Une nouvelle étude prouve, une fois de plus, le niveau de sécurité médiocre des contrôles d’accès fondés sur la reconnaissance d’empreintes digitales, en tous cas face à des pirates persévérants. Deux chercheurs en sécurité de Cisco Talos ont testé les capteurs d’empreintes de seize terminaux : sept smartphones, six ordinateurs portables, un cadenas et deux clés USB.
Dans la grande majorité des cas, de fausses empreintes en colle textile séchée suffisent pour tromper le capteur avec une probabilité de plus de 80 %, y compris pour l’iPhone ou le MacBook Pro. Seuls trois types d’équipements leur ont résisté : des PC sous Windows 10, les clés USB et le smartphone d’entrée de gamme Samsung A70. Ce dernier avait toutefois aussi beaucoup de mal à reconnaître les vraies empreintes…
Pour créer ces fausses empreintes, les chercheurs se sont appuyés sur trois types de captations : directement depuis le doigt, depuis un lecteur optique et depuis une prise photo sur du verre. A partir de là, ils ont utilisé le logiciel Zbrush pour créer des moules qu’ils ont ensuite imprimés en 3D et remplis de colle textile. Tout cet atelier de falsification ne leur a coûté que 2000 dollars. C’est donc à la portée de n’importe quel groupe de pirates.
Pour ceux qui ont vraiment des données sensibles à protéger, les chercheurs d’utiliser plutôt un bon mot de passe et, si possible, un second facteur d’authentification.
Source: Cisco Talos
