L’amélioration continue des capteurs photo des smartphones relance un débat sur la sécurité de l’authentification biométrique.
Des experts en cybersécurité ont remis sur le devant de la scène une question qui avait déjà été soulevée par le passé : il serait possible, grâce à des outils d’intelligence artificielle et de retouche photo, de reconstituer les empreintes digitales d’une personne à partir de photos ordinaires prises à moins d’un mètre et demi environ.
L’alerte a été relancée cette semaine en Chine, où plusieurs spécialistes ont affirmé que des clichés montrant les doigts orientés directement vers l’objectif pourraient contenir suffisamment de détails pour permettre la reconstruction d’une empreinte. Une fois reconstituée, celle-ci pourrait théoriquement être utilisée pour tromper des lecteurs biométriques associés à des téléphones, des ordinateurs portables, des systèmes de paiement ou des comptes en ligne.
Ce que disent les experts
Li Chang, spécialiste en finance qui s’est exprimé sur le sujet, souligne que des logiciels de retouche d’image combinés à des outils d’IA permettent de renforcer la netteté des crêtes papillaires présentes dans des selfies du quotidien. Jing Jiwu, professeur à l’Université de l’Académie des sciences de Chine, nuance toutefois le propos : l’éclairage, le flou de mouvement et la mise au point restent des obstacles réels. Mais il reconnaît que des images haute résolution, ou plusieurs photos d’un même sujet, peuvent améliorer sensiblement les chances d’extraire des données exploitables.
L’information a rapidement circulé sur les réseaux sociaux chinois, notamment parce que le geste du « V », deux doigts levés face à l’objectif, est un classique des selfies en Asie.
Une menace connue, mais qui évolue
Ce type d’attaque n’est pas nouveau. Les chercheurs en sécurité travaillent sur la reconstruction d’empreintes digitales depuis plus d’une décennie. En 2013, Jan Krissler, chercheur allemand en biométrie et membre du Chaos Computer Club, avait contourné le système Touch ID d’Apple peu après son lancement. L’année suivante, il avait montré qu’il était possible de reconstituer les empreintes de la ministre allemande de la Défense à partir de photographies publiques de ses mains.
À l’époque, la démarche restait hors de portée de la plupart des attaquants : elle nécessitait plusieurs images haute résolution, des conditions contrôlées et des techniques de traitement spécialisées. En 2021, des chercheurs de Kraken Security Labs ont présenté une méthode reposant uniquement sur une photo d’empreinte, Photoshop, une imprimante laser et de la colle à bois pour produire une fausse empreinte fonctionnelle. Des affaires judiciaires ont également montré que des enquêteurs ont pu identifier des suspects en faisant correspondre des photos de leurs mains avec des bases de données d’empreintes.
Ce qui change aujourd’hui, c’est la qualité croissante des capteurs photo embarqués dans les smartphones, combinée aux capacités de traitement des logiciels d’IA. Ces deux facteurs réunis abaissent progressivement le niveau de compétence et les moyens nécessaires pour mener ce type d’attaque.
