Biomètrie : La reconnaissance faciale n’est pas fiable
Par Korben | Nb visites : 447
Des chercheurs en sécurité vietnamiens ont réussi à cracker le système de reconnaissance faciale utilisé dans les portables Asus, Lenovo (ex-IBM) et Toshiba, à la place de l’authentification classique par login / mot de passe.
Pour passer cette vérification biomètrique, ils ont tout simplement utilisé des photos de l’utilisateur enregistré (classique quoi…) ou encore plusieurs images de visages générés (façon bruteforce)… Bref, si vous possèdez un PC qui fait ça, sachez que ce n’est pas du tout sécurisé. D’ailleurs, une démonstration aura lieu à la conférence BlackHat DC de la semaine prochaine et les chercheurs vietnamiens conseillent aux fabricants de retirer cette fonctionnalité de leur matériel car elle ne peut être corrigée pour le moment.
[Source]
Je vous recommande aussi la lecture des sujets suivants
- Cracker une clé WPA est maintenant possible !
- Ta face en 3D !
- Première faille dans Windows 7, qui ne pourra jamais être patchée…
- Pirater un satellite c’est simple comme bonjour
- Un peu hacking végétal pour mieux respirer…
- Proc̬s The Pirate Bay РLe verdict demain
- Du matos pour cracker des mots de passe
- Fabriquer un sniffer réseau passif avec pas grand chose
- Qimo – le système d’exploitation des enfants
- Comment faire des conf-call de pro pas chères
Manu
J’ai bossé un temps dans la biométrie et la reconnaissance faciale n’a jamais eu la réputation d’être fiable. Les technologies les plus fiables sont en premier lieu la reconnaissance de l’iris (mais c’est perçu comme hyper intrusif) et en deuxième l’empreinte digitale qui a encore un bel avenir devant elle.
Il semble quand même dingue et pas très sérieux en 2009 que la reconnaissance faciale se laisse encore berner par une image 2D. Mais je pense, puisqu’il s’agit de technologies embarquées sur des portables et pour des besoins de sécurité modestes, que c’est surtout une histoire de coûts.
Posté le 18 février 2009 à 14:04:43
DadoOo Bot
Perso, j’ai la biométrique en horreur.
Au lieu de s’attaquer au protocole, il suffit de s’attaquer à la personne.
Une authentification par empreinte digitale ? Suffit de lui couper le doigt…
Ça me fait plutôt froid dans le dos.
Posté le 18 février 2009 à 14:12:15
Manu
@DadoOo Bot: ça fait belle lurette que les capteurs sont équipés de détection du doigt mort.
Posté le 18 février 2009 à 14:24:35
VB 6
En effet, me semble aussi que identification par iris est la plus efficacité et sécuriser.
Car certain model, peuvent détecter état de fatigue, stresse de l’utilisateur.
Donc même une arme pointé sur l’utilisateur, il pourra pas l’ouvrir.
Pour en venir sur leurs systèmes de reconnaissance faciale, me semble que cette idée et totalement ridicule.
Car au début ont savait bien quelle n’avait pas d’avenir, même avec leurs système de web cam, tu pouvait déjà rentrée sans son utilisateur..
Donc cela m’étonne beaucoup que Asus, IBM, Toshiba utilisent ce système.
Surement pour contrée la concurrence avec Microsoft et leurs truc biométrique bidon
A mon avis, cela ne touche que les models grand public.
Car un ordinateur de chez IBM, équiper pour des professionnels de la sécurité,
ne s’aura jamais équiper d’un dispositif aussi minable.. c’est certain.
Il s’agit seulement des models concurrence, vendu au secteur public.
Posté le 18 février 2009 à 14:56:02
Artraxus
L’identification par la biométrie ne pause pas que des problèmes de sécurité mais surtout des problèmes pratiques: notre corps n’est pas « copiable » et peut être modifié dans le temps.
Je m’explique:
- comment aller vous vous identifier si lors d’un accident vous perdez un doigt ? ou un Å“il ?
Là , il n’est pas possible de faire un « backup » de son doigt ou de son Å“il, une fois perdu ou modifié, il devient impossible de vous identifier.
Et inversement, si par malchance quelqu’un vous vole votre emprunte digitale par exemple. Le système de sécurité ne pourra jamais faire la différence entre vous et votre voleur d’identité.
Dans ce cas il n’est pas question non plus de vous mutiler le doigt ou l’Å“il pour avoir à nouveau un identifiant unique
Posté le 18 février 2009 à 15:29:41
borkmadjai
à mon avis comme le dit VB6 c’est pour le grand public, ça fait un gadget de plus pour la vente..
perso je suis toujours en mdp ou empreinte digital sur mon pc portable.. (un IBM d’ailleurs)
Posté le 18 février 2009 à 15:33:23
Un autre Pierre
C’est un gadget, comme des voyants à led bleue au lieu du vert classique. Ca vaut pas mieux. Mais ça fait vendre.
Posté le 18 février 2009 à 15:34:33
dud
Enorme ton site gombinoscope Korben!!!! mdrrrrr
Posté le 18 février 2009 à 15:53:51
Korben
@dud: Aaaha je savais que ça allait vous plaire !
Posté le 18 février 2009 à 16:03:03
Dixours
Carrément trop bon le Gombinoscope !
Merci Korben !
Posté le 18 février 2009 à 16:37:15
Manu
@Artraxus:
« comment aller vous vous identifier si lors d’un accident vous perdez un doigt ? ou un Å“il ? »
–> C’est pour ça qu’on te prendra plusieurs doigts et pas sur la même main (surtout pour des applis légales). Et les algorithmes savent traiter les blessures mineures au doigt, genre coupures. Evidemment si tu perds tes dix doigts ou tes deux yeux ça sera dur mais là on aura pas de mal à te reconnaître :p
Après c’est sûr qu’aucun système n’est infalsifiable ou parfaitement sûr. La biométrie n’échappe pas à la règle.
Posté le 18 février 2009 à 17:19:44
Rydgel
Hahahah c’est énorme
Les têtes de ouf
Posté le 18 février 2009 à 18:07:31
L’eID débarque en Allemagne | Et-demain.com
[...] les signatures électroniques, empreintes digitales et autres reconnaissances faciales (visiblement peu fiables). Lors du prochain CeBIT à Hanovre, au début du mois de mars, des démonstrations seront faites [...]
Posté le 18 février 2009 à 19:54:33
Foudge
Le facial 2D pour sécuriser l’accès à un PC… faut considérer ça comme un gadget grand public. Il ne serait pas très sérieux d’en faire un autre usage.
Il y a des systèmes plus fiable que le password, mais le facial 2D n’en fait pas partie.
edit: pas mal le gombinoscope
Posté le 18 février 2009 à 19:58:50
Jonathan
Pour répondre à manu, l’empreinte digital c’est fini, il y a du nouveau depuis novembre 2008.
» Le reconnaissance du réseau veineux du doigt »
L’analyse se fait sous la peau, donc doigt abimé ou sale pas de souci.
Un peut de lecture -> http://www.biovein.com/
Je travaille pour le constructeur ( Français ), je peut vous dire que le doigt en particulier ( et non l’empreinte digital ) à encore un bel avenir devant lui.
» Korben » si tu veut faire une new sur ce produit fait moi signe sa sera avec plaisir.
Posté le 18 février 2009 à 20:34:18
Vincent
Le mieux du mieux reste le détecteur de bite. Ca détecte super bien ! Les gros ordinateurs (modèle V4G1n) en sont équipés.
Posté le 18 février 2009 à 20:39:42
Manu
@Jonathan: ouais enfin là tu fais la promo de ta boîte. L’empreinte digitale finie laisse-moi rire…
Posté le 18 février 2009 à 20:49:53
Jonathan
@Manu: Je me comprend quand je dit finie, disons qu’il y a des contraintes avec l’empreinte digitale. Sans rancunes.
Posté le 18 février 2009 à 21:35:59
Sty
Je ne comprends pas les arguments des 1ers commentaires disant « pressions corporelles pour forcer quelqu’un a ouvrir la machine… ».
Avec un password ça peut aussi donner lieu à des pressions sur une personnes pour qu’elle donne son password. S’il faut lui couper le doigt pour qu’elle donne un password, certains voyous n’hésiteraient sûrement pas dans certaines conditions :-/.
Par contre je suis assez attentif aux arguments « et si le corps change réellement » ? Dans ce cas il faut un password « classique », mais alors la biométrie ne servirait plus à rien, si ?
Posté le 19 février 2009 à 10:28:55
Korben
@Sty: Avec un password, je ne suis pas obligé de ta claquer sur le mur pour avoir le mot de passe… Il suffit que je le trouve en bruteforce ou autre… Alors qu’avec une empreinte d’iris, le bruteforce parait difficile, donc j’aurai plus vite fait d’aller t’arracher les yeux
(je me rends compte que mon commentaire est d’une violence !!)
Posté le 19 février 2009 à 10:38:42
nikogaug
Sinon concernant les empruntes digitales, j’ai vu une émission sur Arte ou un groupe de hacker reprenait l’emprunte digitale laissée sur un verre avec un système de colle ou je sais plus quoi qu’ils se mettaient ensuite sur le doigt Fausse info ? Ca a évolué depuis ?
En tout cas concernant la sécurité, pour certaines boîtes qui ont des données ultra sensibles je peut comprendre, mais pour ce qui est des caméras de sécurités etc, il a déjà été prouvé que c’est pas efficace. Voir ce qui se passe à Londre.
Mais c’est comme les normes de sécurité et sanitaire, ça permet de créer de nouveaux marchés et de faire tourner une économie mais pour un résultat très médiocre.
Posté le 19 février 2009 à 12:16:50
Manu
@nikogaug: le coup du scotch apparaissait déjà dans un mcGyver il y a fort longtemps. Je doute qu’il puisse être efficace sur un capteur digne de ce nom. En tous cas pour l’iris pas la peine de te coller un scotch sur l’oeil ça marchera pas :p
Posté le 19 février 2009 à 15:02:31
Plume
Autant j’aime bien faire des économies un peu partout dans l’informatique (les cliques de souris, etc) et j’aime bien la simplicité mais taper un mot de passe n’a jamais tué personne… Nan, un bon mot de passe je veux dire. Ce n’est pourtant pas si compliqué et ça va tellement vite, c’est une technologie sûre je vous dis, croyez-moi ça fera fureur : p
Posté le 19 février 2009 à 20:13:44
nikogaug
@Manu: j’ai pas parlé de scotch, j’ai parlé de reproduire l’emprunte digitiale sur une espèce de pâte qui est ensuite collé aux doigts.
voici la vidéo : http://www.youtube.com/watch?v=y_rNWFCcVqM&eurl=http://www.bakchich.info/article3709.html
Posté le 20 février 2009 à 09:32:07
Manu
@nikogaug: ok excuse j’ai lu trop vite. Enfin c’est le même principe de report de l’empreinte. Je pense qu’un capteur équipé de reconnaissance du doigt mort ne doit pas accepter un tel procédé. Dans la vidéo c’est un capteur capacitif sur une souris ce qui laisse présager du bas de gamme. J’aimerais voir ça sur un système biométrique de contrôle d’accès.
Posté le 20 février 2009 à 09:37:25
henryrobert
Bonjour à tous,
Nous souhaitons vous tenir informé qu’un nouveau site belge a été créé.
Son nom :babeloo.be
Son originalité: site de forums par webcam avec un animateur qui lance des débats de société « à la belge »
Avec plaisir nous acceuillons nos amis français
Ce site est trilingue, est gratuit d’accès et se veut de pouvoir permettre à chacun de prendre la parole, de faire ses propres chroniques, etc.
Annoncez-vous gratuitement sur babeloo.be
Venez nous voir sur babeloo.be, régulièrement des activités vont être lancées.
En l’attente de votre (ou vos!) visite, nous vous souhaitons plein, plein de bonheur et de soleil au coeur!
A bientôt.
Henry et l’équipe de babeloo.be
Posté le 20 février 2009 à 10:08:30
nikogaug
Mais je vois pas comment il serait détecter comme mort alors que c’est une fine couche appliquée sur le bout du doigt vivant comme une deuxième peau.
Posté le 20 février 2009 à 10:28:57
Korben
@henryrobert: Alors franchement, la pub sauvage qui n’a rien a voir avec le post, j’aurai dégagé sec mais j’adore trop tes vidéos alors je laisse ton commentaire pour le fun
))
Posté le 20 février 2009 à 11:03:45
Biomètrie : La reconnaissance faciale n’est pas fiable | Journal du Pirate
[...] Source Korben [...]
Posté le 23 février 2009 à 14:14:19
Anonyme
Un copier/coller de ton article :
http://ipv1.wordpress.com/2009/02/19/biometrie-la-reconnaissance-faciale-n%e2%80%99est-pas-fiable/
Posté le 17 mars 2009 à 23:41:31