Souvenez-vous du vrai-faux piratage du Touch Id d’Apple, qui se bornait en fait à contourner le système biométrique d’Apple en recréant une fausse empreinte (le système Touch ID en lui-même n’avait pas été piraté). L’opération demandait pas moins d’une bonne vingtaine à une trentaine d’heure, tout cela pour aboutir à une réplique d’empreinte (qu’il fallait de plus obtenir à partir de la véritable empreinte de l’utilisateur, c’est dire si l’opération ne manquait pas de redondance).

Le même groupe de piratins a fait une mini-conférence hier à la convention du Chaos Computer Club, avec cette fois pour objectif de démontrer qu’une simple photographie permettait d’obtenir là encore une réplique d’empreinte pouvant être ensuite utilisée pour contourner les systèmes biométriques.

th_touch-id

La méthode est une nouvelle fois plutôt empirique, et nécessite de posséder des clichés assez nets du doigt de l’individu dont on veut répliquer l’empreinte. Quelques clichés du ministre Allemand de la Défense et l’usage d’un simple logiciel du commerce, VeriFinger, suffiront pour recréer l’empreinte du ministre. Impressionnant, même si l’on voit mal cette longue procédure servir pour un hack massif et réellement « sensible ». Si la volonté de Jan Krissler et de son équipe sont claires, et consiste globalement générer de la peur autour des systèmes biométriques pour essayer de montrer qu’ils ne sont pas fiables, les moyens utilisés flirtent tellement avec le bricolage que l’on peut tout de même largement douter de l’impact « pédagogique » de telles démonstrations.