.
Selon Jan Krissler, qui s’est confié au site spécialisé Motherboard, « un hacker mieux équipé pourrait tout à fait réussir à « prendre des photos à une distance de cinq mètres ». Par exemple, à l’occasion d’une conférence de presse où il serait possible de s’emparer de l’empreinte veineuse d’une personne importante. » Plus connu sous le nom de Starbug, ce hacker a également déclaré qu’il était possible d’obtenir ce résultat en insérant un minuscule appareil photo dans un sèche-main.

Une lutte historique contre la biométrie
L’expert n’en est pas à son coup d’essai. En 2008, c’est lui qui avait réussi à subtiliser les empreintes digitales du ministre de l’intérieur allemand, Wolfgang Schaüble, alors que ce dernier venait d’autoriser l’insertion des empreintes digitales dans les passeports. Six ans plus tard, ce génie du hacking biométrique avait réitéré l’exploit avec les empreintes de la ministre allemande de la Défense, Ursula von der Leyen, à partir d’une simple photographie.

Ségolène Kahn

Commentez

Participez à la discussion

Suivez-nous