Face à la croissance inexorable des menaces sur les systèmes de sécurité traditionnels, les banques misent de plus en plus sur la biométrie. Hélas, comme il fallait s'y attendre, les cybercriminels commencent à fourbir leurs armes pour contourner ces protections, avec des conséquences qui pourraient s'avérer dramatiques.C'est le spécialiste Kaspersky Lab qui lève aujourd'hui l'alerte, en révélant les résultats de ses recherches sur les outils émergents de détournement de données biométriques sur les GAB. Ces derniers ont toujours constitué une cible privilégiée pour les malfaiteurs, qui ont d'abord développé des « skimmers » capables de capter les informations de la piste magnétique des cartes de paiement (afin de produire des clones), puis des « shimmers » qui parviennent à intercepter suffisamment de données sur les cartes à puce (pourtant mieux protégées) pour conduire des opérations frauduleuses.
C'est (en partie) pour répondre à ces risques, que de nombreuses banques – aux quatre coins de la planète – ont entamé le déploiement d'une nouvelle génération d'automates sur lesquels l'authentification de l'utilisateur est réalisée grâce à son empreinte digitale (avec l'introduction de Touch ID sur l'iPhone, la même technique est d'ailleurs en voie de généralisation pour l'accès aux services mobiles). Naturellement, les cybercriminels ne restent pas les bras croisés et ils font évoluer leur arsenal en conséquence.
Le Kaspersky Lab a ainsi identifié une douzaine de solutions de capture d'empreintes digitales sur les GAB, en vente sur l'internet clandestin, dont les premiers tests auraient démarré depuis un an. Ces solutions ne semblent pas encore totalement opérationnelles actuellement mais leurs progrès sont rapides. À l'instar des « skimmers », ces dispositifs pourraient être installés discrètement sur les distributeurs, voire sur tout type d'appareil, et permettre d'enregistrer et transmettre les données biométriques aux escrocs.
Or, le danger de ces attaques est décuplé par rapport à de « simples » détournements de mots de passe, car l'empreinte digitale est désormais susceptible d'être utilisée dans une multitude de systèmes d'identification et d'authentification (outre le GAB : le smartphone, la banque à distance, l'accès à des locaux d'entreprise… et même les documents d'identité !). Au moindre vol du précieux sésame, ils seront tous menacés, sans possibilité de remplacement immédiat. Incidemment, les autres techniques biométriques (réseau veineux, iris de l'œil…) commencent également à être ciblées…
Quand on se souvient que les dispositifs de sécurité actuels peuvent, pour la plupart d'entre eux, être trompés par des répliques plus ou moins élaborées des caractéristiques physiologiques exploitées pour la reconnaissance (et quasiment sans espoir de concevoir un système totalement inviolable), il semblerait que l'ouverture d'une boîte de Pandore que j'évoquais à l'époque du lancement de Touch ID par Apple soit rapidement passée du statut de menace théorique à celui de réalité extrêmement préoccupante…
Jeu de briques
Snake
Pacman
Bubble