Deux chercheurs en sécurité allemands sont parvenus à tromper un système d'authentification par les veines à l'aide d'une fausse main en cire.

Il est normalement plus compliqué pour des pirates de tromper un capteur d'authentification par les veines qu'un système fonctionnant sur la base d'empreintes digitales, ce qui peut potentiellement être fait en prélevant une empreinte ou en l'usurpant à l'aide d'une photographie ou d'un scan haute résolution. Dans le cas de l'authentification par les veines, il faut — avant de chercher à duper la machine — obtenir une cartographie des veines sous la peau. Pour ce faire, ces chercheurs en sécurité ont modifié un reflex numérique, retirant le filtre anti-infrarouge présent au niveau de son capteur. Une méthode imparfaite, mais suffisante pour prendre selon eux des clichés de mains exploitables à une distance inférieure à 5 m. Cela dit, il leur a fallu 30 jours et quelque 2 500 images pour améliorer le processus et parvenir à obtenir l'image utilisée dans le cadre de leur démonstration. Une image grâce à laquelle ils ont conçu une fausse main en cire, dans laquelle ils ont implanté une fausse cartographie imprimée des veines. 

Jan Krissler et Julian Albrecht expliquent avoir contacté Fujitsu et Hitachi, deux des principaux fabricants de ce genre de capteurs, pour leur présenter les résultats étonnants de leurs recherches. Ces deux fabricants ne leur ont pas répondu, pas plus qu'ils n'ont souhaité pour le moment répondre aux questions des journalistes de Motherboard. Il s'agit désormais de voir quand et comment ils répondront au risque sécuritaire que laissent potentiellement planer de tels systèmes d'authentification. “Les fabricants améliorent leurs systèmes, les hackers arrivent et cassent leur sécurité, et cela recommence”, conclut Jan Krissler.