Les scanners d'empreintes digitales constituent une bonne ligne de défense contre les pirates informatiques, mais cela ne signifie pas qu'ils ne peuvent pas être détruits. En réponse à la prolifération d’appareils prenant en charge la numérisation d’empreintes digitales, les pirates informatiques améliorent leurs techniques pour briser cette ligne de défense.
Voici quelques façons dont les pirates peuvent « battre » les scanners d’empreintes digitales.
Comment les pirates peuvent-ils « supprimer » les scanners d’empreintes digitales ?
Tout comme une clé physique multifonction peut ouvrir n’importe quelle serrure, une empreinte maître peut également contourner les scanners d’empreintes digitales.
Les pirates peuvent utiliser Masterprint pour accéder aux appareils qui utilisent une mauvaise numérisation. Les scanners fiables bloqueront les empreintes maîtresses, mais un scanner moins performant (que l'on trouve dans les téléphones portables, par exemple) risque de ne pas vérifier de manière très rigoureuse. Ainsi, les masterprints constituent un moyen efficace pour les pirates informatiques de pénétrer dans des appareils dotés de faibles défenses.
Comment éviter les attaques par masterprint
La meilleure façon d’éviter ce type d’attaque est d’utiliser un scanner d’empreintes digitales fiable. Masterprint exploite des scanners moins précis pour confirmer les identités.
Avant de faire trop confiance au scanner d’empreintes digitales, faites quelques recherches à ce sujet. Idéalement, trouvez la statistique du taux de fausses acceptations (FAR). Le pourcentage FAR est la probabilité qu'une empreinte digitale non approuvée accède au système. Plus ce pourcentage est faible, plus le scanner d'empreintes digitales que vous utilisez est susceptible de détecter l'empreinte principale.
Si des pirates détiennent une image de votre empreinte digitale, cela signifie qu’ils détiennent la clé pour pénétrer dans le scanner d’empreintes digitales que vous utilisez. Les gens peuvent changer leurs mots de passe, mais pas les empreintes digitales. La permanence des empreintes digitales en fait un outil précieux pour les pirates informatiques cherchant à contourner les scanners d’empreintes digitales.
À moins que vous ne soyez très célèbre ou influent, les pirates informatiques obtiendront facilement tout ce que vous avez touché pour créer une empreinte à partir de votre empreinte digitale. Il y a de fortes chances que des pirates ciblent un appareil ou un scanner en espérant qu'il contienne vos données brutes d'empreintes digitales.
Pour qu’un scanner puisse vous identifier, il a besoin d’une image de base de votre empreinte digitale. Lors de la configuration, vous fournissez un modèle d'empreinte digitale au scanner et celui-ci enregistre l'image en mémoire. Le scanner « se souviendra » alors de cette image à chaque fois que vous l'utiliserez, pour garantir que l'empreinte digitale sur le doigt numérisé est la même que l'échantillon d'empreinte digitale fourni lors de la configuration.
Malheureusement, certains appareils ou scanners enregistrent cette image sans cryptage. Si les pirates ont accès à la mémoire, ils peuvent prendre des images et collecter facilement les détails de vos empreintes digitales.
Comment éviter cette attaque ?
Pour éviter ce type d’attaque, il faut tenir compte de la sécurité de l’appareil que vous utilisez. Un scanner d'empreintes digitales fiable cryptera le fichier image pour empêcher les méchants d'obtenir vos informations biométriques.
Vérifiez à nouveau le scanner d'empreintes digitales utilisé pour voir s'il stocke correctement les images d'empreintes digitales. Si vous constatez que l'appareil ne stocke pas de manière sécurisée les images d'empreintes digitales, vous devez cesser de l'utiliser immédiatement. Vous devriez également envisager de supprimer le fichier image afin que les pirates ne puissent pas le copier.
Si les pirates ne parviennent pas à obtenir une image d’empreinte digitale non sécurisée, ils peuvent choisir de créer de fausses empreintes digitales. Cette astuce consiste à récupérer des modèles d'empreintes digitales cibles et à les reproduire pour vaincre le scanner.
Il y a quelques années, The Guardian rapportait qu'un hacker avait utilisé pour recréer l'empreinte digitale du ministre allemand de la Défense !
Il existe de nombreuses façons différentes pour un pirate informatique de transformer l’empreinte collectée en une empreinte physique. Ils peuvent fabriquer une réplique d'une main en cire ou en bois, l'imprimer sur du papier spécial, utiliser de l'encre conductrice d'argent, puis l'utiliser sur le scanner.
Comment éviter cette attaque ?
Malheureusement, il s’agit d’une attaque que vous ne pouvez pas empêcher directement. Si un pirate informatique a l'intention de compromettre le scanner d'empreintes digitales que vous utilisez et tente d'obtenir vos empreintes digitales, vous ne pouvez rien faire pour l'empêcher de créer un faux modèle.
La clé pour vaincre cette attaque est d’empêcher la prise d’empreintes digitales en premier lieu. Vous n'avez pas nécessairement besoin de porter des gants tout le temps comme un criminel, mais il est bon d'être conscient des endroits où les détails de vos empreintes digitales sont susceptibles de fuir. Récemment, de nombreux rapports faisant état de fuites de bases de données d'informations sensibles ont été signalés, cela mérite donc d'être examiné.
Assurez-vous de fournir uniquement les détails de vos empreintes digitales à des appareils et services de confiance. Si un service moins sécurisé présente une violation de la base de données et ne crypte pas les images d'empreintes digitales, les pirates en profiteront pour attaquer le scanner d'empreintes digitales que vous utilisez.
Certains gestionnaires de mots de passe utilisent l'analyse d'empreintes digitales pour identifier les utilisateurs. Bien que cela soit très utile pour protéger les mots de passe, son efficacité dépend également du niveau de sécurité du logiciel de gestion des mots de passe. Si le programme n'est pas efficace pour se défendre contre les attaques, les pirates peuvent exploiter cette vulnérabilité pour obtenir des informations sur les empreintes digitales.
Ce problème est similaire à celui de l’amélioration de la sécurité dans les aéroports. Des détecteurs de métaux, du personnel de sécurité et des caméras sont placés partout pour observer chaque recoin de l'aéroport. Cependant, s’il existe une « porte dérobée » oubliée depuis longtemps qui permet aux méchants de se faufiler, toutes ces mesures de sécurité supplémentaires ne serviront à rien !
Récemment, Gizmodo.com a signalé une vulnérabilité pour les appareils Lenovo dans laquelle le gestionnaire de mots de passe compatible avec les empreintes digitales possède un mot de passe codé en dur (mot de passe en texte brut situé dans le code source). Si un pirate informatique souhaite accéder au gestionnaire de mots de passe, il peut contourner le scanner d'empreintes digitales avec ce mot de passe codé en dur, rendant ainsi le scanner inutile !
Comment éviter cette attaque ?
Habituellement, le meilleur moyen d’éviter ce type d’attaque est d’acheter des produits populaires et bénéficiant de nombreux avis positifs de la part des utilisateurs. Même s’il existe des exceptions (par exemple, un grand nom comme Lenovo a également été attaqué, comme mentionné ci-dessus).
Ainsi, même si vous utilisez uniquement du matériel fabriqué par des marques réputées, il est toujours important de maintenir à jour les logiciels de sécurité pour résoudre tout problème détecté ultérieurement.
Parfois, un pirate informatique n’a pas besoin de recourir à des techniques avancées pour obtenir des empreintes digitales. Ils utilisent simplement les restes de l’analyse d’empreintes digitales précédente pour contourner la couche de sécurité.
Vous laissez vos empreintes digitales sur les objets lorsque vous les utilisez, et les scanners d'empreintes digitales ne font pas exception. Il est garanti que tout échantillon prélevé à partir du scanner correspond étroitement à l’échantillon d’empreinte digitale déverrouillé. Cette situation revient à oublier la clé dans la serrure après avoir ouvert la porte.
Même dans ce cas, un pirate informatique n’aura peut-être pas besoin de copier le modèle d’empreinte digitale du scanner. Les smartphones détectent les empreintes digitales en éclairant le doigt, puis en enregistrant la façon dont la lumière rebondit sur le capteur. Threatpost.com a expliqué comment les pirates ont réussi à tromper cette méthode d'analyse pour qu'elle accepte l'empreinte digitale restante.
Le chercheur Yang Yu a trompé un scanner d'empreintes digitales de smartphone pour qu'il accepte une analyse d'empreintes digitales résiduelles, en plaçant une surface réfléchissante translucide sur le scanner. La surface réfléchissante fait croire au scanner que le reste de l’empreinte digitale est un vrai doigt et permet d’accéder au téléphone.
Comment éviter cette attaque ?
La manière d’éviter une telle attaque est très simple. Veuillez essuyer la surface de l'appareil après avoir scanné l'empreinte digitale ! Le scanner conserve les empreintes digitales après son utilisation, et le meilleur moyen de rester en sécurité est de l'essuyer. Cela empêchera les pirates d’utiliser l’appareil que vous possédez contre vous.
Bien que les scanners d’empreintes digitales soient un outil utile, ils ne sont pas totalement sécurisés ! Si vous utilisez un scanner d'empreintes digitales, assurez-vous de prendre des mesures de sécurité avec celui-ci. Les empreintes digitales sont la clé de chaque scanner que vous utilisez, alors soyez très prudent avec vos données biométriques.
J'espère que vous trouverez la bonne solution pour vous-même !
MalwareBytes est un outil de détection et de suppression de logiciels malveillants disponible gratuitement et dispose également d'une version premium qui ajoute des fonctionnalités importantes. Il est capable de détecter et de supprimer tous les types de logiciels malveillants, notamment les logiciels espions, les chevaux de Troie, les vers et même les ransomwares.
L'article d'aujourd'hui vous aidera à trouver la meilleure méthode d'utilisation de la restauration du système, en déterminant sa taille complète sur un PC ou un ordinateur portable Windows 10.
Récemment, Microsoft a publié la mise à jour Windows 10 Insider build 17682 avec de nombreuses fonctionnalités améliorées qui promettent de rendre Windows plus stable et d'améliorer les performances.
Cette application peut suivre toutes les fenêtres que vous avez utilisées pendant la journée. Vous avez juste besoin d'AutoHotKey, d'un traitement de texte de base comme le Bloc-notes, et d'environ une demi-heure.
VirtualBox est un excellent logiciel, notamment pour les développeurs. Vous pouvez rencontrer des problèmes de performances et l’intégration avec le système d’exploitation de base (également appelé système d’exploitation « hôte ») n’est pas très adaptée.
Pour pouvoir faire défiler une page ou une fenêtre sous Windows 10, en plus d'utiliser la souris, on va déplacer notre doigt de haut en bas sur le Touchpad. Cependant, on peut également modifier cette opération par défaut avec une opération assez simple.
Les smartphones disposent aujourd'hui de nombreuses nouvelles fonctionnalités et sont considérés comme des ordinateurs miniatures. Cependant, tout ne peut pas être fait sur cet appareil. Microsoft comprend cela, c'est pourquoi avec la prochaine mise à jour Fall Creators, la société introduira une nouvelle fonctionnalité de liaison téléphone à PC qui permettra aux utilisateurs de travailler sur le téléphone, puis de le transférer vers le système Windows 10.
Windows Hello est une nouvelle fonctionnalité pratique et utile intégrée par Microsoft à Windows 10 avec la possibilité de reconnaître les visages des utilisateurs, de prendre en charge la sécurité ainsi que de prendre en charge une connexion plus rapide lors de l'utilisation du système d'exploitation.
Windows 10 Mobile est une combinaison du système d'exploitation Windows sur les smartphones que Microsoft a récemment étudié et développé pour se concentrer sur l'exploitation des utilisateurs.
Le pare-feu Windows est intégré au système d'exploitation Windows et constitue un élément important du système de sécurité. Cependant, au fil du temps, de plus en plus d'applications sont approuvées sur le pare-feu. Cependant, heureusement, vous pouvez toujours réinitialiser le pare-feu Windows à ses paramètres par défaut d'origine.
