La technologie avancée d'empreintes digitales d'Apple est piratée; devrais-tu t'inquiéter ?

Il n'a fallu que quelques jours aux pirates de Le Chaos Computer Club allemand revendique la victoire dans le défi de briser la nouvelle fonctionnalité de sécurité tant vantée d’Apple dans l’iPhone 5s. L’« équipe de piratage biométrique » du CCC a utilisé une photo d’une empreinte digitale prise sur une surface en verre pour fabriquer un faux doigt qu’elle a ensuite utilisé pour tromper le dernier iPhone et le déverrouiller. "Cela démontre – encore une fois", a déclaré le groupe dans un communiqué, "que la biométrie des empreintes digitales n'est pas adaptée comme méthode de contrôle d'accès et doit être évitée".

En réalité, cela ne démontre rien de tel.

Le nouvel iPhone a fait ses débuts le vendredi 20 septembre. L'équipe du CCC

a annoncé son hack réussi environ 48 heures plus tard. Mais si vous pensez qu’il s’agit d’une défaite écrasante pour Apple, détrompez-vous. La technologie d'Apple est suffisamment performante pour la plupart des applications courantes. Mais aucun lecteur d’empreintes digitales n’est inpiratable.

Les informations biométriques telles que les empreintes digitales et les scans de la rétine sont des pièces utiles d’un puzzle d’authentification multifactorielle. Bien que le CCC affirme avoir utilisé « des matériaux que l’on peut trouver dans presque tous les foyers », il est peu probable que de nombreux foyers disposent de la technologie d’imagerie. pour capturer une empreinte digitale sur une photographie à 2 400 dpi, nettoyez l'image obtenue et imprimez-la à 1 200 dpi "sur une feuille transparente avec un toner épais ", puis "étalez du lait de latex rose ou de la colle à bois blanche" dans le motif pour créer un faux doigt comme celui qui a réussi à contourner la sécurité de Touchez l'identification.

Malgré l’équipement de laboratoire un peu haut de gamme, ce n’est pas vraiment sorcier. L’empreinte source ressemblait probablement à ceci :

Et la paillasse de laboratoire où le faux doigt a été créé ressemblait probablement à ceci :

Images: Piratage d'empreintes digitales (2003), Antti Kaseva et Antti Stén

Cool hein? Sauf que ces photos ne viennent pas du CCC. Ils proviennent d'un hack similaire qui a été rendu public il y a plus de dix ans. En 2003, un autre groupe dirigé par les chercheurs Antti Kaseva et Antti Stén a publié une description presque identique d'un piratage d'empreintes digitales à l'aide d'un scanner d'empreintes digitales basé sur Windows qui était, à l'époque, à la pointe de la technologie :

Le hack consiste à créer un doigt artificiel à l’aide d’un moule fabriqué à partir d’une empreinte digitale latente laissée par l’utilisateur légitime. L’empreinte digitale peut être obtenue à peu près n’importe où: tasse, poignée de porte, rail, etc. Avec ce doigt artificiel, le pirate informatique devrait pouvoir s'introduire dans un système si la carte à puce obligatoire requise pour la connexion est disponible et utilisée.

Et ils ont démontré qu’ils pouvaient faire exactement cela. En 2003. La seule différence entre ce hack d’il y a dix ans et celui de ce week-end est la résolution de l’empreinte digitale capturée.

Comme à son habitude, Apple a réussi à brouiller la frontière entre réalité technique et affirmation marketing. Le document d'assistance d'Apple, « iPhone 5s: à propos de la sécurité Touch ID » regorge pratiquement de mots à la mode et de discours marketing :

La technologie de Touch ID fait partie des matériels et logiciels les plus avancés que nous ayons installés dans n'importe quel appareil. Pour s'adapter au bouton Accueil, le capteur Touch ID n'a qu'une épaisseur de 170 microns, soit pas beaucoup plus épais qu'un cheveu humain. Ce capteur haute résolution de 500 ppp peut lire des détails extrêmement fins de votre empreinte digitale. Le bouton lui-même est fabriqué à partir de verre saphir, l’un des matériaux les plus transparents et les plus durs disponibles. Celui-ci protège le capteur et agit comme une lentille pour le focaliser précisément sur votre doigt. L'anneau en acier entourant le bouton détecte votre doigt et indique à Touch ID de commencer à lire votre empreinte digitale. Le capteur utilise un toucher capacitif avancé pour prendre une image haute résolution à partir de petites sections de votre empreinte digitale provenant des couches sous-épidermiques de votre peau. Touch ID analyse ensuite intelligemment ces informations avec un degré de détail et de précision remarquable. … Touch ID utilise tout cela pour fournir une correspondance précise et un très haut niveau de sécurité.

L’article poursuit en notant que les chances que l’empreinte digitale d’un inconnu au hasard corresponde à la vôtre sont dans l’ordre de voisinage de 1 sur 50 000, ce qui est « bien meilleur que la probabilité de 1 sur 10 000 de deviner un chiffre typique à 4 chiffres ». mot de passe.

À moins qu'ils n'aient capturé une image de 2 400 dpi de votre empreinte digitale, auquel cas les chances s'améliorent considérablement.

La technologie sous-jacente à l'iPhone 5s a sans aucun doute été influencée, voire carrément créée, par Authentec, un pionnier de la technologie d'empreintes digitales et NFC, qu'Apple acquis pour un montant déclaré de 365 millions de dollars il y a un peu plus d'un an. La technologie d'Authentec fait partie du paysage PC depuis des années, principalement sur les ordinateurs portables d'entreprise.

Et l’entreprise n’a pas hésité à se vanter de ses propres atouts techniques. Cette réclamation, par exemple, se trouve sur un fichier archivé Page « Technologie » du site Web d'Authentec, désormais fermé :

Anti-usurpation d'identité

La technologie anti-usurpation d'AuthenTec mesure dynamiquement les propriétés de la peau du doigt placée sur le capteur pendant que le doigt est scanné. Cette technologie brevetée garantit que seules les véritables empreintes digitales sont lues en convertissant les propriétés de la peau en données numériques qui sont transmises à l'ordinateur hôte pour analyse. La technologie anti-usurpation d'AuthenTec compare ensuite les données avec les propriétés attendues pour garantir l'authentification des empreintes digitales. [c'est nous qui soulignons]

Oops.

Bizarrement, la version actuelle du site Authentec.com ne mentionne pas le rachat de l’entreprise par Apple. Si vous visitez le site à la recherche de pilotes ou de logiciels Windows mis à jour, vous êtes redirigé vers une page d'assistance qui, de manière cryptée, remarque: « AuthenTec a été acquis en octobre 2012 et le nouveau propriétaire a interrompu les produits et services pris en charge sur ce produit. site."

« Le nouveau propriétaire », bien sûr, est Apple. Mais ce nom n’apparaît nulle part sur le domaine authentec.com, qui a été supprimé de la plupart de son contenu de l’ère PC.

La vraie leçon de tout cela n’est pas que les empreintes digitales ne sont pas fiables. En fait, le contraire est vrai. Pour une utilisation quotidienne, une empreinte digitale est bien plus sécurisée qu’un code à quatre chiffres.

Si vos données sont suffisamment précieuses pour qu'un attaquant se donne la peine de voler une image à très haute résolution. photo de votre empreinte digitale et moulage d'un faux doigt, vous devriez probablement utiliser plusieurs facteurs authentification. Et en fait, l’iPhone le fait déjà. Les informations d'enregistrement de vos empreintes digitales sont stockées dans une zone sécurisée du processeur A7 qui alimente l'iPhone 5s. Si quelqu’un parvient à voler votre empreinte digitale, il doit également voler votre téléphone. Ce faux doigt ne fonctionnera pas à lui seul avec un autre iPhone, sauf si vous disposez également des informations d’identification de votre compte Apple.

Windows 8.1, qui a été lancé un mois avant iOS 7 mais qui ne sera disponible qu'en octobre, dispose d'une technologie similaire. Un cadre d'identification d'empreintes digitales conçu pour être utilisé avec le même type de lecteur que celui du nouvel iPhone (une grande amélioration par rapport aux anciens lecteurs d'empreintes digitales par balayage) est intégré. Windows 8.1. Il peut être combiné avec le Trusted Platform Module (TPM) dans un appareil Windows 8.1 pour créer une carte à puce virtuelle qui rend très difficile l'usurpation des informations d'identification du réseau d'entreprise. difficile.

Dans son document mi-marketing/mi-technique, Apple affirme avoir mis au point une solution qui offre le même stockage sécurisé des données biométriques, sans aucun des standards pris en charge par le TPM :

L'iPhone 5s comprend également une nouvelle architecture de sécurité avancée appelée Secure Enclave au sein de la puce A7, qui a été développée pour protéger les données de code d'accès et d'empreintes digitales. Les données d'empreintes digitales sont cryptées et protégées avec une clé disponible uniquement pour Secure Enclave. Les données d'empreintes digitales sont utilisées uniquement par Secure Enclave pour vérifier que votre empreinte digitale correspond aux données d'empreintes digitales enregistrées. Le Secure Enclave est isolé du reste d’A7 et du reste d’iOS. Par conséquent, iOS ou d’autres applications n’accèdent jamais à vos données d’empreintes digitales, ne les stockent jamais sur les serveurs Apple et ne les sauvegardent jamais sur iCloud ou ailleurs. Seul Touch ID l'utilise et il ne peut pas être utilisé pour comparer d'autres bases de données d'empreintes digitales.

Quelle que soit la plateforme que vous utilisez, les données de grande valeur ne doivent jamais être sécurisées par un seul facteur. Vous êtes en assez bonne forme si vous insistez sur une identification réussie des empreintes digitales combinée à un un mot de passe fort (plus de quatre chiffres simples) et un appareil enregistré auprès du réseau. Si vous êtes un voleur et que vous parvenez à combiner tous ces facteurs, félicitations. Vous devriez être dans un roman de John Le Carré.

Pendant ce temps, ici sur Terre, votre empreinte digitale est un moyen pratique de protéger les secrets de jardin et les achats que nous gardons tous. Combinez-le avec un mot de passe raisonnablement fort et vous devriez être parfaitement en sécurité. A moins que vous ne soyez aussi un personnage de roman d’espionnage.