Biometrie-online.net | Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Voix - Réseau veineux - Signature dynamique - Frappe au clavier ...
Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Détails

Comment usurper la biométrie de milliers d’utilisateurs ?

En leur demandant gentiment et avec un peu d’IA

 

Un rapport montre comment une application un cheval de Troie, distribué via un magasin tiers, a récupéré des données biométriques faciales des utilisateurs, pour ensuite les réutiliser sur des sites bancaires. Si besoin, il suffit de saupoudrer d’un peu d’intelligence artificielle pour parachever le piège.

La biométrie n’est pas un bon facteur d’authentification : son principal avantage réside dans le confort qu’il procure à l’utilisateur, sans compter l’illusion de sécurité véhiculée par le cinéma.

La biométrie pour les nuls

Pourtant, le constat est incontestable : laisseriez-vous quelqu’un accéder à vos précieuses données parce qu’il a à peu près le bon mot de passe ? Probablement pas. C’est cependant ce qui se passe avec la biométrie.

Surtout qu’un mot de passe est en réalité un code secret, alors que les éléments biométriques ne le sont pas, il suffit de récupérer un de vos cheveux pour avoir votre ADN par exemple. De plus, en cas de compromission, vous ne pouvez rien changer à vos éléments biométriques. Les utilisateurs de 23andMe en ont fait la douloureuse expérience.

Le mot (de passe) de l’ANSSI

Même l’ANSSI déconseille son usage dans son document de recommandations relatives à l'authentification multifacteur et aux mots de passe : « [...] l’emploi d’un facteur biométrique présente de nombreux désavantages et limitations ».

Et de préciser ensuite :

  • « Ne pas utiliser un facteur inhérent [biométrie, qui correspond à ce que je suis, ndlr] comme unique facteur d'authentification ;
  • Utiliser un facteur inhérent uniquement associé à un facteur d'authentification fort ;
  • Favoriser une rencontre en présence lors de l'enregistrement d'un facteur inhérent ».

Dernier rappel : l’entropie des caractéristiques biométriques atteint péniblement celle d’un code PIN sur quatre chiffres. On est loin du bullet-proof

Ce qui sauvait la biométrie

Un des aspects rassurants de la biométrie était que les attaques de masse avaient une vraisemblance assez faible : un attaquant devait cibler un individu pour obtenir ses minuties (ses éléments biométriques) afin de les rejouer par lui-même. Sans que cela soit très compliqué, dans de nombreux cas, cela restait une difficulté et une forme de protection.

Or, un article récent de The Record, reprenant des informations de Group IB, une société de cybersécurité, nous apprend qu’il existe un moyen très simple de réaliser une attaque en masse : il suffit de demander aux utilisateurs de vous donner leurs caractéristiques biométriques, ou de les recréer.

Ingénierie sociale, toujours

Un groupe d’attaquants, appelé GoldDigger, a diffusé un cheval de Troie sur Android en ciblant une cinquantaine d’acteurs financiers (banques, portefeuilles de cryptomonnaies) asiatiques, principalement au Viêtnam.

Ce groupe a fait preuve d’ingéniosité pour tromper tout son monde et s’implanter dans les smartphones (le détail est dans le rapport de Group IB), en passant par des magasins tiers imitant les stores légitimes. Cette famille de malware existe depuis mi-2023 et évolue depuis en étendant ses fonctionnalités.

Les différentes versions du logiciel malveillant ont toutes les fonctionnalités attendues d’un tel outil (capture de SMS, des saisies, lecture des fichiers). De plus, la sophistication du logiciel et la méticulosité de ses concepteurs montrent que ce groupe a de très bonnes compétences en la matière (utilisation de virbox pour obfusquer le code, demande d’accès aux services d’accessibilité pour capturer un maximum d’informations, etc.).

Mais une des particularités les plus « intéressantes » est (selon The Record) de pouvoir demander une « authentification » par biométrie faciale de l’utilisateur, pour la rejouer ensuite sur des sites bancaires utilisant la reconnaissance faciale.

Group IB indique également que le malware est capable d’une incroyable supercherie en lisant des fichiers stockés contenant une photo de l’utilisateur (comme un document d’identité). Elle servira ensuite de base pour cette même authentification, grâce à l’utilisation d’IA pour réaliser un masque fonctionnant comme un filtre Instagram ou TikTok.

Il suffit alors de superposer l’image volée à la victime sur un attaquant, lequel pouvant ainsi bouger naturellement devant la caméra et tromper la reconnaissance faciale !

Rassurons-nous

On ne rappellera jamais assez : ne pas faire confiance aux magasins inconnus, surtout en cas de demande d’installation non sollicitée d’applications. Ici, les attaquants ont pris beaucoup de soin pour réaliser de faux stores vraisemblables.

Et, contrairement à ce que d’autres peuvent indiquer, il n’est pas du tout rassurant de savoir que les données de Face ID et autres secrets enfouis dans les enclaves sécurisées n’ont pas été directement compromises ou qu’aucune vulnérabilité des systèmes d’exploitation n’a été utilisée : c’est exactement le contraire !

Allez en parler aux victimes qui n’auront plus la possibilité d’utiliser la reconnaissance faciale sur le site de leur banque à l’heure où une banque visée (State Bank of Vietnam) a prévu de généraliser celle-ci en avril 2024…

Source : https://next.ink/130194