Retour

Les égoportraits, failles de sécurité informatique?

En Asie, il est courant de faire le signe de « victoire » lors d'une prise de photo entre amis. Mais les doigts pointés en « V » vers la caméra ouvriraient une nouvelle faille de sécurité informatique, selon des chercheurs japonais : le piratage des empreintes digitales.

Les empreintes digitales sont devenues en quelques années une façon pratique de déverrouiller un téléphone ou un ordinateur. Une simple pression à un endroit précis sur l’appareil nous évite d’entrer un mot de passe pour y accéder.

Cette technologie biométrique est d’une simplicité inégalée en sécurité informatique, mais elle a en revanche un grand défaut : l’empreinte peut être copiée.L’empreinte est comme un mot de passe. Alors, comme le laissent entendre cette semaine les chercheurs de l’Institut national de recherche au Japon, lorsqu’on se fait prendre en photo, avec ses doigts pointés vers la caméra, cela revient à montrer à tous son mot de passe.

Le simple geste de faire un signe de victoire [très populaire en Asie] devant un objectif de caméra [de haute qualité] rend accessibles nos empreintes digitales.

Isao Echizen, dans le journal Sankei Shimbun.

Les ennuis commencent si l’image se trouve ensuite sur les médias sociaux. Le chercheur précise en effet qu’il n’est plus vraiment nécessaire d’utiliser une technologie très avancée pour copier des empreintes et que c’est maintenant à la portée de tous.

Si les doigts sont bien visibles, bien éclairés et à moins de trois mètres, il serait facile de voir les empreintes, selon les chercheurs. L’empreinte piratée peut être reproduite dans de la résine ou toute forme de gel plastique pour tromper un capteur d’empreintes sur des produits grand public.

L’industrie de l’électronique grand public contre-attaque

C’est dans ce contexte qu’il faut comprendre pourquoi le prix de l’innovation (catégorie technologie embarquée) a été remis à la firme Goodix au CES à Las Vegas la semaine dernière.

Goodix, une firme chinoise, a développé un capteur optique d’empreintes à infrarouge capable de détecter le rythme cardiaque sous la surface de la peau du doigt. Le capteur vérifie ainsi qu’il s’agit bel et bien d’un vrai doigt et non d’une copie.

L’industrie de l’électrique grand public a besoin de telles technologies pour conserver la confiance du public. Cette contre-attaque peut être vue comme une escalade dans la guerre contre les pirates ou les espions.

Il est fort probable qu’une parade sera trouvée par ces derniers et en retour d’autres innovations devront être développées.

Dans cette guerre, le grand public a tout intérêt à ce que la grande industrie gagne. Mais à quel coût et avec quelle conséquence?

Le talon d’Achille de la biométrie

Il existe deux défis fondamentaux avec les technologies biométriques.

1- Le premier défi est technique.

Il concerne le fait qu’en sécurité informatique, il n’y a pas de technique infaillible. Les mots de passe ne sont pas la technique préférée du public, mais ils ont au moins un avantage : ils peuvent être changés.

En effet, lors de la découverte d’une brèche informatique, il est toujours possible de barrer le système avec un nouveau mot de passe. Un peu comme on change une serrure de porte quand on a perdu ses clés. Par contre, dans le cas des empreintes digitales, il n’est pas possible de les changer.

En fait, c’est pour ça que les spécialistes en sécurité ne vont jamais recommander d’utiliser les empreintes digitales comme unique système de sécurité.

2- Le second défi est légal

Il concerne le fait que dans certaines juridictions, on ne peut pas vous forcer à dévoiler un mot de passe. Ce qui est dans votre tête reste dans votre tête.

Mais un outil biométrique, comme les empreintes, ne repose pas sur une connaissance dans votre tête. La clé est physique. Légalement, certaines juridictions autorisent la prise d’empreintes, que ce soit de façon officielle (au poste de police, à la douane, etc.) ou secrète (prise d’empreinte sur un verre dans un bar, etc.).

Une fois la prise d’empreintes faite, il est possible de les reproduire,

Une preuve « vivante »

Voilà pourquoi l’innovation de la firme chinoise Goodix avec son système de reconnaissance par infrarouge (Live Fingerprint Detection Sensor) est un pas dans la bonne direction.

Il est actuellement difficile de reproduire une empreinte qui semble « vivante », mais ce n’est probablement qu’une question de temps. D’autres paramètres biométriques seront ajoutés au fil du temps, rendant possiblement de plus en plus difficile de tromper un capteur biométrique.

Ce n’est qu’une bataille dans la longue guerre de l’identification et de la sécurité informatique à l’ère de la société en réseau.

Pour l’instant, les mots de passe ne sont pas de trop. Surtout en Asie, s’ils veulent continuer à se prendre en photo avec les doigts levés dans les airs.

Plus d'articles

Commentaires