« Réfléchissez-y deux fois avant de poser en faisant des signes de la main » : des experts en cybersécurité mettent en garde contre le vol d'empreintes digitales à partir de photos où l'on fait le signe « V »Votre dernier selfie pourrait fournir aux hackers tout ce dont ils ont besoin pour pirater vos comptes. Des experts en cybersécurité ont récemment mis en garde les utilisateurs des réseaux sociaux contre le fait de poser en faisant le signe « V » sur leurs photos, par crainte que des cybercriminels ne puissent voler leurs empreintes digitales. Li Chang, une experte chinoise en cybersécurité, a en effet démontré lors d'une émission de téléréalité qu'il était possible d'analyser des photos nettes d'un individu faisant le « signe de la paix » à l'aide de l'intelligence artificielle (IA) afin d'en extraire des données biométriques. Ces données pourraient alors potentiellement permettre aux pirates de déverrouiller des comptes. L'experte en sécurité note que même les photos prises à plus d'un mètre de distance peuvent être exploitées. Les spécialistes recommandent ainsi vivement aux utilisateurs de flouter, de pixelliser ou d'estomper leurs mains avant de publier des selfies en ligne, afin d'atténuer cette menace, ainsi que d'éviter de partager des images en haute résolution avec des outils d'IA.
Cette mise en garde s’inscrit dans une série de démonstrations qui ont progressivement mis en évidence les limites de l’authentification biométrique. En décembre 2014, un membre du groupe de pirates informatiques Chaos Computer Club a montré comment il avait réussi à reproduire l'empreinte digitale d'Ursula von der Leyen, actuelle présidente de la Commission européenne, afin de contourner la sécurité d'un iPhone. Jan Krissler, alias Starbug, a affirmé que cette attaque avait été rendue possible en utilisant simplement des images accessibles au public, prises lors d'une conférence de presse.
Le signe « V » est un geste de la main consistant à lever l'index et le majeur et à les écarter pour former un V, tandis que les autres doigts sont repliés. Il revêt différentes significations selon le contexte et la manière dont il est effectué. Lorsqu’il est présenté paume tournée vers le signant, ce geste peut être considéré comme offensant dans certains pays du Commonwealth (à l’instar du doigt d’honneur). Lorsqu’il est présenté paume tournée vers l’extérieur, il doit être interprété comme un signe de victoire (« V pour Victoire »). Pendant la guerre du Vietnam, dans les années 1960, le « signe V » avec la paume tournée vers l'extérieur a été largement adopté par la contre-culture comme symbole de paix et est encore utilisé aujourd'hui dans le monde entier comme « signe de paix ».
Des chercheurs en cybersécurité ont lancé un avertissement urgent contre le fait de faire le signe de la « paix » sur les photos, craignant que des criminels ne puissent voler vos empreintes digitales.
Grâce aux outils d'IA, les cybercriminels sont désormais capables d'extraire des données biométriques à partir d'une simple photo et de les utiliser pour accéder à nos comptes. Alors que la connexion par empreinte digitale se généralise pour les comptes les plus sécurisés, les experts estiment que cette tendance pourrait permettre aux pirates d'accéder à tout, des e-mails aux applications bancaires.
Cet avertissement intervient alors qu'une experte chinoise en cybersécurité, Li Chang, a démontré qu'elle pouvait voler les empreintes digitales d'une célébrité à partir de publications sur les réseaux sociaux. Lors d'une émission de téléréalité, Chang a extrait des données biométriques d'un selfie de la célébrité faisant le signe de la « paix », sur lequel on voyait clairement son index et son majeur.
Li Chang a averti que ces données pouvaient potentiellement être extraites de photos prises à une distance pouvant aller jusqu'à 1,5 mètre. Cependant, des pirates déterminés pourraient encore récupérer jusqu'à la moitié des informations à partir de photos prises à une distance de trois mètres.
Au cours de cette émission, qui a suscité une vague d'inquiétude parmi les utilisateurs des réseaux sociaux, Li Chang a montré qu'il était possible de rendre visibles les fines lignes d'une empreinte digitale après avoir amélioré l'image à l'aide d'un logiciel de retouche photo et d'outils d'IA.
Ces données pourraient, en théorie, servir à reproduire les empreintes digitales de la célébrité et à accéder à ses appareils.
L'experte en cybersécurité a expliqué que le risque était le plus élevé avec des photos nettes et bien éclairées, prises de face, sur lesquelles la personne montrait clairement ses mains. Les risques sont encore plus importants lorsqu'il existe des photos prises sous plusieurs angles, car celles-ci permettent aux pirates informatiques de reconstituer une image plus complète.
Dans la pratique, un mauvais éclairage, des mouvements et des angles de prise de vue peu favorables compliqueront la tâche des cybercriminels qui cherchent à récupérer nos données. Toutefois, selon Chang, le risque est suffisamment grave pour que les utilisateurs des réseaux sociaux floutent, pixellisent ou estompent leurs mains avant de publier des selfies en ligne.
Même si cela peut sembler futuriste, de nombreuses attaques de ce type ont déjà été recensées. Un cas récent est celui d'un homme de Hangzhou, en Chine, dont les empreintes digitales ont été volées par des malfaiteurs en juillet dernier, d'après le South China Morning Post. L'homme avait publié une photo sur laquelle on pouvait voir ses empreintes digitales, et des hackers ont ensuite été interceptés alors qu'ils tentaient de déverrouiller la serrure intelligente de son domicile.
Heureusement, les experts en cybersécurité estiment qu'il est peu probable que cette attaque soit menée à grande échelle.
Jake Moore, conseiller mondial en cybersécurité chez ESET, a déclaré : « Ce n'est pas quelque chose dont le grand public doit s'inquiéter pour l'instant. Il s'agit plutôt d'un risque d'attaque ciblée, visant potentiellement des actifs de grande valeur protégés par des systèmes de verrouillage biométriques. »
« Pour pouvoir créer une réplique, un criminel aurait besoin d'une image en très haute résolution, sur laquelle les empreintes digitales seraient orientées directement vers l'appareil photo, dans des conditions d'éclairage parfaites », a-t-il ajouté.
Une préoccupation plus importante que les attaques via les réseaux sociaux est le risque que des personnes fournissent volontairement des images haute qualité de leurs mains.
Lorsque des photos sont publiées sur les réseaux sociaux, la taille des fichiers est généralement réduite, ce qui rend l'extraction des données d'empreintes digitales plus difficile. Jake Moore a toutefois mis en garde contre une tendance récente qui consiste à télécharger des photos de ses mains sur des outils d'IA pour se livrer à une « chiromancie numérique ».
Sur les réseaux sociaux, les adeptes de l'IA ont commencé à fournir au chatbot des images haute résolution des lignes de leurs mains afin de se faire prédire l'avenir. Les utilisateurs de TikTok se sont précipités pour partager leurs résultats, mais les experts mettent en garde contre cette tendance, qui semble inoffensive, mais qui pourrait s'avérer être un véritable cauchemar en matière de cybersécurité.
« Lorsque des images sont téléchargées vers des chatbots IA, toutes les informations relatives à la photo sont transférées et contiennent souvent beaucoup plus de détails », a expliqué Jake Moore. « Fournir de telles données à une grande entreprise technologique comme OpenAI est potentiellement bien plus dangereux, car ces données biométriques pourraient être collectées, stockées et même partagées pendant de nombreuses années. »
Alors que les experts en cybersécurité mettent en garde contre le vol d'empreintes digitales à partir de selfies, une étude publiée par le groupe de sécurité Talos de Cisco a révélé que l'authentification par empreinte digitale pouvait être contournée dans près de 80 % des cas testés.
Avec un budget de 2 000 dollars environ et plusieurs mois d'expérimentation, les chercheurs de Cisco ont évalué les capteurs biométriques proposés par Apple, Microsoft, Samsung, Huawei et plusieurs fabricants de serrures numériques. Leurs conclusions soulignent que si cette technologie reste adaptée au grand public, elle peut s'avérer insuffisante face à des attaquants disposant de ressources importantes, notamment des groupes soutenus par des États ou des acteurs malveillants particulièrement déterminés.
Sources : Li Chang, experte chinoise en cybersécurité ; South China Morning Post
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous les préoccupations soulevées par ces experts en cybersécurité crédibles ou pertinentes ?Voir aussi :
48 % des consommateurs ne considèrent pas que l'authentification biométrique contribue à la confiance dans le monde en ligne, selon une enquête menée par Incode Technologies Des chercheurs ont découvert comment contourner les verrous à empreintes digitales sur les téléphones Android avec une attaque par force brute, l'attaque serait inefficace sur les appareils iOS 74 % des consommateurs préfèrent se tourner vers la biométrie pour éviter de se souvenir des mots de passe, et 51 % déclarent réinitialiser un mot de passe au moins une fois par mois, selon Entrust
Vous avez lu gratuitement 3 408 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
