Touch ID, un lecteur d’empreintes simple et plus sûr

Selon Apple, Touch ID est plus sécurisé qu’un code à quatre chiffres : la probabilité que le capteur confonde deux empreintes digitales est de 1 sur 50 000 et elle augmente à « 1 sur 10 000 lorsqu’un utilisateur non autorisé devine un code d’accès à 4 chiffres ». Il faut néanmoins préciser que ces deux chiffres ne sont pas réellement de même nature car le premier représente une probabilité de fausse détection tandis que le second correspond à la probabilité de trouver le bon code de déverrouillage, et donc de pouvoir se ré-authentifier par la suite.

Utiliser Touch ID est également relativement simple. Lorsque le doigt est apposé sur le bouton d’activation de l’écran d’accueil, une photographie haute résolution de l’empreinte digitale est prise, puis comparée à un gabarit référence généré au moment de l’enregistrement de l’utilisateur. Concernant la confidentialité de ces données, la documentation technique précise que lors du processus d’enregistrement, c’est la modélisation mathématique de l’empreinte digitale qui est hébergée dans l’enclave sécurisée du processeur, au plus proche du capteur, et non les empreintes digitales des utilisateurs.

Un capteur biométrique aux usages multiples

Avec le lancement de l’iPhone 6 et d’iOS 8, les usages évoluent. Jusqu’à présent, le capteur permettait uniquement de s’authentifier et de payer ses achats sur l’Apple store, l’iTunes Store et l’iBooks Store. Désormais, l’arrivée d’Apple Pay permet de réaliser tous types d’achats en validant ses paiements via Touch ID, notamment grâce à l’intégration d’une puce NFC (pour le moment, Apple Pay n’est disponible qu’aux États-Unis). Il devient également possible de sécuriser l’accès à des applications tierces.

Les nouvelles fonctionnalités que pourraient offrir ces capteurs biométriques sont nombreuses, telles que déverrouiller une voiture ou effectuer un virement bancaire. La question de la sécurité devient donc cruciale.

Performances et limites de Touch ID

En dépit des tests et des études montrant que cette technologie est robuste et que les taux de faux positif et de faux négatif restent bas, Touch ID possède quelques limites.

L’authentification peut être avortée si le lecteur biométrique porte des traces de poussières, de graisse…Le capteur est également insensible à la chaleur corporelle et ne fait donc pas la différence entre la peau et les corps inertes. Enfin, comme pratiquement tous les lecteurs d’empreintes digitales, il est possible de le piéger. De nombreux experts en sécurité ont posté des vidéos montrant leurs tentatives réussies de piratages à partir de fausses empreintes digitales. Le « Chaos Computer Club » a ainsi réussi à tromper Touch ID en photographiant en haute résolution une empreinte digitale et en moulant cette dernière.

Nous avons, nous aussi, voulu tester la fiabilité de cette technologie avec de fausses empreintes digitales réalisées en gélatine alimentaire et en colle à bois. Le processus est fastidieux et les résultats varient en fonction de la qualité des copies et de leur fidélité par rapport à l’originale, mais nous sommes bien parvenus à déjouer le capteur biométrique.

Ainsi, une personne mal intentionnée pourrait parvenir, moyennant de nombreux efforts, à s’authentifier sur les appareils utilisant la biométrie par Touch ID. Cela implique cependant de pouvoir récolter une empreinte digitale nette, claire et épaisse qui puisse être facilement dupliquée, ce qui est au quotidien difficile à trouver.

Des évolutions dans le futur ?

Simple d’usage et efficace, la technologie Touch ID est une belle avancée pour la sécurité des terminaux mobiles. Malgré ses limites, les usages cités précédemment (accès aux données personnelles sur les terminaux, paiements mobiles…) ne devraient théoriquement pas souffrir de problèmes majeurs de sécurité pour le grand public.

Cependant, pour des populations sensibles ou dans des contextes à risques, il faut avoir conscience des limites concrètement démontrées. Il aurait été souhaitable que la sortie de l’iPhone 6 améliore de façon notable la sécurité et les performances du capteur biométrique. Malheureusement, à part une plus grande sensibilité impliquant une diminution du taux de faux négatifs (la résolution du capteur étant plus grande), il n’y a pas eu de modifications substantielles. Dans le futur, une approche combinant l’empreinte et un code pourrait être une évolution intéressante et simple à mettre en œuvre.

Enfin, si l’on souhaitait renforcer la sécurité de manière significative, on aurait pu s’orienter vers des technologies biométriques « sans traces » (réseau veineux, reconnaissance d’iris…etc). Mise à part l’usabilité de la plupart de ces technologies qui ne permet pas à l’heure actuelle de les intégrer sur un smartphone, la question essentielle est de savoir si le grand public est prêt à les accepter et à les utiliser. Affaire à suivre…

Cet article Touch ID marque-t-il la sécurité de son empreinte ? est apparu en premier sur RiskInsight.

Un dispositif technologique novateur destiné à la capture de mouvements

KINECT offre une alternative aux systèmes intrusifs de capture de mouvements, les systèmes de capture lumineux et les systèmes mécaniques. Bien que coûteux, ces derniers sont utilisés pour leur niveau de performance et leur grande rapidité dans l’animation de systèmes robotiques notamment. Les systèmes lumineux, quant à eux, exigent de porter une combinaison utilisant des marqueurs, sorte de petites lampes, émettant de la lumière pour indiquer leur position. Le suivi de posture s’effectue alors par triangulation. À titre d’exemple, le film « Pirates des Caraïbes » a été réalisé grâce à un système de capture lumineux, les acteurs portant des marqueurs actifs permettant de suivre entre autres les mouvements du visage avec un haut niveau de précision.

KINECT, pour sa part, ne nécessite pas de porter un squelette externe ou une combinaison. Le dispositif capture la posture grâce à un système mixte composé d’une caméra couleur couplée à un émetteur infrarouge et à son détecteur. Ce système permet d’obtenir une carte de profondeur de la scène observée, qui est associée à l’image couleur acquise par la caméra pour réaliser une reconstruction en 3D. À titre de comparaison, les systèmes stéréoscopiques classiques utilisent uniquement un ensemble de caméras couleurs pour trianguler la position de chaque élément d’une scène. Ce système peut alors subir les ambiguïtés des images, par exemple lorsqu’un acteur ne se distingue pas clairement de la couleur du décor. La précision peut être augmentée avec le nombre de caméras, au détriment de la qualité « temps-réel » du suivi…

Des applications allant au-delà de l’usage initial

Dès sa sortie, plusieurs applications utilisant le système KINECT ont été développées en dehors de sa console d’origine, la XBOX 360. Par exemple des interfaces gestuelles pour ordinateur ont vu le jour, permettant de faire défiler des images d’un simple geste de la main, ou de naviguer sur un site web. Ce n’est déjà plus un simple périphérique de jeux vidéo ! Dans les années qui ont suivi, des chirurgiens canadiens ont utilisé KINECT dans les blocs opératoires pour manipuler et zoomer directement sur des radiographies numériques, évitant ainsi de les toucher, et donc de devoir se laver les mains à nouveau. Dans le domaine de la sûreté, KINECT a été utilisé pour surveiller la zone démilitarisée entre la Corée du Sud et la Corée du Nord, permettant ainsi de distinguer les mouvements d’êtres humains de ceux des animaux, contrairement à des détecteurs de mouvements classiques.

Avec KINECT 2, des perspectives prometteuses en matière de sécurité

En 2013, KINECT 2 a fait son apparition avec des capteurs plus précis et plus sensibles, permettant de réaliser de la reconnaissance faciale.

Ainsi KINECT 2 promet déjà de nouvelles applications dans le domaine de la sécurité. David Myers, professeur à l’Université Loyola (Nouvelle Orléans) prédit que cette technologie se mettra en place très prochainement dans le milieu scolaire « pour s’assurer que l’étudiant qui se présente à un examen est bien la bonne personne ». Par ailleurs, les autorités aéroportuaires de certains pays du golfe réfléchissent activement à la mise en place de portiques automatiques aux frontières utilisant la reconnaissance faciale par KINECT entre autres. Les contrôles d’identités seront ainsi facilités à condition que les voyageurs se soient préalablement enregistrés sur une base de données commune.

Dans le domaine de la téléphonie mobile, on peut imaginer que le rachat en 2013 de PrimeSense, le concepteur de KINECT, par Apple va permettre d’améliorer la sécurité concernant l’accès utilisateur. Ainsi, l’une des options envisagées serait de renforcer le système de reconnaissance d’empreintes digitales Touch ID avec la reconnaissance faciale de KINECT. Il se pourrait aussi que la reconnaissance faciale permette d’autoriser l’affichage, ou non, d’informations confidentielles à l’écran, sans solliciter explicitement l’utilisateur. Ainsi, l’appareil pourrait vérifier la présence du visage de son propriétaire avant d’afficher les messages électroniques, permettant d’augmenter le niveau de sécurité sans impacter le confort de l’utilisateur par une demande de mot de passe ou d’empreinte digitale supplémentaire.

L’enjeu d’aujourd’hui est de permettre aux utilisateurs d’accéder et de s’approprier ces nouveaux services. Il ne faut pas non plus oublier que l’utilisation des technologies biométriques (avec  « trace » notamment) est très encadrée en France par la CNIL ; les données biométriques pouvant être capturées et exploitées à l’insu des individus. Un sujet d’actualité notamment par la proposition de loi encadrant les usages de la biométrie, adoptée en première lecture par le Sénat le 27 mai dernier. Affaire à suivre…

Cet article KINECT, ou comment l’innovation des jeux vidéo bénéficie à la sécurité est apparu en premier sur RiskInsight.