5 façons de contourner les scanneurs d'empreintes digitales des pirates (Comment se protéger)
Publicité
Les scanners d’empreintes digitales sont une bonne ligne de défense contre les pirates, mais ils ne sont en aucun cas impénétrables. Face à l’apparition croissante de dispositifs prenant en charge les lecteurs d’empreintes digitales, les pirates informatiques améliorent leurs techniques pour les résoudre.
Voici quelques façons dont les pirates peuvent s'introduire dans un lecteur d'empreintes digitales.
1. Utilisation de Masterprints
Tout comme les serrures physiques ont des clés maîtresses qui peuvent tout déverrouiller, les scanneurs d'empreintes digitales ont ce que l'on appelle des «empreintes maîtres». Il s'agit d'empreintes digitales personnalisées contenant toutes les fonctionnalités standard que l'on trouve sur les doigts de chacun.
Les pirates peuvent utiliser des empreintes maîtres pour pénétrer dans les appareils qui utilisent une analyse sub-par. Bien que des scanners appropriés bloquent un masterprint, un scanner moins puissant que l'on trouve dans un téléphone portable peut ne pas être aussi rigoureux avec ses contrôles. En tant que tel, un masterprint est un moyen efficace pour un pirate informatique de pénétrer des appareils qui ne sont pas vigilants avec leurs analyses.
Comment éviter cette attaque
Le meilleur moyen d'éviter ce type d'attaque consiste à utiliser un lecteur d'empreintes digitales qui ne lésine pas sur l'analyse. Les Masterprints exploitent des scanners moins précis qui effectuent une numérisation «assez bonne» pour confirmer une identité.
Avant de faire confiance à un lecteur d’empreintes digitales, faites des recherches à ce sujet. Idéalement, vous recherchez une statistique FAR (False Acceptance Rate). Le pourcentage FAR est le risque qu'une empreinte digitale non approuvée accède à un système. Plus ce pourcentage est bas, meilleures sont les chances de votre scanner de rejeter un masterprint.
2. Récolte des images non sécurisées
Si un pirate informatique récupère votre empreinte digitale, il détient la clé pour accéder à vos scanners. Les gens peuvent changer de mot de passe, mais une empreinte digitale est la même pour la vie. Cette permanence en fait un outil précieux pour les pirates informatiques qui souhaitent contourner un scanner d'empreintes digitales.
À moins que vous ne soyez très célèbre ou influent, il est peu probable qu'un pirate informatique dépoussière tout ce que vous touchez pour obtenir vos empreintes. Il est plus probable qu'un pirate informatique ciblera vos appareils ou vos scanners dans l'espoir qu'il contienne vos données d'empreinte digitale brutes.
Pour qu'un scanner puisse vous identifier, il a besoin d'une image de base de votre empreinte digitale. Au cours de la configuration, vous fournissez une impression au scanner, qui enregistre une photo dans sa mémoire. Il rappelle ensuite cette image chaque fois que vous utilisez le scanner, afin de vous assurer que le doigt numérisé est identique à celui que vous avez fourni lors de la configuration.
Malheureusement, certains appareils ou scanners enregistrent cette image sans la chiffrer. Si un pirate informatique accède au stockage, il peut saisir la photo et récupérer facilement les informations de votre empreinte digitale.
Comment éviter cette attaque
Pour éviter ce type d'attaque, vous devez tenir compte de la sécurité du périphérique que vous utilisez. Un lecteur d’empreintes digitales bien conçu doit chiffrer le fichier image pour empêcher les regards indiscrets d’obtenir vos détails biométriques.
Vérifiez deux fois votre scanner d'empreintes digitales pour voir s'il enregistre correctement les images d'empreintes digitales. Si vous constatez que votre appareil ne choisit pas d'enregistrer votre image d'empreinte digitale en toute sécurité, vous devez cesser de l'utiliser immédiatement. Vous devriez également envisager d'effacer le fichier image afin que les pirates ne puissent pas le copier pour eux-mêmes.
3. Utilisation d'empreintes digitales forgées
Si le pirate informatique ne parvient pas à se procurer une image non sécurisée, il peut choisir de créer une empreinte digitale. Cette astuce consiste à récupérer les impressions de la cible et à les recréer pour contourner le scanner.
Vous ne verrez probablement pas les pirates informatiques attaquer les membres du public avec cette méthode, mais il convient de garder à l'esprit si vous occupez un poste de direction ou de gouvernement. Il y a quelques années, The Guardian a raconté comment un pirate informatique a réussi à reconstituer l'empreinte du ministre de la Défense allemand!
Un pirate informatique peut transformer une empreinte digitale récoltée en une activité physique de diverses manières. Ils peuvent créer une réplique de main en bois ou en cire ou l’imprimer sur du papier spécial et une encre conductrice argentée et l’utiliser sur le scanner.
Comment éviter cette attaque
Malheureusement, il s’agit d’une attaque que vous ne pouvez pas éviter directement. Si un pirate informatique a l'intention de violer votre lecteur d'empreintes digitales et parvient à en saisir votre empreinte, vous ne pouvez rien faire pour l'empêcher d'en faire un modèle.
La solution pour vaincre cette attaque consiste à arrêter l'acquisition des empreintes digitales. Nous ne vous recommandons pas de commencer à porter des gants tout le temps comme un criminel, mais il est bon d’être conscient de la possibilité que vos détails d’empreintes digitales fuient dans les yeux du public. 560 millions d'anciens mots de passe ont fui en ligne 560 millions d'anciens mots de passe ont fuit en ligne Il est probablement temps de changer à nouveau vos mots de passe. Parce qu’une énorme base de données de 560 millions d’identifiants de connexion a été trouvée en ligne et n’a pas encore été découverte par des voisins. Lire la suite récemment, donc il convient de considérer.
Assurez-vous de ne donner que les informations de votre empreinte digitale aux appareils et services sécurisés. Si un service non stellaire souffre d'une violation de base de données et qu'il n'a pas chiffré ses images d'empreinte digitale, les pirates informatiques pourront associer votre nom à votre empreinte digitale et compromettre vos scanners.
4. Exploiter les vulnérabilités logicielles
Certains gestionnaires de mots de passe utilisent une analyse d'empreinte digitale pour identifier l'utilisateur. Bien que cela soit pratique pour sécuriser vos mots de passe, son efficacité dépend de la sécurité du logiciel de gestion des mots de passe. Si le programme présente une sécurité inefficace contre les attaques, les pirates informatiques peuvent l'exploiter pour contourner le balayage des empreintes digitales.
Ce problème est similaire à un aéroport renforçant sa sécurité. Ils peuvent placer des détecteurs de métaux, des gardes et des caméras de surveillance sur le devant de l'aéroport. S'il y a une porte arrière longtemps oubliée où les gens peuvent se faufiler, cependant, toute cette sécurité supplémentaire ne servirait à rien!
Récemment, Gizmodo a signalé une faille dans les périphériques Lenovo dans laquelle un gestionnaire de mot de passe activé par empreinte digitale contenait un mot de passe codé en dur. Si un pirate informatique souhaite accéder au gestionnaire de mots de passe, il peut contourner le lecteur d'empreintes digitales à l'aide du mot de passe codé en dur, ce qui le rend inutile!
Comment éviter cette attaque
Généralement, le meilleur moyen d'éviter ce type d'attaque consiste à acheter des produits populaires et bien reçus. Malgré cela, Lenovo est un nom bien connu des ménages et a également subi une attaque.
En tant que tel, même si vous utilisez uniquement du matériel fabriqué par des marques réputées, il est essentiel de maintenir votre logiciel de sécurité à jour afin de corriger tout problème éventuel.
5. Réutilisation des empreintes digitales résiduelles
Parfois, un pirate informatique n'a pas besoin de recourir à des techniques avancées pour obtenir vos empreintes digitales. Parfois, ils utilisent les restes laissés par une précédente analyse d'empreintes digitales pour dépasser la sécurité.
Vous laissez vos empreintes digitales sur les objets au fur et à mesure que vous les utilisez et votre scanner d'empreintes digitales ne fait pas exception. Il est pratiquement garanti que toutes les impressions obtenues d'un scanner sont identiques à celles qui le déverrouillent. C'est un peu comme oublier la clé dans la serrure après avoir ouvert une porte.
Même dans ce cas, un pirate informatique n’aura peut-être pas besoin de copier les empreintes du scanner. Les smartphones détectent les empreintes digitales en émettant de la lumière sur le doigt, puis en enregistrant la façon dont la lumière rebondit dans les capteurs. Threatpost a expliqué comment les pirates informatiques pouvaient amener cette méthode d'analyse à accepter une empreinte digitale résiduelle.
Le chercheur Yang Yu a persuadé un scanner d'empreintes digitales de smartphone d'accepter un balayage d'empreintes digitales résiduelles en plaçant une surface réfléchissante opaque sur le scanner. La surface réfléchissante a dupé le scanner en lui faisant croire que le reste des empreintes était un doigt et lui donnait accès.
Comment éviter cette attaque
Celui-ci est simple. Essuyez vos scanners d'empreintes digitales! Un scanner a naturellement vos empreintes digitales dessus, il est donc crucial de le garder propre de vos impressions. Cela empêchera les pirates d’utiliser votre scanner contre vous.
Protégez vos références
Les scanners d'empreintes digitales sont un outil utile, mais ils sont loin d'être impénétrables! Si vous utilisez un lecteur d’empreintes digitales, veillez à l’utiliser en toute sécurité. Votre empreinte digitale est la clé de tous les scanners que vous utilisez. Soyez donc très prudent avec vos données biométriques.
Voulez-vous savoir quand quelqu'un essaie d'accéder à votre téléphone Android? Pourquoi ne pas essayer une application qui enregistre des tentatives de déverrouillage? Les 3 meilleures applications pour attraper la personne qui a essayé de déverrouiller votre téléphone Les 3 meilleures applications pour attraper la personne qui a essayé de déverrouiller votre téléphone Ces applications Android prennent des photos de personnes qui essaient de déverrouiller votre téléphone et échouer. Attrapez les voleurs de téléphones et les voleurs en flagrant délit! Lire la suite ?
Crédit d'image: AndreyPopov / Depositphotos