Mots de passe : 4 possibilités biométriques et comment ils peuvent être hackés.

Les méthodes de sécurité d’authentification s’améliorent tout le temps, mais elles ne sont toujours pas infaillibles.

Les mots de passe présentent de nombreux problèmes de sécurité. Les utilisateurs choisissent toujours des mots de passe courts et évidents ou utilisent les mêmes mots de passe sur tous leurs comptes. Pendant ce temps, les organisations auxquelles nous faisons confiance pour protéger nos données subissent souvent des piratages et finissent par perdre des millions d’informations d’identification de leurs clients. Tout cela entraîne une norme d’authentification à laquelle nous ne pouvons pas faire confiance.

Mais ne vous inquiétez pas encore ! Les mots de passe ne sont pas le seul facteur possible d’authentification. Vous pouvez utiliser de nombreux autres facteurs pour vous identifier, notamment les certificats numériques, les authentifications matériels et la biométrie. À l’heure actuelle, la biométrie est en vogue, principalement parce qu’elle est plus pratique. Plutôt que de devoir mémoriser une centaine de mots de passe différents, n’est-ce pas génial de simplement appuyer votre doigt sur un capteur ou de regarder votre ordinateur ou votre téléphone pour vous connecter ? Comme vous l’avez probablement remarqué, cela semble être le futur de l’authentification, avec de nouveaux exemples comme Hello de Microsoft et FaceID d’Apple.

Mais la biométrie résout-elle vraiment tous nos problèmes de sécurité d’authentification ?

Je dirais non. Bien que la biométrie soit assez précise, elle n’est pas infaillible. Au fil des ans, les pirates informatiques et les chercheurs ont souvent battu des solutions biométriques. Regardons les quatre meilleurs hacks biométriques du passé.

1. Gummy Bears Beat Up Lecteurs d’empreintes digitales.

Quand on pense à la biométrie, on pense probablement aux empreintes digitales. Les lecteurs d’empreintes digitales ont été l’une des premières formes de biométrie utilisées en informatique et elles sont très répandues aujourd’hui. Cependant, ils ont également été l’une des premières biométriques que les chercheurs ont trouvé comment les détourner à bas prix.

En 2002, un chercheur nommé Tsutomu Matsumoto a partagé comment pirater les lecteurs d’empreintes digitales avec de vieux oursons gommeux. Matsumoto a tiré des empreintes d’un verre en utilisant les mêmes techniques que les forces de l’ordre et ensuite utilisé les empreintes pour faire un doigt sur les matériaux gommeux. Avec un peu de travail, beaucoup de ces créations astucieuses ont trompé les capteurs d’empreintes digitales.

Bien sûr, au fil du temps, la biométrie est devenue plus avancée. Les capteurs modernes lisent à des résolutions plus élevées ou recherchent de nouveaux facteurs tels que la chaleur ou les pulsations cardiaques. Cependant, les techniques utilisées par les chercheurs pour les vaincre ont également évolué. En 2013, le Chaos Computer Club a battu le lecteur TouchID de l’iPhone peu après sa sortie. Encore plus récemment, les chercheurs ont piraté les lecteurs d’empreintes digitales avec du papier et de la colle.

Nous ne pouvons pas encore totalement leur faire confiance.

2. Faking Out Iris Scanners.

Nous avons tous vu des scanners d’iris sophistiqués dans les films, mais ces biométriques basées sur les yeux n’existent pas seulement dans la fiction.

Malheureusement, ils ne sont pas plus infaillibles que les lecteurs d’empreintes digitales. En 2012, les chercheurs ont partagé le fait sur comment ils pourraient contourner les lecteurs d’iris avec des images répliques d’iris. L’aspect le plus intéressant de cette recherche était de savoir comment ils répliquaient les faux iris à partir des données d’iris stockées dans la base de données du système biométrique. De la même manière que les fuites de la base de données de mot de passe entraînent des mots de passe piratés, une violation de la base de données iris pourrait entraîner des scanners oculaires trompés.

3. Paper Faces Fool Scanners visage.

La dernière tendance en matière de biométrie est la numérisation faciale. Avec des fonctionnalités telles que Hello de Microsoft, vous pouvez déverrouiller votre ordinateur ou votre téléphone en le regardant. Cela ressemble à un rêve d’utilisabilité, mais c’est encore trivial à battre.

Retour en 2011, un blogueur et chercheur a rapidement appris que vous pourriez facilement tromper les scanners faciaux Android avec une image fixe. Vous prenez une photo fixe de vous-même, montrez-la au téléphone, et voilà, vous êtes. Au crédit des fournisseurs, ils ont mis à jour leur technologie de scanner facial pour effectuer des vérifications de « vivacité », recherchant une sorte de mouvement le visage en regardant la caméra était une vraie personne. Malheureusement, un clin d’oeil Photoshopped pourrait contourner cette nouvelle vérification. Juste en éditant vos yeux fermés et en basculant entre deux photos fixes, vous pourriez passer ces contrôles de vivacité. Les bonnes nouvelles sont que la reconnaissance faciale est toujours en évolution.

4. Imprimantes 3D Crack 3-D Scanners faciaux.

En 2017, Apple a publié une nouvelle fonctionnalité de numérisation faciale appelée FaceID. En surface, l’expérience de l’utilisateur est comme n’importe quel autre lecteur facial. Cependant, sous le verre du téléphone est la technologie qui devrait rendre la reconnaissance faciale beaucoup plus précise et difficile à battre. Essentiellement, le téléphone comprend un capteur (TrueDepth) qui envoie des milliers de faisceaux de lumière infrarouge, qui cartographie votre visage avec précision. Cela permet au téléphone de stocker une sorte de représentation numérique 3D de votre visage, qu’il peut reconnaître sous plusieurs angles. Apple renforce cette fonctionnalité avec l’apprentissage automatique, qui peut vous reconnaître même lorsque vous portez des chapeaux, des lunettes ou d’autres accessoires qui pourraient confondre les scanners faciaux classiques.

Tout cela devrait rendre la biométrie faciale à toute épreuve et la rendre plus forte. Cependant, environ une semaine après la sortie de FaceID par Apple, un groupe de sécurité vietnamien a prétendu l’avoir piraté. Le hack nécessitait une imprimante 3D, des images infrarouges 2-D des yeux, de la poudre de pierre et beaucoup d’artisanat pour créer un masque qui pourrait tromper FaceID. Pour être juste, aucun autre groupe de recherche (à ma connaissance) n’a vérifié cette attaque de façon indépendante.

Je soupçonne que nous pourrions voir des mises à jour qui rendent plus difficile à tromper, mais jusqu’à présent, la numérisation faciale en 2D et en 3D ne sont pas parfaites.

Il peut sembler que je peins une image sombre pour l’avenir de la biométrie, mais ce n’est pas vrai. Les fournisseurs biométriques apprennent de ces erreurs et ajoutent de nouvelles fonctionnalités qui rendent leurs systèmes plus robustes. Pendant ce temps, de nouvelles options biométriques continuent d’émerger, telles que le rythme cardiaque, la cadence de frappe, et même les ondes cérébrales.

L’histoire nous a montré que les attaquants motivés peuvent trouver un moyen de copier, de voler ou de contourner les facteurs dont ils ont besoin. Si nous dépendons uniquement de la biométrie, nous subirons probablement les mêmes types de problèmes que les mots de passe rencontrés. Seulement maintenant, lorsqu’un pirate réplique votre empreinte digitale ou votre visage, vous ne pouvez plus l’utiliser pour l’authentification.

La biométrie jouera un rôle important dans l’avenir de l’authentification. Cependant, aucune possibilité d’authentification n’est infaillible. Plutôt que de dépendre entièrement d’une nouvelle forme de biométrie avancée, la solution la plus sûre consiste à implémenter l’authentification multifactorielle en utilisant plus d’un facteur pour tout ce que vous voulez sécuriser.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage