Empreintes digitales comme mot de passe : les experts s’interrogent …

Apple a ouvert la voie de la reconnaissance d’empreintes digitales avec le Touch ID afin d’alléger nos vies qui nécessite chaque jour un nouveau mot de passe pour son compte bancaire, facebook, twitter, google, ebay …

Le nombre croissant de systèmes embarqués  de reconnaissance du dessin papillaire digital sur les différents smartphones et PC nous conduit-il vers une futur ou l’identification d’un individu usagers se fera uniquement par le biais de ces systèmes de reconnaissance ?

Dans le domaine de la sécurité, qui dit nouveau procédé de reconnaissance d’empreintes digitales, dit nouvelles failles de sécurité qui apparaissent.

Et c’est bien le sujet principal de préoccupation des experts en sécurité informatique.

Si votre mot de passe vient à être piraté, vous pouvez tout simplement le changer : en revanche si vos empreintes digitales sont  piratées, elle sont perdues pour le restant de votre vie, explique Yulong ZHANG, éminent chercheur chez FireEye.

ZHANG est celui qui a révélé les vulnérabilités chez Samsung et HTC, qui permettent à des personnes mal intentionnées de voler purement et simplement les empreintes digitales d’utilisateurs de ces marques et systèmes.

Ainsi chez HTC « One Max Device », stocke les photos de vos empreintes digitales sans aucun encodage. Les images sont en format BMP (bitmap) et peuvent donc être lues très facilement à partir de n’importe quelle application de votre smartphone, et tout particulièrement si vous avez installé une application connue pour ses failles de sécurité.

Mais le Samsung 5S ne fait pas mieux : l’accès aux empreintes est vulnérable également car le capteur d’empreinte n’est pas isolé des autres fonctions du téléphone  alors que l’accès à ces données sensibles devrait utiliser les protections de TrustZone des puces ARM des smartphones.

En effet, TrustZone permet d’isoler ces actions du système d’exploitation.  Les saisies du scanner ne sont pas protégées.

Il semblerait que les fabricants aient fourni des patchs corrigeant ce problème.

Il est très fortement recommandé aux utilisateurs du système Android d’éviter de rooter leurs appareils, de les maintenir à jour, et de n’installer que des applications vérifiées par Google et donc par conséquent toujours téléchargées via Google Play.

Une empreinte digitale ou palmaire, comme tout identifiant biométrique, n’est pas modifiable.

Une bonne chose!

Vraiment ?

Empreintes digitales de ministre ?

Vous laissez constamment vos empreintes digitales et palmaires sur tout ce que vous touchez : elles deviennent publiques et accessible à qui se donne  la peine de la collecter.

Cela me rappelle une anecdote, lors de la visite d’un ministre de l’intérieur qui venait visiter un service d’identité judiciaire. Aux fins de démonstrations des techniques de prélèvement des empreintes digitales, celles du ministre avaient été prélevés. Les services de sécurité de ministre de l’intérieur s’arrachait le cheveux afin de récupérer au plus vite ce « fragment du ministre » qui leur échappait. On imagine assez aisément que l’empreinte digitale d’un ministre et un mot de passe qui garde des informations de la plus haute importance pour la nation toute entière !

Des hackers ont déjà réussi à fabriquer, à partir de traces laissées sur des objets divers et variés (verres, table…), une copie parfaite d’empreintes digitales et palmaires utilisables via un support papier et du silicone. Même les sécurisations thermiques peuvent être controlées ou shuntées !

Et il y a aussi « Starbug », alias Jan Krissler,   le leader de l’organisation Chaos Computer Club, qui affirme pouvoir  pirater les empreintes digitales de personnalités, et notament celle du pouce du Ministre de la Défense allemand, Madame Ursula Von Der Leyen, en partant pour seul point de départ, de photographies  fortement zoomées suivi dun post-traitemen  informatique.

Alors méfiez-vous des endroits ou vous laissez vos empreintes digitales car elles auront bientôt autant de valeur que le code de votre carte bancaire pour un esprit mal intentionné !