Actualités

DEFCON: tromper les capteurs biométriques à l’aide de fausses empreintes digitales imprimées en 3D

Comme la plupart des systèmes d’identification biométrique, les verrous d’empreintes digitales offrent une protection adéquate contre les attaques malveillantes, mais ils peuvent être dupés par des criminels pour accéder aux données personnelles cachées derrière l’empreinte digitale dans les smartphones ou les comptes. L’utilisation de données biométriques pour l’authentification n’est pas nouvelle, la reconnaissance faciale, le balayage de la rétine et l’identification vocale sont souvent utilisés comme substituts des mots de passe. Plusieurs méthodes ont été créées pour les pirater, mais ces dernières années, la technologie d’impression 3D a permis à quiconque de créer de fausses empreintes digitales et de les utiliser pour accéder de manière non autorisée à un système. Lors de la conférence sur la sécurité virtuelle DEFCON 2020 le 8 août, la chercheuse en sécurité chez Dreamlab Technologies et la passionnée d’impression 3D Yamila Levalle ont décrit comment elle a pu contourner l’authentification digitale en utilisant uniquement une imprimante 3D SLA à base de résine UV et 10 $ de matériaux.

Les systèmes biométriques sont sujets à différentes attaques, mais Levalle a choisi de se concentrer sur les usurpations, qui se produisent lorsqu’un capteur est trompé au lieu d’être remplacé ou altéré. Selon l’expert, pour obtenir une correspondance, la plupart des scanners d’empreintes digitales utilisent des algorithmes complexes pour reconnaître, mesurer et analyser les caractéristiques distinctives, «similaires à la reconnaissance d’une partie du ciel grâce à la position relative des étoiles». Tout d’abord, elle a choisi d’essayer certaines méthodes traditionnelles pour contourner les capteurs, telles que les attaques de graisse à l’aide d’ours en gomme et de play-doh, pour comprendre comment la technologie d’impression 3D pourrait rendre ces attaques plus efficaces et plus rapides.

Pour tester les attaques à l’aide de l’impression 3D, Levalle a utilisé un Anycubic Imprimante Photon 3D DLP / SLA qu’elle avait chez elle; Résine UV; logiciel pour améliorer numériquement l’empreinte digitale latente; un outil de conception CAO 3D, comme Tinkercad, et une empreinte digitale latente dans le verre ou une encre d’empreinte digitale dans le papier.

Le guide pratique détaillé requis pour obtenir une empreinte digitale fonctionnelle impliquait de lever l’empreinte digitale latente avec un appareil photo numérique doté d’une fonctionnalité macro, puis d’utiliser un outil d’amélioration numérique, tel que Python ou tout type de logiciel graphique, afin d’optimiser les lignes. Une fois le fichier JPG amélioré converti en fichier SVG (Scalable Vector Graphics), il peut être importé dans Tinkercad, où les dimensions et la hauteur de la crête sont configurées pour créer un modèle 3D de l’empreinte digitale. Ceci, affirme Levalle, est l’étape la plus importante, en s’assurant que la longueur et la largeur de l’empreinte digitale sont imprimées en fonction des mesures de l’empreinte digitale latente d’origine, car la hauteur de crête correcte permettra aux fausses empreintes digitales de fonctionner dans différents capteurs et scanners. Les crêtes papillaires humaines, en général, ont une hauteur comprise entre 20 et 60 microns, donc pour cette recherche particulière, la précision de 25 microns d’un appareil à base de résine UV a fait le travail.

A lire  Les nouvelles fonctionnalités de Simplify3D V2.2 - ImpressionEn3D.com

Enfin, Levalle a recommandé de créer deux modèles 3D différents, un négatif ou creux pour la coulée et un positif pour les tests directs. Ensuite, c’est parti pour l’imprimante 3D. Une fois les impressions réalisées, elles sont rincées à l’alcool isopropylique et post-polymérisées à l’aide d’une lampe UV ou de la lumière directe du soleil. Pour couler le doigt, les moules creux imprimés en 3D étaient remplis de quelques gouttes de latex liquide ou de colle à bois (affirmant que les faux doigts minces fonctionnent mieux que les plus épais) et en séchant, ils se solidifiaient en une consistance caoutchouteuse.

Il a fallu dix essais à Levalle pour obtenir les paramètres d’imprimante et la hauteur de crête optimaux. Parmi les deux options qu’elle a créées, l’empreinte digitale obtenue à partir du moule 3D avec du latex liquide ou de la colle à bois a fonctionné sur les quatre capteurs, de la dernière technologie de numérisation d’empreintes digitales par ultrasons utilisée dans les smartphones Samsung S10 aux anciens modèles de capteurs d’empreintes digitales optiques, bien qu’ici elle avait besoin d’étaler du baume à lèvres au beurre de cacao ou de la vaseline sur la fausse empreinte digitale pour que le capteur la reconnaisse réellement. En revanche, le modèle positif 3D imprimé directement sur résine UV ne fonctionnait qu’avec le capteur à ultrasons et l’un des optiques, principalement en raison de la dureté de la résine qui n’a pas été reconnue comme un doigt.

ImpressionEn3D.com a pratiquement rattrapé Levalle qui lui a dit qu’il lui avait fallu une demi-heure pour imprimer en 3D un grand nombre de huit des dix fausses empreintes digitales. «La détermination de la hauteur exacte de la crête qui permettrait de contourner le système a nécessité quelques tests. Comme je n’avais pas de microscope électronique pour mesurer la hauteur de la crête du doigt, je devais le comparer en fonction de la hauteur moyenne de la crête des doigts humains. Il y a eu pas mal d’essais et d’erreurs jusqu’à ce que j’aie raison. Ce qui a vraiment aidé ici, c’est l’imprimante à résine UV, cela n’aurait pas été possible avec une imprimante FDM ou une imprimante 3D à filament car elle n’a pas la même presicion », a-t-elle déclaré.

Propulsé par Aniwaa

Les vulnérabilités de la biométrie dans les smartphones, les ordinateurs portables, les scanners et autres appareils attirent généralement des experts en sécurité qui ont identifié de graves problèmes de confidentialité et des moyens par lesquels les criminels peuvent enfreindre ces systèmes. Depuis plus de 28 ans, DEFCON, la plus grande et la plus ancienne conférence sur la cybersécurité au monde, rassemble à la fois les autorités et les innovateurs dans le domaine de la cybersécurité, offrant une perspective inégalée sur les menaces auxquelles sont confrontées les technologies émergentes et sur la manière de se défendre contre elles. Pour la toute première fois, la conférence 2020 a été mise en «mode sans échec», car l’événement en personne qui devrait avoir lieu du 6 au 9 août a été annulé en raison de la pandémie COVID-19 en cours.

A lire  La Dubai Electrical and Water Authority déploie une imprimante 3D Markforged Metal X - ImpressionEn3D.com

Comme avec de nombreuses présentations DEFCON dans le passé, les instructions de piratage sont extrêmement détaillées et peuvent être répliquées par des experts en sécurité expérimentés. Dans le passé, les participants au DEFCON à Las Vegas ont pu participer à des dizaines de présentations, allant des guides pratiques au piratage de 20 appareils en 45 minutes, aux histoires incroyables de pirates informatiques qui ciblaient les systèmes gouvernementaux (considérés comme un must pour tout le monde. dans la communauté des hackers envisageant un emploi avec des agences gouvernementales). La présentation de Levalle a mis en évidence diverses vulnérabilités dans un système qui domine différents marchés, dont la plupart semblent croître rapidement. Avec 1,5 milliard d’utilisateurs mobiles qui devraient à eux seuls s’appuyer sur la sécurité biométrique d’ici 2023 et près de 60% des entreprises utilisant la technologie de numérisation d’empreintes digitales, il est clair que l’authentification biométrique ne fera qu’augmenter, tout comme les menaces.

«Après avoir subi plusieurs fuites d’informations provenant d’entreprises de données biométriques, je me suis senti motivé à faire le travail et à montrer les étapes nécessaires pour mener à bien une attaque. Lors d’un concours de cybersécurité en 2019, j’ai vu une équipe qui a réussi à pirater des capteurs d’empreintes digitales, mais il n’y avait pas beaucoup d’informations sur la façon dont ils l’ont fait, juste qu’ils ont pris une photo d’une empreinte digitale sur un verre, puis 20 minutes plus tard, ils avaient une fausse empreinte digitale. J’ai donc essayé de reproduire cela chez moi avec mon propre appareil et j’ai choisi de publier un livre blanc dessus avec mes collègues », a expliqué Levalle. « C’est un excellent moyen d’améliorer la sécurité biométrique afin de détecter les fausses empreintes digitales utilisées dans les attaques d’usurpation d’identité. »

Afin de détecter les attaques de présentation sur les systèmes d’empreintes digitales, Levalle et une équipe de chercheurs ont suggéré d’analyser le degré de netteté, la couleur et les niveaux de luminance de l’échantillon, l’entropie, les distorsions structurelles, les artefacts locaux, l’absorbance de la lumière, l’élasticité du matériau et la teneur en humidité. Mais même si les scanners et les experts en sécurité deviennent mieux équipés pour détecter les données biométriques falsifiées, les cybercriminels feront également de leur mieux pour créer de meilleures contrefaçons et continueront de se concentrer sur le vol de données.

Vous pouvez regarder la présentation ici:

Tags
Bouton retour en haut de la page
Fermer