in

Une authentification veineuse bernée par… une main en cire

Authentification veineuse trompée par une fausse main en cire

L’authentification veineuse est un système de sécurité jugé fiable. Des pirates ont cependant démontré qu’il était possible de contourner cette sécurité avec une simple fausse main en cire.

Afin d’éviter les usurpations d’identité, il existe différents systèmes de sécurité biométriques. Ces systèmes utilisent des caractéristiques propres à chaque personne pour s’assurer qu’il s’agisse de la bonne personne. Les scans de rétine, du visage, des empreintes digitales ou bien encore de la voix sont les plus connus. Ces systèmes ne sont cependant pas infaillibles et peuvent être piratés. Le système d’authentification veineuse était jugé comme particulièrement révolutionnaire et sûr. Las, des hackers ont démontré qu’une simple main en cire pouvait tromper le système.

Authentification veineuse hackers pirates

Une main en cire pour tromper l’authentification veineuse

Il est aisé de récupérer des empreintes digitales laissées par une personne sur un objet et les reproduire pour tromper un système de reconnaissance. C’est pourquoi l’authentification veineuse est considérée comme plus sûre. Jan Krissler et Julian Albrecht, deux pirates blancs, ont démontré, lors du congrès annuel Chaos Communication Congress, qu’il est possible de contourner la disposition des veines d’une main avec une simple photographie. Pour prendre leur cliché, les experts ont utilisé un appareil reflex sur lequel ils ont supprimé le filtre infrarouge.

Une seule photographie est nécessaire et il ne faut que 15 minutes pour élaborer la fausse main en cire qui va tromper le dispositif de sécurité. Notez toutefois que la photo a été prise dans des conditions de laboratoire et que les pirates ont du placer le système de sécurité sous une table afin que la lumière de la salle n’interfère pas. Jan Krissler n’en n’est pas à sa première. Il avait, 24 heures après le lancement du Touch ID d’Apple démontré que la sécurité du smartphone était piratable. Il a aussi réalisé une maquette de l’empreinte digitale du ministre allemand de la défense.

Une grosse déception pour l’authentification veineuse

La technique utilisée par les hackers pour pirater le système basé sur l’authentification veineuse est effectivement une grosse déception pour les créateurs qui pensaient leur système inviolable ou difficilement piratable. C’est donc un coup dur porté à cette technologie. Cela reste toutefois beaucoup plus compliqué techniquement de réaliser un tel leurre pour tromper cette technologie que d’autres basées sur la biométrie comme, par exemple, les empreintes digitales ou la reconnaissance faciale. Même s’il s’agit d’un coup porté à la technologie, celle-ci reste cependant très sûre et même plus sûre que d’autres.

La comparaison peut se faire avec aussi avec les modes de transports. Lorsqu’un avion s’écrase cela fait la Une des journaux et fait penser que l’avion n’est pas un mode de transport sûr alors qu’il est le plus sûr qui existe. Ce hack (en condition de laboratoire) d’un système d’authentification veineuse ne doit pas faire croire que la technologie n’est pas sûre. Elle n’est pas infaillible certes mais reste l’une des méthodes de biométrie les plus sécurisée qui existe. Reproduire, en condition réelle un tel hack est particulièrement difficile voir impossible hors d’un laboratoire. La technologie a toujours de beaux jours devant elle.