Publicité en cours de chargement...
Authentification biométrique « #unhackable » : la solution qui voudrait nous faire croire aux licornes
Il y a quelques semaines, je suis tombé sur un article passionnant du chercheur David Lodge, publié sur le blog de son entreprise, Pen Test Partners [1]. Il revient en détails sur son analyse d’un produit dont la sécurité est annoncée comme « inviolable » : eyeDisk, une clé USB chiffrée avec authentification biométrique via une lecture de l’iris.
Après avoir soutenu le projet sur la plateforme Kickstarter [2], le chercheur a obtenu un exemplaire de cette fameuse clé soit disant « impossible à pirater ». D’après les premiers tests, la clé semble remplir son contrat, le déverrouillage via lecture de l’iris fonctionne deux fois sur trois, l’authentification via mot de passe proposée en secours fonctionne également, un œil ressemblant ou une photo de l’œil enregistré ne permettent pas de déverrouiller l’accès à l’espace de stockage chiffré en AES 256.
En connectant la clé à une VM Windows, le chercheur a pu constater que trois appareils étaient reconnus par le système : une caméra USB, un volume flash en lecture seule contenant le logiciel permettant de paramétrer la clé et un volume amovible (chiffré).
Il s’est ensuite intéressé au fonctionnement du logiciel (fourni pour Windows et Mac) permettant le paramétrage et le déverrouillage de la clé. Le chercheur avoue avoir eu des difficultés à décompiler le logiciel écrit en Visual C++ pour les plateformes X86. Il s’est alors dit, lorsque le mot de passe permettant le déverrouillage du volume chiffré est envoyé, un échange entre sa machine et la clé doit avoir lieu, alors pourquoi ne pas « sniffer » les échanges USB. Le chercheur n’étant pas dans les bureaux de Pen Test Partner au moment des tests et n’ayant pas accès au boîtier Beagle USB Sniffer [3], il s’est tourné vers l’analyseur de trames réseau Wireshark qui permet dans ses versions modernes de capturer également le trafic USB [4].
Après avoir lancé la capture avec Wireshark et en saisissant son mot de passe, il a pu le voir passer « en clair » !!!
« Permettez-moi de répéter ceci : ce dispositif "non piratable" déverrouille le volume en envoyant un mot de passe en texte clair. » lance David Lodge.
Le chercheur étant joueur dans l’âme, il décide ensuite de saisir un mot de passe qui ne correspond pas à celui paramétré pour le déverrouillage du volume, et c’est là que ça devient encore plus intéressant. Peu importe le mot de passe saisi, le logiciel envoi le même paquet à la clé. Le mot de passe saisi est donc envoyé à la clé, qui elle même retourne le mot de passe « en clair » au logiciel pour comparaison. Pour résumer donc, en capturant les paquets USB échangés entre la machine et la clé et en saisissant n’importe quoi, il est possible de voir passer le mot de passe initialement paramétré par l’utilisateur… Tout simplement génial !
Au delà de ce récit passionnant, ce constat nous rappelle une chose, la sécurité absolue n’existe pas, chaque porte fermée peu s’ouvrir d’une manière ou d’une autre. Alors la sécurité est-elle un échec ? La sécurité est une course sans fin à la rigourosité et pour reprendre les mots de Nicolas Ruff :
« Aujourd’hui, la sécurité n’est pas seulement une question de moyens financiers, c’est avant tout une question de bon sens, de compétence et de volonté réelle. » [5]
À méditer...
[1] https://www.pentestpartners.com/security-blog/eyedisk-hacking-the-unhackable-again/
[2] https://www.kickstarter.com/projects/eyedisk/eyedisk-unhackable-usb-flash-drive
[3] https://www.totalphase.com/products/beagle-usb12/
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...