Le verrouillage par empreinte digitale du téléphone peut être contourné à l'aide d'une empreinte digitale imprimée en 3D

Les chercheurs du groupe de cybersécurité Cisco Talos ont démontré comment ils ont pu tromper et contourner les systèmes d’authentification par empreinte digitale sur les téléphones, ordinateurs portables et autres appareils en utilisant de fausses empreintes digitales créées avec la technologie d’impression 3D et de la colle textile.

Selon les chercheurs, Paul Rascagneres et Vitor Ventura, les fausses empreintes digitales imprimées ont été testées sur une large gamme d’appareils et ils ont réussi à atteindre un taux de réussite d’environ 80 % en moyenne.

Il existe trois principaux types de capteurs d’empreintes digitales : capacitif, optique et ultrasonique. Chacun de ces capteurs fonctionne légèrement différemment en fonction du matériau et des méthodes de collecte utilisées dans le moule.

Le type le plus courant est le capacitif, qui utilise le courant électrique naturel du corps pour lire les empreintes digitales, tandis que les capteurs optiques utilisent la lumière pour scanner et créer une image d’un doigt. Les capteurs ultrasoniques, le type le plus récent et fréquemment utilisé pour les capteurs à écran, utilisent des ondes ultrasoniques pour rebondir sur un objet physique, dans ce cas, un doigt ; l’écho est lu par le capteur d’empreintes digitales, ce qui rend le capteur ultrasonique le plus facile à contourner.

« Nos tests ont montré qu’en moyenne, nous avons atteint un taux de réussite d’environ 80 % en utilisant les fausses empreintes digitales, où les capteurs ont été contournés au moins une fois. Atteindre ce taux de réussite a été un travail difficile et fastidieux. Nous avons rencontré plusieurs obstacles et limitations liés à l’échelle et aux propriétés physiques des matériaux », ont expliqué Vitor Ventura et Paul Rascagneres de Talos dans leur analyse de recherche.

« Néanmoins, ce niveau de taux de réussite signifie que nous avons une très forte probabilité de déverrouiller n’importe lequel des appareils testés avant qu’il ne revienne à l’authentification par code PIN. Les résultats montrent que les empreintes digitales sont suffisamment bonnes pour protéger la vie privée d’une personne moyenne si elle perd son téléphone. Cependant, une personne susceptible d’être ciblée par un acteur bien financé et motivé ne devrait pas utiliser l’authentification par empreinte digitale. »

Les chercheurs ont utilisé une imprimante 3D pour créer des moules et les ont durcis dans une chambre UV. Ils ont utilisé les moules pour créer de fausses empreintes digitales, puis les ont coulées sur des matériaux comprenant du silicone et de la colle pour tissu.

« Au cours de nos tests, il est devenu clair que le matériau utilisé est un facteur déterminant selon le type de capteur, en particulier lors de la comparaison des capteurs soniques avec les capteurs capacitifs. Pour augmenter notre taux de réussite, nous avons utilisé du silicone et différents types de colle, mélangés avec de la poudre conductrice (graphite et aluminium) », ont-ils déclaré.

Les chercheurs avaient un budget de 2 000 $ ainsi que 13 smartphones, ordinateurs portables et autres appareils pour le processus de test. Pour commencer le processus de test, les chercheurs ont utilisé les empreintes digitales publiquement disponibles du célèbre gangster Al Capone comme exemple. Les appareils mobiles se sont révélés être les meilleures cibles, car la plupart des gens utilisent couramment des capteurs d’empreintes digitales sur leurs appareils.

« Ces appareils étaient également les cibles de certaines des premières recherches sur l’authentification par empreinte digitale, ce qui devrait donner à cette plateforme plus de maturité dans la technologie. Cependant, les résultats montrent que l’authentification par empreinte digitale des téléphones mobiles s’est affaiblie par rapport à l’époque où elle a été d’abord contournée en 2013 », ont-ils déclaré.

Les fausses empreintes digitales ont été testées avec succès par les chercheurs sur iPhone 8, Samsung S10, Huawei P30 Lite, MacBook Pro 2018, iPad 5e génération, Samsung Note 9, Honor 7X et un AICase Padlock. Cependant, ils n’ont pas pu accéder au téléphone Samsung A70, au Lexar Jumpdrive Fingerprint F35 ou à la clé USB cryptée par empreinte digitale Verbatim.

Les chercheurs ont conclu que l’authentification par empreinte digitale est adéquate pour la majorité de la population, étant donné que le processus pour la contourner est très complexe, long et coûteux pour une personne ordinaire.

« Pour un utilisateur régulier de l’authentification par empreinte digitale, les avantages sont évidents, et cela devrait être utilisé. Cependant, si l’utilisateur est une personne plus en vue ou si son appareil contient des informations sensibles, nous recommandons de s’appuyer davantage sur des mots de passe forts et une authentification à deux facteurs par jeton », ont-ils écrit.