Deux chercheurs en sécurité allemands ont réussi à déjouer un capteur de reconnaissance des veines de la paume de la main. Et ce avec un simple appareil photo et une fausse main faite de cire. Leur méthode a été présentée au Chaos Communication Congress de Leipzig, en Allemagne.
Un système de sécurité par reconnaissance des veines utilise un capteur infrarouge pour lire la forme, la taille et la disposition des veines de la main sous la peau. Pour le duper, Jan Krissler et Julian Albrecht ont eu besoin de 30 jours. À l'aide d'un simple appareil photo reflex dont ils ont enlevé le filtre infrarouge, ils ont pu prendre des photos de mains laissant apparaître leurs veines.
«Cela est suffisant pour prendre des photos depuis une distance de cinq mètres, cela peut fonctionner en allant à une conférence de presse et prendre des photos», explique Krissler. Plus de 2.500 photos ont été nécessaires pour perfectionner leur démonstration.
Pas un coup d'essai
L'atout de cette méthode d'authentification est qu'il est plus difficile de connaître la position des veines que de récupérer une empreinte à utiliser sur un capteur. «Il est inquiétant que ce système, vanté comme étant de haute sécurité, puisse être piraté en modifiant un appareil photo et avec du matériel accessible à tous», note Jan Krissler.
Après avoir sélectionné le meilleur cliché possible, ils ont imprimé le détail du réseau veineux à l'échelle de la main. Une main en cire a été créée avec, à l'intérieur, les veines photographiées. Le duo de hackers a révélé le contenu de leurs recherches à Fujitsu et Hitachi, les deux leaders de ce marché. Un porte-parole de Fujitsu a affirmé que cette expérience ne pouvait fonctionner qu'avec des conditions de laboratoire et qu'il y avait peu de chances qu'elle soit reproduite facilement.
Jan Krissler, aka «Starbug», est une vraie star de la communauté des hackers. Il s'est fait une réputation en piratant des systèmes de sécurité reposant sur des technologies biométriques. En 2013, Krissler avait réussi à contourner le capteur d'empreinte d'Apple «Touch ID» quelques heures seulement après la sortie de l'iPhone 5s. L'année suivante, il était parvenu à reproduire l'empreinte digitale de la Ministre de la défense allemande à partir de plusieurs photographies.
