Corneal Key Logger peut extraire le code PIN d’un smartphone à partir d’un selfie

Contexte et découverte

Si vous pensiez que la biométrie était la solution finale pour l’authentification, la démonstration de Jan Krissler, connu sous le pseudonyme Starbug, rappelle que rien n’est inviolable. Chercheur allemand, il s’est fait connaître en contournant Touch ID d’Apple et en recréant des empreintes digitales à partir d’images haute résolution.

Starbug a présenté une nouvelle méthode à la conférence Biometrics 2015 à Londres. Il montre comment extraire, depuis un selfie, le reflet de l’écran d’un smartphone dans la zone blanche de l’œil (sclère) et utiliser des techniques d’imagerie ultra haute résolution pour reconstituer les informations affichées, notamment le pavé numérique et le code PIN.

Comment fonctionne la technique

• Capture haute résolution: un selfie pris avec un appareil à haute résolution (DSLR, objectif longue focale, smartphone récent) conserve des détails suffisants.
• Extraction du reflet: le chercheur isole le reflet de l’écran dans la cornée ou la sclère. L’œil agit comme un petit miroir courbe; le reflet contient une image du pavé numérique ou de l’interface.
• Traitement d’image: des algorithmes d’alignement, de reconstruction et d’amélioration (super-résolution) permettent de clarifier les touches pressées et l’ordre de saisie.
• Reconstruction biométrique: par analogie, l’équipe a montré qu’on peut aussi capturer des détails d’iris et, avec des impressions, tenter d’usurper des capteurs biométriques.

Définition rapide: la cornée est la surface transparente et bombée de l’œil qui réfléchit une petite portion de la scène devant le sujet.

Démonstrations marquantes

• Reconstitution d’un pavé numérique à partir d’un selfie.
• Extraction approximative de données d’iris à partir de photos haute résolution.
• Reproduction d’empreintes digitales capturées à distance à l’aide d’appareils photo et reproduction via moule pour tromper Touch ID.
• Contournement de la détection de « liveness » (vivacité) dans certains cas et tromperie d’un système 3D par un masque en papier mâché.

Limites et cas où la méthode échoue

• Résolution insuffisante: si la photo est prise avec un appareil de faible résolution ou fortement compressée, l’information utile peut être perdue.
• Angle et distance: la géométrie du reflet dépend de l’angle entre l’œil, la caméra et l’écran. Des angles défavorables rendent la reconstruction difficile.
• Conditions d’éclairage: reflets parasites, contre-jour ou scintillement peuvent masquer le pavé numérique.
• Obstruction: lunettes, lentilles de contact opaques, maquillage ou cheveux peuvent rendre la zone inutilisable.
• Cryptage côté terminal: des interfaces qui dissimulent la frappe (effet tactile dynamique, pavé aléatoire) réduisent la valeur du reflet.

Important: la méthode fonctionne mieux sur des images non compressées et prises par des appareils de qualité. Elle reste une attaque ciblée, pas une menace de masse immédiate.

Pourquoi c’est dangereux

• Diffusion publique: les photos publiées sur les réseaux sociaux ou prises lors d’événements publics peuvent être exploitées.
• Automatisation: des outils d’analyse d’image peuvent accélérer l’extraction et la corrélation.
• Biométries multiples: Starbug souligne que 90 % de la valeur du marché biométrique reposait sur empreintes, visage et iris, et que « tout est falsifiable ».

Contre-exemples et scénarios d’échec

• Selfies fortement compressés par des réseaux sociaux (forte perte de détails) réduisent la faisabilité.
• Autofocus raté ou flou empêche l’extraction fiable.
• Utilisation de schémas d’authentification sans pavé visible (empreinte seule avec équivalent sécurisé) limite l’attaque.

Mesures de mitigation pour organisations et particuliers

• Éviter de publier des photos haute résolution montrant le visage dans des contextes sensibles.
• Activer l’authentification multifacteur (MFA) où le second facteur n’est pas visible à l’écran.
• Utiliser des alternatives au PIN visible: pavés numériques dynamiques, schémas gestuels masqués, ou authentification basée sur un token matériel.
• Renforcer la détection de vivacité: capteurs multi-spectre, analyse thermique, réaction pupillaire et capteurs capacitatifs.
• Sensibilisation: former utilisateurs et ministères à la gestion des photos publiques.

Checklist pour responsables sécurité

• Inventaire: lister les systèmes qui acceptent le PIN affiché ou la biométrie seule.
• Évaluation du risque: identifier les comptes et appareils à risque élevé.
• Mitigation technique: déployer MFA et algorithmes anti-spoofing renforcés.
• Politique photo: restreindre la diffusion publique de photos dans les communications officielles.
• Test d’intrusion: inclure des scénarios d’analyse de selfies lors des audits.

Matrice des risques et recommandations

• Impact élevé / Probabilité faible: comptes de dirigeants exposés → appliquer MFA et politique stricte de publication d’images.
• Impact moyen / Probabilité moyenne: employés avec télétravail → formation + gestion des appareils mobiles.
• Impact faible / Probabilité élevée: utilisateurs grand public → conseils en ligne et options d’authentification alternatives.

Conséquences légales et vie privée

Remarque: la collecte et le traitement d’images faciales peuvent relever du RGPD si elles identifient une personne en Europe. Les entreprises doivent:

• limiter la conservation d’images;
• informer les personnes concernées;
• s’assurer d’une base légale pour tout traitement;
• mettre en place des mesures techniques pour réduire l’exposition (minimisation, chiffrement).

Glossaire en une ligne

• Liveness (vivacité): ensemble de techniques visant à vérifier que la donnée biométrique provient d’une personne vivante et non d’une copie.
• Super-résolution: méthode de traitement d’image qui reconstruit plus de détails à partir d’images basse qualité.
• Cornée: surface bombée et transparente de l’œil qui réfléchit la lumière.

Alternative techniques et approches défensives

• Approches offensives alternatives: keyloggers logiciels, attaques par shoulder surfing (regarder par-dessus l’épaule), ingénierie sociale. Chacune a des prérequis différents (accès physique, proximity, permission sociale).
• Approches défensives complémentaires: verrous adaptatifs (verrouillage après détection de photo publique récente), surveillance des fuites d’images et services de détection d’exposition des dirigeants.

Court message pour communication (annonce)

Annonce courte: Une méthode de recherche montre qu’un selfie haute résolution peut laisser apparaître le reflet d’un écran et dévoiler un code PIN. Les organisations doivent renforcer la MFA, limiter la diffusion d’images publiques et améliorer la détection anti-spoofing.

Conclusion

La démonstration de Starbug rappelle que la sécurité est une course au renforcement continu. La biométrie et les PIN restent utiles, mais ils exigent des protections supplémentaires: combinaison de facteurs, durcissement des capteurs et politiques de gestion des images. Pour les organisations à risque élevé, l’action immédiate consiste à réduire l’exposition publique et à déployer des contrôles techniques plus stricts.

Résumé des actions prioritaires:

• Activer MFA pour tous les accès sensibles.
• Restreindre la diffusion de photos haute résolution des employés clés.
• Tester les capteurs biométriques face à des attaques par image.

Important: ces attaques sont techniquement accessibles, ciblées et réalisables avec du matériel et des compétences adéquats. La défense repose autant sur la technique que sur la politique et la sensibilisation.