De nombreuses technologies biométriques (reconnaissance par empreintes digitales, voix, visage, iris et séquençage ADN) sont plus faciles à pirater que l'on ne le pense. La solution viendra-t-elle de la biométrie dite "comportementale" ? Par Csaba Krasznay, évangéliste cybersécurité chez Balabit.
L'utilisation des données biométriques pour renforcer la sécurité de son entreprise ou tout simplement de ses terminaux connectés, présente de nombreux avantages. Le premier est évidemment de résoudre le problème des mots de passe, difficile à sécuriser et à retenir pour les utilisateurs, surtout lorsque l'on doit conserver mentalement plusieurs mots de passe pour un nombre croissant de comptes utilisateurs. A l'inverse, il est plus difficile d'oublier ses empreintes digitales ou sa voix... L'ouverture d'une session avec quelque chose que l'on est, plutôt que quelque chose que l'on connait, présente des avantages distincts pour l'utilisateur final.
Mais cela ne signifie pas que toutes les mesures d'authentification biométrique sont totalement sécurisées. En fait, de nombreuses technologies biométriques sont plus faciles à pirater que l'on ne le pense. Vous pensez que vos iris, empreintes digitales et subtilités humaines sont uniques et incorruptibles ? Cela n'est pas tout à fait exact. Plusieurs experts l'ont déjà démontré avec des techniques plus ou moins complexes.
La reconnaissance d'empreintes digitales
Des pirates informatiques ont réussi un vrai tour de force : créer des répliques d'empreintes digitales assez bonnes pour tromper les scanners grâce à de la poudre de graphite, des machines à graver et de la colle à bois. Cela nécessite simplement d'accéder à un objet que sa cible a touché. Ainsi, à partir d'une empreinte latente sur un verre de vin, le chercheur de l'Université de Yokohama, Tsutomu Matsumoto, a réussi à créer un moule en graphite qui a été capable de tromper des scanners dans 80% des tests réalisés.
Le balayage d'iris
Le Chaos Computer Club, un collectif de piratage basé à Berlin, a réussi à tromper la technologie de balayage de l'iris en utilisant un faux-œil créé à partir d'une photo imprimée. Une image haute résolution d'une iris a été enroulée autour d'une lentille de contact pour simuler la courbure de l'œil. Cette technique pourrait permettre à n'importe quel utilisateur de Twitter ou encore Facebook, par exemple, utilisant une photo de profil de bonne qualité, de se faire pirater.
La reconnaissance faciale
Des chercheurs de l'Université de Caroline du Nord ont créé un système qui construit des modèles numériques de visages à partir de photos de Facebook. Les modèles sont ensuite traduits en 3D, puis affichés à l'aide de la technologie VR (Réalité Virtuelle) qui simule les indices de mouvement et de profondeur recherchés par la reconnaissance faciale. L'animation était alors suffisamment convaincante pour contourner quatre des cinq systèmes de sécurité testés par les chercheurs.
Newsletter
Ma Tribune
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
La reconnaissance vocale
(Déjà) Plus classiques, les cybercriminels utilisent la parade simple de l'appel à une cible pour enregistrer des échantillons de voix destinés à mener des actions de piratage. Grâce à de simples échantillons de voix, ils sont capables de générer, via un synthétiseur vocal, des phrases qui n'ont jamais été dites par la personne piégée par l'appel initial. Plus compliqué, les pirates informatiques peuvent également essayer de faire dire à leurs victimes les phrases de sécurité qui leur donneraient accès à leurs comptes.
Séquençage ADN
Même si l'analyse d'ADN n'est pas largement utilisée comme mesure de sécurité, il est intéressant de savoir qu'elle pourrait être utilisée pour des raisons malveillantes. Des scientifiques de l'Université de Washington ont encodé des logiciels malveillants dans une molécule génétique qui a ensuite été utilisée pour prendre le contrôle de l'ordinateur pour l'analyser.
Le fait que ces technologies biométriques puissent être piratées est troublant. D'autant plus que, même si vous pouvez réinitialiser un mot de passe ou un code PIN, vous ne pouvez pas réinitialiser votre rétine ou votre empreinte. Une fois que les données biométriques sont en possession des pirates informatiques, il y a toujours un risque qu'elles soient utilisées pour compromettre des comptes personnels ou professionnels.
Une façon possible de prévenir de telles attaques est justement d'utiliser la biométrie comportementale comme base de sécurité, grâce à des données telles que la reconnaissance de la démarche de l'utilisateur, la dynamique des frappes sur le clavier, l'analyse du mouvement de la souris, etc. Ces comportements peuvent être surveillés et vérifiés en continu sans déranger les utilisateurs et permettre de détecter en temps réel si la personne qui utilise un objet ou un ordinateur de l'entreprise n'est pas la personne qu'elle devrait être. Bien entendu, c'est en combinant un maximum de données biométriques - mais aussi des données moins sophistiquées mais personnelles, telles que les heures habituelles de connexion ou d'utilisation de l'objet - que cette approche de la sécurité offre les résultats les plus fiables.
Quelle que soit la technologie biométrique utilisée, il est crucial qu'elle fasse partie d'une infrastructure de sécurité multifactorielle. L'utilisation simultanée de plusieurs mesures de vérification permettra d'éviter que les pirates informatiques n'aient accès à des informations sensibles.
Le piratage des données biométriques illustre bien la capacité qu'ont les cybercriminels à innover rapidement pour être capables de pirater les systèmes les plus avancés et sophistiqués. Mais, rassurons-nous, les chercheurs en cybersécurité travaillent eux-aussi à mettre au point les systèmes de protection. La course poursuite cybercriminels-spécialistes de la sécurité est loin d'être terminée.
