Les conseils pour protéger son empreinte digitale sous androïd et pourquoi c’est important

Atlantico : Une étude menée par les chercheurs de FireEye (société de cybersécurité américaine) dévoile plusieurs risques concernant les derniers smartphone android : l’utilisation d’empreinte digitale pour verrouiller les données s’avèrerait autrement moins sûre qu’un mot de passe à proprement parler. Comment se protéger contre cette nouvelle forme de piratage ?

Frédéric Mouffle : Le meilleur moyen de s'en prémunir reste finalement de ne pas utiliser le déverrouillage par empreinte sur smartphone. Le hacking des données liées aux empreintes digitales n’est pas nouveau. Déjà en 2013 le groupe Chaos Computer Club avait déjà démontré la vulnérabilité de ce type d’authentification sur l'iPhone 5 en présentant un imprimé de l’empreinte sur lecteur du téléphone su subtilisant à la présentation de son doigt. D’ailleurs ils avaient à cette occasion publier une vidéo de leur exploit. Ils ont récidivé récemment en reproduisant une empreinte de ministre allemand de la défense à partir d’une image de son pouce en haute définition publiée sur internet. Alors ils ont réussi via un logiciel disponible dans le commerce, à reproduire l’empreinte intégralement.

Une fois l’empreinte volée, qu’est-il possible de faire pour se prémunir ? Quelles sont les données qui risquent le plus un piratage via l’empreinte digitale ?

Une fois l’empreinte dans les mains du pirate, la seule option est de désactiver le déverrouillage via processus et revenir à un accès via mot de passe ou bien de changer le modèle d’empreinte en utilisant un de vos neuf autres doigts. Une fois le processus de dérouillage passé, le pirate a potentiellement accès à toutes vos informations. Il peut exécuter des scripts à distance, télécharger l’intégralité de vos données, accéder à vos communication ou de générer des appels surtaxés à votre insu le tout à condition de ne pas avoir chiffré vos données ; dans le cas contraire, il sera difficile d’interpréter voir de décrypter les données ainsi protégées. Il faut avoir à l’esprit que son empreinte digitale on l’a pour la vie, ce qui signifie que si dans les années à venir, ce type d’authentification venait à se démocratiser un peu plus, ce qui dans le monde moderne intéresse forcement les entreprises car plus de cout de fabrication de clés, carte ou autre moyens de déverrouillage pouvant être utiliser pour  ( démarrage des véhicules, paiement monétique, signature officielle…) cela deviens un vrai problème car la faille si elle n’est pas exploiter dans les mois qui viennent, peut l’être dans quelques années tant que l’individu est vivant, . J’ai d’ailleurs déjà vu au même titre que des sites de vente de cartes bleue volées, des vente sur le darknet d’identités complètes emprunte digital comprise. C’est donc un problème à part entière pour lequel  les fabricants n’ont pas encore pris toute la mesure des failles dont ils sont responsables. Lorsque vous vous déverrouillez votre smartphone par ce biais, Apple, Samsung peut stocker vos informations  d’empreinte sur leur serveurs ou sur leurs cloud, ce qui nous laisse à penser, vu la complexité des attaques actuelles, que nos données vitales ne sont à l’abri nulle part et qu’aucune entreprise d’ailleurs n’est à l’abri d’une campagne de piratage massif. Rappelez-vous du piratage de la hacking team, société italienne censée être spécialisée dans la sécurité et la pénétration de n’importe quel ordinateur, elle vend ses services aux gouvernements. Cela ne l’a pas empêché de voir l’intégralité des données de cette entreprise, publier sur internet (contrat clients et échanges de mails, fichier mail, facture, compta… bref tout.

En Allemagne, des hackeurs avaient réussi à reproduire l’empreinte digitale d’Angela Merkel à partir d’une photo de sa main. Comment les pirates procèdent-ils ?

Ils n’ont fait que reproduire leur exploit de 2013, à savoir prendre ou exploiter une photo en haute définition et de procéder a la reconnaissance de son emprunte via un logiciel spécialisé payant .C’est techniquement très simple, il faut, une compétence plus importante en photographie qu’en informatique. Les pirates sont relativement fainéant, ils ne se compliquent pas la vie contrairement à ce qu’on peut imaginer, la plupart des hack dit (grand public) font plus souvent appel de l’ingéniosité individuelle que de forte compétences en mathématiques appliquée. Une fois l’emprunte modélisée, il est facile de faire un moulage en latex ou de l’imprimer avec une imprimante 3d. Les lecteurs n’étant pas capable de reconnaitre le type de support (humain ou artificiel), l’opération reste assez simple à mettre en œuvre. Sur internet, vous trouvez assez facilement tous les tutoriels pour la mise en œuvre.

D’ici 2020, la moitié des smartphones devraient être équipés de technologies biométriques. Faut-il s’attendre à une recrudescence de ce genre d’attaques ? Pourquoi ? 

 D'ici 2020 beaucoup de choses auront évolué technologiquement il est donc difficile de se prononcer sur l'avenir de ce type d'authentification mais il reste improbable qu'il soit le seul moyen de déverrouiller son smartphone. Le mot de passe fort reste la meilleure protection. Il faut avoir à l'esprit ce genre de faille reste relativement éphémère dans la durée les constructeur ayant connaissance de plus en plus tôt de ces failles, les combles et propose des correctifs. Pour conclure il faut savoir que l'interception des empreintes sur le téléphone lui-même peut s'opérer sur des smartphone roté ou jailbreaker, c’est-à-dire que via une manipulation, l’on deviens administrateur de son téléphone pouvant ainsi accéder aux fichiers système normalement protéger et y installer n’importe quelle application en dehors des stores habituels (apporte et Google play). Seul un petit nombre d'initiés réaliser cette opération ce qui rend une grande partie du public invulnérable  à l'interception logiciel de l'information contenu dans l'empreinte digitale. Il est claire que depuis plusieurs années, les chercheurs en sécurité sont assez unanime sur l’authentification lies aux empreintes digitales qui n’offre aucune garantie ni aucune sécurité. Idem pour l’authentification ayant comme support l’œil ou tout autre élément biologique propre a chacun. Nous sommes donc en présence d’une technologie plutôt en fin de vie. Les lecteurs d’emprunte sont cependant facile à utiliser, rendent impossible l’oublie de son mot de passe et facilite grandement la vie de l’utilisateur. C’est pourquoi les constructeurs ne font que répondre à une demande des consommateurs d’aller toujours plus vite et de rendre l’utilisation du smartphone la plus simple pour l’utilisateur.