Des chercheurs ont réussi à créer des empreintes artificielles qui fonctionnent pour un grand nombre de personnes. Pour l’instant, cette méthode ne fonctionne pas encore pour les lecteurs intégrés dans les smartphones, mais c’est un bon début.
C’est un nouveau coup dur pour l’authentification par empreinte digitale. Par le passé, des hackers avaient déjà montré qu’il était possible de piéger les lecteurs avec un faux doigt, réalisés à partir de la simple photo d’une phalangette et un peu de colle à bois ou une encre conductrice à base d’argent.
Des chercheurs des universités de New York et du Michigan viennent maintenant de prouver qu’il n’est peut-être pas nécessaire de récupérer l’image d’un doigt de la personne ciblée. On peut aussi se débrouiller avec des empreintes artificielles qui fonctionnent pour un grand nombre de personnes, un peu comme des clés-maîtres. C’est pourquoi les chercheurs ont baptisé leur travail « DeepMasterPrints ».
Sur des lecteurs de performance médiocre (par exemple, avec un taux de faux positifs de 0,1 %), les chercheurs arrivent ainsi à contourner l’authentification dans 22,5 % des cas. Ce qui n’est pas mal du tout. Sur des systèmes de qualité plus élevée (i.e. un taux de faux positifs de 0,01 %), les chercheurs n’arrivent à piéger le système que dans un cas sur cent.
Ces résultats n’ont pas de quoi inquiéter les utilisateurs de smartphone, où les lecteurs sont nettement plus performants (taux de faux positifs inférieurs à 0,002 %). Mais il est très probable que la méthode proposée puisse être perfectionnée à l’avenir pour également casser ce type de technologie. Le ver est dans le fruit.
Génération par un réseau neuronal
Pour créer les empreintes artificielles, les chercheurs ont nourris un réseau neuronal avec une base de données de 6000 empreintes digitales. Les empreintes générées ont systématiquement été soumises à un lecteur d’empreinte pour vérification. En cas de refus, le réseau neuronal était prié de modifier légèrement l’image et de proposer une nouvelle empreinte. Ce processus a été répété des milliers de fois avant d’obtenir, enfin, des empreintes-maîtres de qualité suffisante.
Sur le terrain, cette nouvelle faiblesse pourrait être exploité en « transférant les images sur un artéfact d’usurpation », expliquent les chercheurs. En théorie, rien n’empêcherait donc de ressortir la bonne vieille colle à bois.