Les snacks numériques du lundi – empreintes trompeuses, drones et lumière vérolée

Hors-cadre
Par · 24/04/2017

Informations ludiques ou décalées du secteur du numérique.

Cette semaine: quand l’identification par empreinte digitale ne remplit pas sa mission de sécurité ; le ménage à trois entre drones, télécoms et cloud ; l’imagination toujours aussi fertile des hackers qui poussent plus que jamais à la vigilance constante.

A déguster en toute décontraction…

 

 

Sommaire

Les capteurs d’empreinte des smartphones. Insuffisants?

Des chercheurs de la Tandon School of Engineering (université de New-York) et de l’université du Michigan ont démontré récemment que le mécanisme d’identification qui permet à l’utilisateur d’un smartphone de s’identifier en apposant son doigt sur un capteur pour lecture de son empreinte digitale est moins sécurisé et “infalsifiable” qu’il n’y paraît.

Le problème vient du fait que les capteurs dont sont aujourd’hui équipés les smartphones (ou d’autres dispositifs) ne collectent pas la totalité de l’empreinte mais ne scannent et ne mémorisent que des empreintes partielles. Certains smartphones permettent même à un utilisateur d’enregistrer les empreintes (tout aussi partielles) de plusieurs de leurs doigts comme identifiants.

Or, les chercheurs ont apporté la preuve qu’il existe, dans le cas de telles empreintes partielles, suffisamment similarités ou points de concordance, communes à plusieurs personnes, pour pousser les dispositifs biométriques à la faute.

Autrement dit, à considérer que le doigt qu’on leur présente est le bon alors qu’il appartient en fait à une autre personne. Cela implique également que des hackers, personnes mal intentionnées ou celles qui auraient dérobé le smartphone d’un utilisateur peuvent concocter une “master print”, une fausse empreinte combinant un pourcentage minimal de caractéristiques soi-disant distinctives mais communes à de nombreux utilisateurs.

Les chercheurs ont ainsi découvert qu’il existe, en moyenne, 92 “master prints” possibles pour tout ensemble aléatoire de 800 empreintes partielles. De quoi simplifier le travail d’identification frauduleuse de tout hacker un tant soit peu débrouillard…

Conclusion? Les chercheurs recommandent aux fabricants de concevoir des systèmes d’authentification plus élaborés ou plus puissants (d’augmenter par exemple la résolution des capteurs) et réaffirment la nécessité de solutions d’authentification multi-facteurs.

Les détails de cette recherche ont été publiés dans IEEE Transactions on Information Forensics & Security dans un document intitulé “MasterPrint: Exploring the Vulnerability of Partial Fingerprint-based Authentication Systems”. A télécharger via ce lien.

[ Retour au sommaire ]

Drones, temps réel, éther et cloud

Le recours à des drones pour des opérations d’inspection technique et de surveillance à des fins de maintenance est de plus en plus considéré comme pouvant économiser énormément de temps et de frais. Par exemple, le recours à des drones permet de multiplier par un facteur 2 à 5 le nombre d’éoliennes pouvant être inspectées par jour, en comparaison avec des méthodes terrestres. L’amélioration est également sensible pour l’inspection d’infrastructures distantes et/ou difficiles d’accès, telles que des barrages en montagne ou des plates-formes off-shore.

Voilà pourquoi, les développements se multiplient dans le sens d’une intégration de ces engins téléguidés ou à guidage automatisée (voire autonome) avec les réseaux de communications, l’Internet des Objets, une analyse et interaction temps réel, et les potentiels du cloud (stockage et gestion).

C’est dans cette optique qu’EIT Digital (European Institute of Innovation and Technology) s’est embarqué dans le développement de la solution “Cloud4Drones”, une solution de surveillance de drones (téléguidés) qui devrait être opérationnelle d’ici la fin de l’année. Elle inclura une solution de collecte et de stockage centralisés de données, des logiciels embarqués pouvant être déployés à la demande sur le(s) drone(s) et un potentiel de contrôle de mission (planification).

[ Retour au sommaire ]

Un virus aveuglant

L’imagination des hackers n’a décidément pas de limite. Les menaces, virus, espions virtuels et autres e-rançonneurs se cachent dans les fonctions les plus anodines.

Exemple: l’un des chevaux de Troie les plus récents à avoir infesté les équipements Android est une fonctionnalité prend des atours d’appli… lampe torche. Vous avez bien lu: cette fonction-gadget qui permet de transformer votre smartphone en objet de vision nocturne. Mais voilà, en téléchargeant cette appli via Google Play, c’est en réalité un malware bancaire que des utilisateurs ont accueilli dans la paume de leur main (il a depuis été supprimé sur cet app store). La fonction lampe-torche fonctionne bel et bien mais, en coulisses, les identifiants bancaires sont dérobés, les activités frauduleuses sont soigneusement masquées, des messages SMS sont interceptés, des notifications-piège se matérialisent à l’écran afin de pousser les utilisateurs à la faute, etc. etc.

Ce cheval de Troie a été détecté par la société ESET qui en profite pour rappeler quelques conseils de base pour éviter toute mauvaise surprise:

  • ne faire confiance qu’à des appstores officielles
  • contrôler la nature de l’appli dont on a envie en vérifiant par exemple son taux de popularité (nombre d’installations, notations par la communauté, résultats de tests, revues de presse…)
  • demeurer prudent et circonspect dans les autorisations d’accès et droits qu’on octroie à toute appli téléchargée. Dans le cas présent, une appli “lampe-torche” n’a aucune raison de demander à se faire octroyer des droits d’administrateur…

[ Retour au sommaire ]