Une équipe de chercheurs composée de scientifiques chinois et américains a réussi à reproduire une empreinte digitale à partir du son produit en faisant glisser le doigt sur l’écran tactile. Cette méthode d’attaque biométrique novatrice est basée sur l’analyse acoustique des gestes tactiles effectués par les utilisateurs sur leurs appareils mobiles.

L’étude montre qu’il est possible de reconstruire partiellement les empreintes digitales des utilisateurs à partir des sons qu’ils génèrent en faisant glisser leurs doigts sur l’écran. La principale préoccupation que cela suscite est la possibilité de mener des attaques en utilisant cette méthode, remettant ainsi en question l’efficacité de la biométrie.

Les données extraites de la recherche sont préoccupantes. Les tests réalisés indiquent qu’il est possible d’obtenir avec un taux de réussite de 27,9% pour les empreintes digitales partielles et de 9,3% pour les empreintes digitales intégrales, le tout en seulement cinq tentatives et avec un réglage de sécurité FAR à sa valeur la plus élevée de 0,01%.

Le grand danger de cette situation réside dans le fait que le système de biométrie basé sur les empreintes digitales est l’un des plus répandus dans le monde, étant présent aussi bien sur les appareils mobiles que sur les ordinateurs et même dans les systèmes de sécurité privés tels que les coffres-forts ou les cadenas.

Répliquer partiellement ou intégralement une empreinte digitale constitue une menace pour la sécurité des utilisateurs. Jusqu’à présent, cette situation n’était possible qu’avec des méthodes invasives et non simplement par l’étude des données obtenues en faisant glisser la surface du doigt sur l’écran tactile de l’appareil mobile.

Les scénarios envisagés pour cette méthode d’obtention d’informations reposent sur l’infection des appareils. Une fois le téléphone infecté par un logiciel malveillant, la capture du son généré par le doigt lorsqu’il entre en contact avec l’écran tactile commence.

Le son est essentiel pour pouvoir reproduire les empreintes digitales, et comme les smartphones sont des interfaces tactiles, cela est plus que garanti. L’étude fait référence au fait que le son peut être obtenu en utilisant des applications telles que WhatsApp, Skype, FaceTime ou Discord.

Mais la réalité est que, si le téléphone est infecté, toute action effectuée sur l’appareil générera le son recherché par les attaquants. Cependant, tout n’est pas perdu, et en réalité, l’existence de cette recherche montre clairement que pour que l’attaque soit viable, une énorme sophistication est nécessaire.

D’un point de vue technique, cette attaque, appelée PrintListener, a obligé les chercheurs à surmonter trois barrières clés pour rendre possible la reconstruction d’une empreinte digitale en utilisant le son généré par le frottement du doigt contre l’écran tactile.

Des sons faibles : un algorithme de localisation des événements sonores de friction a été développé sur la base de l’analyse spectrale.

: un algorithme de localisation des événements sonores de friction a été développé sur la base de l’analyse spectrale. Séparer les influences du modèle des doigts dans le son des caractéristiques physiologiques et comportementales des utilisateurs : les chercheurs ont utilisé à la fois la redondance minimale et la pertinence maximale (mRMR) ainsi qu’une stratégie de pondération adaptative.

: les chercheurs ont utilisé à la fois la redondance minimale et la pertinence maximale (mRMR) ainsi qu’une stratégie de pondération adaptative. Passer de l’inférence de traits dactyloscopiques primaires à secondaires en utilisant une analyse statistique des intercorrélations entre ces traits et concevoir un algorithme de recherche fonctionnelle.

PrintListener est l’une des attaques les plus complexes qui existent actuellement. La recherche a mis en lumière une situation qui n’avait pas été prise en compte jusqu’à présent. À quel point les empreintes digitales sont-elles sécurisées? Etant donnés les résultats obtenus dans des environnements réels, il se peut que cette méthode de biométrie ne soit pas aussi fiable que les entreprises l’ont prétendu.