Comment usurper la biométrie de milliers d’utilisateurs ?
En leur demandant gentiment et avec un peu d’IA
Un rapport montre comment une application un cheval de Troie, distribué via un magasin tiers, a récupéré des données biométriques faciales des utilisateurs, pour ensuite les réutiliser sur des sites bancaires. Si besoin, il suffit de saupoudrer d’un peu d’intelligence artificielle pour parachever le piège.
Le 07 mars à 08h37
5 min
Sécurité
Sécurité
La biométrie n’est pas un bon facteur d’authentification : son principal avantage réside dans le confort qu’il procure à l’utilisateur, sans compter l’illusion de sécurité véhiculée par le cinéma.
La biométrie pour les nuls
Pourtant, le constat est incontestable : laisseriez-vous quelqu’un accéder à vos précieuses données parce qu’il a à peu près le bon mot de passe ? Probablement pas. C’est cependant ce qui se passe avec la biométrie.
Surtout qu’un mot de passe est en réalité un code secret, alors que les éléments biométriques ne le sont pas, il suffit de récupérer un de vos cheveux pour avoir votre ADN par exemple. De plus, en cas de compromission, vous ne pouvez rien changer à vos éléments biométriques. Les utilisateurs de 23andMe en ont fait la douloureuse expérience.
Le mot (de passe) de l’ANSSI
Même l’ANSSI déconseille son usage dans son document de recommandations relatives à l'authentification multifacteur et aux mots de passe : « [...] l’emploi d’un facteur biométrique présente de nombreux désavantages et limitations ».
Et de préciser ensuite :
-
- « Ne pas utiliser un facteur inhérent [biométrie, qui correspond à ce que je suis, ndlr] comme unique facteur d'authentification ;
-
- Utiliser un facteur inhérent uniquement associé à un facteur d'authentification fort ;
-
- Favoriser une rencontre en présence lors de l'enregistrement d'un facteur inhérent ».
Dernier rappel : l’entropie des caractéristiques biométriques atteint péniblement celle d’un code PIN sur quatre chiffres. On est loin du bullet-proof…
Ce qui sauvait la biométrie
Un des aspects rassurants de la biométrie était que les attaques de masse avaient une vraisemblance assez faible : un attaquant devait cibler un individu pour obtenir ses minuties (ses éléments biométriques) afin de les rejouer par lui-même. Sans que cela soit très compliqué, dans de nombreux cas, cela restait une difficulté et une forme de protection.
Or, un article récent de The Record, reprenant des informations de Group IB, une société de cybersécurité, nous apprend qu’il existe un moyen très simple de réaliser une attaque en masse : il suffit de demander aux utilisateurs de vous donner leurs caractéristiques biométriques, ou de les recréer.
Ingénierie sociale, toujours
Un groupe d’attaquants, appelé GoldDigger, a diffusé un cheval de Troie sur Android en ciblant une cinquantaine d’acteurs financiers (banques, portefeuilles de cryptomonnaies) asiatiques, principalement au Viêtnam.
Ce groupe a fait preuve d’ingéniosité pour tromper tout son monde et s’implanter dans les smartphones (le détail est dans le rapport de Group IB), en passant par des magasins tiers imitant les stores légitimes. Cette famille de malware existe depuis mi-2023 et évolue depuis en étendant ses fonctionnalités.
Les différentes versions du logiciel malveillant ont toutes les fonctionnalités attendues d’un tel outil (capture de SMS, des saisies, lecture des fichiers). De plus, la sophistication du logiciel et la méticulosité de ses concepteurs montrent que ce groupe a de très bonnes compétences en la matière (utilisation de virbox pour obfusquer le code, demande d’accès aux services d’accessibilité pour capturer un maximum d’informations, etc.).
Mais une des particularités les plus « intéressantes » est (selon The Record) de pouvoir demander une « authentification » par biométrie faciale de l’utilisateur, pour la rejouer ensuite sur des sites bancaires utilisant la reconnaissance faciale.
Group IB indique également que le malware est capable d’une incroyable supercherie en lisant des fichiers stockés contenant une photo de l’utilisateur (comme un document d’identité). Elle servira ensuite de base pour cette même authentification, grâce à l’utilisation d’IA pour réaliser un masque fonctionnant comme un filtre Instagram ou TikTok.
Il suffit alors de superposer l’image volée à la victime sur un attaquant, lequel pouvant ainsi bouger naturellement devant la caméra et tromper la reconnaissance faciale !
Rassurons-nous
On ne rappellera jamais assez : ne pas faire confiance aux magasins inconnus, surtout en cas de demande d’installation non sollicitée d’applications. Ici, les attaquants ont pris beaucoup de soin pour réaliser de faux stores vraisemblables.
Et, contrairement à ce que d’autres peuvent indiquer, il n’est pas du tout rassurant de savoir que les données de Face ID et autres secrets enfouis dans les enclaves sécurisées n’ont pas été directement compromises ou qu’aucune vulnérabilité des systèmes d’exploitation n’a été utilisée : c’est exactement le contraire !
Allez en parler aux victimes qui n’auront plus la possibilité d’utiliser la reconnaissance faciale sur le site de leur banque à l’heure où une banque visée (State Bank of Vietnam) a prévu de généraliser celle-ci en avril 2024…
Comment usurper la biométrie de milliers d’utilisateurs ?
-
La biométrie pour les nuls
-
Le mot (de passe) de l’ANSSI
-
Ce qui sauvait la biométrie
-
Ingénierie sociale, toujours
-
Rassurons-nous
Commentaires (14)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/03/2024 à 08h50
C'est l'OS qui dit si l'utilisateur est reconnu ou pas, du coup, j'ai du mal à comprendre l'article.
Le 07/03/2024 à 09h02
Le 07/03/2024 à 09h07
La victime utilise l'empreinte digitale, quand le téléphone lui demande.
Ça voudrait dire que l'appli bypass ça?
Le 07/03/2024 à 09h14
Le 07/03/2024 à 09h17
Après sur Android, elle est en 2D donc plus facile à piéger, j'espère que c'est juste ça.
Modifié le 07/03/2024 à 11h12
Après, si une banque utilise une pauvre reconnaissance faciale, le problème n'est pas la biométrie ! Si quelqu'un utilise comme mot de passe "aaaaaaaaaaaaaaaaaaaa", on ne va pas remettre en question la solidité d'un mot de passe de 20 caractères. Tout comme on ne remet pas en question celle des PIN de cartes bleues (parce qu'il n'y a que 3 essais possibles et des plafonds de dépense).
Allez voir la tronche des KYC modernes, où il faut sourire, arrêter de sourire, pencher la tête, etc. ce n'est pas avec une capture random que vous allez réussir le challenge.
Également, j'ai dû mal à comprendre :
Dernier rappel : l’entropie des caractéristiques biométriques atteignent péniblement celle d’un code PIN sur quatre chiffres. On est loin du bullet-proof…
Pour une reconnaissance faciale basique, pourquoi pas. Mais pour une empreinte digital ?!
Modifié le 08/03/2024 à 10h03
Point important : les banques n'utilisent pas une reconnaissance faciale pourrie ou pas, elles utilisent en général le dispositif installé sur le smartphone. Quelqu'un de minutieux ira interroger le terminal pour adapter sa sécurité en fonction du niveau de qualité connu de la biométrie, mais on approche de la science-fiction (il faudrait une évaluation indépendante de tous les dispositifs, mais à ma connaissance ça n'existe que pour les dispositifs FIDO).
Un mythe qu'il faut également briser : qu'une appli ou un OS n'ait pas accès aux gabarits biométriques, c'est la moindre des choses mais les attaques ne passent jamais par là. Attaquer une enclavé sécurisée est trop compliqué et, à l'inverse de ce que dit un confrère, il n'y a rien de rassurant à savoir que les attaquants n'ont utilisé aucune vulnérabilité de l'OS ni récupéré d'information dans l'enclave sécurisée : le point faible n'est pas là ! Il est dans le fait qu'on trouve des éléments biométriques n'importe où (la CNIL considère d'ailleurs maintenant que tous les types de biométrie peuvent laisser des traces dans leur environnement, et donc peuvent être interceptées). On peut même retrouver l'empreinte digitale dans les selfies de personnes faisant le signe "V"... Ici, dans le cas de figure de l'article, l'attaque consistait à récupérer une vidéo à rejouer ou une image à enrichir avec de l'IA pour déjouer l'authentification d'applications bancaires.
Du point de vue de la résistance aux attaques (c'est ça, la vraie "entropie" qu'il faut évaluer), Apple est meilleur qu'Android sur la reconnaissance faciale car il peut imposer sur ses terminaux plusieurs capteurs de type différents qui permettent de fiabiliser la reconnaissance faciale. Néanmoins, Apple annonce aujourd'hui un taux d'erreur de 1 sur 1 000 000 (en jouant probablement un peu sur les paramètres mais c'est un détail), ce qui correspond à un code PIN sur 6 caractères à peu près (sachant qu'un code PIN peut être changé, pas un visage...). Pour l'empreinte digitale, iOS annonce un taux d'erreur de 1 sur 50 000, Android c'est souvent le même ordre de grandeur (ça dépend des fabricants), donc ça n'est pas meilleur, c'est pire (sur les smartphones).
De plus, autant dans Android que dans iOS, le code PIN prime lorsqu'il s'agit d'opérations sensibles (c'est dans tous les docs d'utilisation). En clair : on a plus confiance dans un code PIN que dans la biométrie, fut-elle faciale...
Par ailleurs, il ne faut pas confondre les capteurs de haut niveau (type Thalès, avec une surface de captation de plusieurs cm²) avec un capteur de smartphone dont la résolution est souvent de l'ordre de 64 pixels sur 64. Sachant que pour interpréter une image d'empreinte digitale, il faut interpréter des motifs (spirales, boucles, arches...), le système doit faire ça sur une image de 64x64 pixels !
Pour ce qui est des systèmes qui demandent de tourner la tête, de sourire, et tout ça, c'est justement ça que cette attaque permet de bypasser : les attaquants fabriquent un filtre (genre Insta ou TikTok) et se le mettent sur leur visage et c'est ça qu'ils présentent au système d'authentification. Ce dernier voit donc qqch qui ressemble au bon utilisateur, et qui bouge selon les ordres...
Tu parles également de l'utilisateur qui mettrait "aaaaaaa..." dans son mot de passe : oui, on ne remet pas en cause les mots de passe longs. La "faille" vient du manque d'entropie en entrée, ce qui peut être vérifié pour un mot de passe (tu as sûrement souvent vu un thermomètre indiquant si le mot de passe que tu es en train de créer est suffisamment sécurisé ou pas). Le problème de la biométrie est que tu ne peux pas demander à un utilisateur de modifier son doigt ou son visage pour être sécurisé. Et, heureusement, un visage est souvent homogène, parfois harmonieux : il est par exemple rare de changer de coloration de peau 20 fois sur un cm². L'entropie biométrique (pour le visage) est largement affaiblie par le fait que nos visages ne sont pas fait d'aléas extraordinairement nombreux.
Et heureusement, car on aura du mal à se reconnaître, et je terminerai là dessus : la biométrie aura toujours une marge d'erreur, car c'est une mesure (donc intrinsèquement avec une marge d'erreur, qui dépend de la qualité des capteurs et du mode de calcul de ressemblance) et surtout il faut qu'il y ait une marge d'erreur car nous sommes vivants et donc nous changeons. Aujourd'hui, on pense que la biométrie faciale a une marge de progression, mais à vouloir être trop précis on finira par ne plus reconnaître l'utilisateur légitime (car la moindre différence entraînera le rejet, donc interdiction de vieillir, de se couper les cheveux, de se raser ou de se laisser pousser la barbe, d'avoir de la couperose, de laisser pousser les cartilages comme le nez ou les oreilles, etc.).
Le 08/03/2024 à 13h57
Modifié le 08/03/2024 à 19h05
* Continuer à utiliser de l'authentification biométrique et risquer toute leur vie d'être usurpés avec des moyens de recours très compliqués.
* Refuser catégoriquement toute leur vie d'utiliser la moindre authentification biométrique (et bloquer celles déjà actives), avec le risque de devoir se passer de certains services qui la rendraient obligatoire, ou de devoir potentiellement rentrer en conflit avec des administrations, et en espérant que personne ne l'utilisera dans leur dos (par exemple une photo donnée pour autre chose pourrait être utilisée pour de la reconnaissance faciale même si c'est une mauvaise idée, on ne peut jamais savoir).
Super le choix, surtout quand on voit les articles à répétition disant qu'on a certainement tous des comptes avec mots de passe qui ont été compromis sans le savoir, avec la biométrie il suffit d'une fois et ensuite c'est foutu pour toute la vie et tous les services.
Le 11/03/2024 à 14h14
Si effectivement on se base sur la reconnaissance faciale faite par les téléphones (mon téléphone ne le propose même pas), ce n'est pas terrible du tout. Par contre, une empreinte digitale, ça ne s'injecte pas (on ne "rejoue" pas une empreinte, sauf faille majeure). Mais plus globalement, que ce soit faciale ou digitale, les empreintes sont stockées sur le SE : il faut donc disposer du téléphone de la victime. Je ne vois alors pas comment usurper en masse. Si l'attaque existe, j'aimerais bien savoir comment elle se faire sans faille majeure dans du SE.
De plus, comme tu le précises d'ailleurs, une appli un peu sécurisée demandera de la biométrie pour "voir" et ajoutera la demande d'un PIN pour les opérations plus sensibles. Même si la biométrie n'est pas parfaite, elle est bien pratique... et suffisante puisque seulement un des facteurs d'auth.
Utiliser uniquement une clé FIDO, c'est pas très malin non plus (ça se perd, ça se vole, ça se casse, il faut l'avoir sur soi...). Bref, toujours du MFA et la biométrie est un facteur parmi d'autres.
Concernant le fait que l'on ne puisse pas révoquer son empreinte, la vidéo que cite Raiwiki en-dessous est très intéressante.
Le 07/04/2024 à 00h36
Ce qui est remis en cause, c'est la facilité avec la laquelle on peut récupérer suffisamment de données et ensuite la facilité avec laquelle on peut réutiliser ces données pour faire une usurpation.
Dans l'attaque de l'article, les attaquants forcent les victimes à faire un enregistrement vidéo qui est dans des conditions optimales pour entrainer une IA à faire un "deepfake" en vue de préparation l'usurpation d'identité.
Mais pour entrainer une IA de type "deepfake", il pourrait suffire de récupérer un grand nombre de selfie postés sur les réseaux sociaux et parvenir au même résultat, donc même pas besoin d'infecter les téléphones avec un cheval de Troie.
Si les caméras frontales utilisées pour la reconnaissance faciale montent en précision, ça ne changera rien, parce que ça permettra aux attaquants de récupérer des images de meilleure qualité, et donc de tromper tout aussi facilement la reconnaissance faciale, puisque le "deepfake" montera en qualité.
Le seul moyen d'endiguer le problème, c'est de trouver des données qui ne sont pas visibles par les caméras basiques (regarder en vision infrarouge ou ultraviolet par exemple) et les utiliser pour la reconnaissance. En parallèle de ça, les capteurs qui permettent ça doivent être totalement inaccessibles en dehors de cette usage, afin d'éviter au maximum qu'un attaquant qui réussit à s'introduire dans le téléphone puisse récolter ces infos et les réutiliser après.
Modifié le 07/03/2024 à 10h27
De ce que j'ai compris ils ont réussis dans le cas ou ils ont la maitrise de la prise de données.
Dans ce cas la ils peuvent créer une "personne passe-partout" qui sera validée pour l'ensemble des personnes enregistrées en base.
Et ce avec des empreintes, des visages ou des électrocardiogrammes
Source :
YouTube
Le 07/03/2024 à 10h30
Le 08/03/2024 à 10h05