AUTHENTIFICATION EMPREINTE DIGITALE
Des chercheurs de Tencent Labs et de l’université de Zhejiang ont dévoilé une nouvelle attaque appelée “BrutePrint” qui cible les smartphones modernes en forçant les empreintes digitales pour contourner l’authentification de l’utilisateur et prendre le contrôle de l’appareil.
Mauvaise nouvelle pour les smartphones Android, l’authentification biométrique par empreinte digitale serait confrontée à un important problème de sécurité, qui permettrait à certains pirates de contourner cette méthode d’authentification pour accéder à votre appareil. Grâce à un nouveau rapport conjoint de Tencent Labs et de l’université de Zhejiang, on sait désormais qu’il est possible d’utiliser la « force brute » pour déverrouiller votre smartphone.
Les attaques par force brute reposent sur des tentatives répétées pour déchiffrer des codes ou des mots de passe et obtenir un accès non autorisé. Ici, les chercheurs chinois ont réussi à contourner les mesures de protection des smartphones contre les attaques par force brute en exploitant deux vulnérabilités de type “zero-day” : Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL).
Les chercheurs ont constaté que les données biométriques sur l’interface périphérique série (SPI) des capteurs d’empreintes digitales n’étaient pas suffisamment protégées, ce qui les rendait vulnérables à une attaque de type “man-in-the-middle” (MITM), permettant le détournement des images d’empreintes digitales.
Pour exécuter une attaque BrutePrint, l’attaquant a besoin d’un accès physique à l’appareil cible, d’une base de données d’empreintes digitales, qui peut être obtenue à partir d’ensembles de données universitaires ou de fuites de données biométriques, ainsi que d’un équipement coûtant environ 15 dollars seulement. Contrairement au craquage de mots de passe, les correspondances d’empreintes digitales utilisent un seuil de référence, ce qui permet aux attaquants de manipuler le taux de fausse acceptation (FAR) afin d’augmenter le seuil d’acceptation et d’accroître leurs chances de réussite.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.