Pour la première fois, des chercheurs sont parvenus à recréer les empreintes digitales d’utilisateurs à partir des bruits émis par le glissement des doigts sur un écran tactile. Un exploit technologique majeur qui soulève d’importantes inquiétudes en matière de sécurité biométrique.
Les technologies d’authentification par empreinte digitale sont désormais répandues et utilisées dans de nombreuses applications, allant du déverrouillage d’un ordinateur à la sécurisation des transactions en ligne. Le marché de l’authentification est en pleine expansion, avec une estimation prédictive de 100 milliards de dollars d’ici 2032.
Toutefois, malgré la confiance accordée aux systèmes biométriques, des préoccupations de sécurité persistent, en particulier concernant le vol d’empreintes digitales par les cybercriminels. De plus, une fois dérobées, les empreintes digitales ne peuvent pas être réinitialisées comme les mots de passe.
Compte tenu de ce défi, il est pertinent de se demander comment ces données biométriques peuvent être volées. Dans une étude récente, des chercheurs chinois et américains ont mis au point une méthode d’attaque pour y parvenir. Elle vise à analyser minutieusement les sons de friction produits lorsqu’un utilisateur glisse son doigt sur un écran tactile pour reproduire son empreinte digitale. Le système a été baptisé PrintListener.
Une attaque par canal auxiliaire
Ce type d’attaque est dit par « canal auxiliaire » (ou side-channel attack, en anglais). Il consiste à exploiter des informations récupérées à partir de signaux émis par un dispositif et à les utiliser pour contourner son propre système de sécurité. Les canaux exploités peuvent être de différentes formes : émissions électromagnétiques, vibrations, variations de consommation énergétique, temps d’exécution d’un processus ou encore, comme dans le cas de PrintListener, sonores.
Dans le cadre de PrintListener, les bruits sont capturés lorsque l’utilisateur ouvre des applications de communication telles que Discord, Skype, WeChat, FaceTime, etc. Au cours de l’utilisation de ces plateformes, le microphone est actif et peut donc capter les sons de frottement générés par les interactions avec l’écran. Pour transformer ces sons en empreintes digitales numériques, l’équipe a développé un algorithme complexe. Parmi les défis qu’ils ont dû relever pour y parvenir, les chercheurs soulignent la difficulté d’interprétation des sons de frottement. En effet, le volume est faible et susceptible d’être masqué par d’autres bruits ambiants, ce qui a nécessité une approche innovante permettant d’isoler et exploiter au mieux ces sons discrets.
Jusqu’à 27,9 % de réussite
Lors d’essais, l’équipe a montré que son système pouvait reproduire fidèlement jusqu’à 27,9 % des empreintes digitales partielles et 9,3 % des empreintes digitales complètes en cinq tentatives. Les expériences ont été réalisées avec un niveau de sécurité de False Acceptance Rate (FAR) (ou taux d’acceptation erronée) fixé à 0,01 %. Le FAR définit la probabilité qu’un système de sécurité identifie incorrectement un individu non autorisé comme étant autorisé. Un FAR de 0,01 % est considéré comme extrêmement sécurisé, indiquant que le système rejette 99,99 % des tentatives non autorisées. Ces résultats révèlent ainsi une vulnérabilité non négligeable de l’authentification par empreinte digitale et mettent en évidence la nécessité de renforcer les mesures de sécurité.