Les chercheurs de l’Université de Buffalo ont découvert qu’à l’instar des balles d’un revolver qui gardent une trace de l’arme qui les ont tirées, une photo prise par un smartphone conserve toujours une marque de son appareil, permettant de l’identifier très précisément.
« Comme un flocon de neige »
Kui Ren, le principal auteur de cette étude, indique que « comme les flocons de neige, il n’y a pas deux smartphones identiques. Chaque appareil, quel que soit le constructeur ou la marque, peut être identifié par un ensemble de défauts d’imagerie microscopiques présents sur chaque image qu’il prend ». Ce manque d’uniformité, représenté par des variations du capteur causant un léger défaut de teinte sur certains pixels, est invisible à l’œil nu.
Ce motif ainsi créé par ces uniformités (ou PRNU pour photo-response non-uniformity) peut cependant être analysé et comparé avec celui d’une photo témoin d’un appareil. Si les schémas sont identiques, la photo a bien été prise avec l’appareil testé. Ce procédé existe déjà sur les appareils photo numériques, mais la plus grande taille de leur capteur oblige à utiliser habituellement 50 images afin d’identifier de façon certaine un appareil. Ici, une seule suffit.
Les chercheurs de Buffalo ont ainsi éprouvé leur procédure sur 16 000 images provenant de 40 smartphones différents (30 iPhone 6s et 10 Galaxy Note 5) avec un taux de réussite de 99,5 %.
Des utilisations multiples
Cette découverte pourrait être utile dans des affaires de copyright par exemple afin de déterminer l’auteur de photos enfreignant des droits d’auteur (ce qui pourrait être gênant pour les sources de certains médias soit dit en passant). Mais plus encore, Kui Ren imagine également d’autres utilités à cela, comme l’authentification à deux facteurs.
Tout comme on utilise nos empreintes de doigts pour sécuriser des données, cette empreinte unique apposée sur les photos par nos smartphones pourrait servir à identifier une personne. Kui Ren explique que l’on pourrait par exemple fournir une photo « référence » à notre institution bancaire qui demanderait alors d’envoyer un cliché lors d’un retrait d’argent afin de confirmer qu’il s’agit bien du propriétaire du compte (ou d’une personne disposant de son smartphone).
Une présentation plus complète en 2018
Pour le moment, cette technologie n’est pas publique, mais les chercheurs de l’Université de Buffalo souhaitent la présenter en février prochain lors de la 2018 Network and Distibuted Systems Security Symposium, en Californie.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
1) Le motif est créé par la non-uniformité du capteur, vous le marquez vous-même entre parenthèses "photo-response non-uniformity" 2) Pour la 2FA, oui c'est vrai vous avez raison, mais pour le copyright je ne pense pas non, tout est retouché sur internet.
En retirant "… le futur de la sécurité ?" ça serait passé sans soucis :) Quel est intérêt de poser une question dans le titre d'un article (si ce n'est essayer de générer du clic) à laquelle on ne peut de toutes façons pas répondre (ça m'étonnerait que vous ayez une boule magique qui vous prédit le futur) ?
Si on lit leur protocole de test de 15 pages on voit qu'il n'y a pas vraiment de découverte mais un changement de méthodologie dans la recherche du motif de signature PNRU. Si jusqu'à présent il fallait autant de photos c'est qu'on partait de prises de vues variées, il fallait donc "empiler" les PNRU résultants de ces photos multiples pour y trouver un motif commun qui défini la signature. Mais là les chercheurs ont eu l'idée de partir à chaque fois d'une prise de vue "connue" à l'avance par le système. Donc ils font faire une première photo de "calibration" qui permet de stocker cette signature, puis chaque nouvelle photo sera toujours prise à partir d'une image générée connue à l'avance par le système qui s'en servira pour analyser les différences et comparer le motif avec celui généré par la photo de calibration. Ils abordent même dans leur document du cas des images JPEG mais comme le motif pris en photo est à très fort contraste (c'est un QRCode en noir et blanc) la compression a un impact plus faible sur le résultat d'analyse.
non je ne crois pas. La on a un defaut constant. Quelque soit le traitement effectué, les algo intelligents de recherche peuvent retrouver ce genre d artefact meme compresse
Dans l'expérience théorique évoquée pour une d'identification 2FA, ce serait utilisé avec la photo d'un QR Code qui serait alors dégradé, ce qui serait reconnu par le logiciel de traitement, ne validant pas l'accès.
1) Imagine une photo parfaitement grise. En poussant le phénomène a l'extrême, tu verrais apparaître des points en fonction des pixels plus ou moins lumineux... C'est donc un motif créé par des uniformités ^^ 2) bien sûr, mais on parle là de méthode d'identification 2FA, il n'y a aucun intérêt à faire du post traitement sur la photo, c'est comme dire que tu peux supprimer le SMS qu'on t'envoie avec le code qui te sert à valider ton transfert banquaire
Je pense pas, les indices sont sûrement beaucoup trop nombreux pour disparaître en compression, surtout si elle est toujours faite par le même appareil. Si t'as 12 microrayures qui impactent 6 pixels, au pire t'en perds 8, d'où l'intérêt d'avoir un échantillon important de modèles pour fiabiliser l'analyse. Après, un coup de Photoshop peut surement venir à bout du système rapidement (petit effet de flou, jeu sur le contraste...)
J'ai passé 30 min a essayé de trouver un titre, mais c'est difficile de faire rentrer toutes les informations... "prise avec" prend tout de même plus de place que "de" :(
C'est dit dans l'article, ça existe déjà sur un appareil photo, mais cela nécessite 50 clichés. La découverte ici est de voir qu'une seule suffit sur les smartphones avec un taux de réussite de 99,5 %.
Et au delà de ça, on "découvrira" un jour des joyeusetés similaires :-) https://www.les-crises.fr/decouvrez-comment-votre-imprimante-vous-espionne-et-peut-vous-denoncer/
Tu veux dire, c'est pas un bon plan ? Merde, j'en avais acheté 3...
toi aussi si tu n'y mets pas du tiens pour comprendre !
Cela impliquerait que l'on puisse récupérer des photos sur ce smartphone prises en mode RAW car la compression JPEG doit certainement détruire l'empreinte.
Si j'en crois l'article, il suffirait alors de disposer d'un panel de photos pour isoler le motif, le reproduire et "se faire passer pour" l'appareil photo en question. A moins qu'il ne soit pas possible de gommer les défauts de sa propre photo ?
Et quand on change de smartphone, on fait comment ? Et pour les smartphones moyens en photo (comme les smartphones d'entrée de gamme), cela se passe-t-il de la même manière ? Il aurait été (mais ce n'est que mon avis) plus intéressant de faire le test avec plus de smartphone et surtout plus de modèles différents (quand bien même le but était ici de montrer que plusieurs exemplaires d'un même modèle ne font pas exactement les mêmes photos). Et enfin, si le constructeur met à jour le smartphone en l'améliorant en photo ? L'appareil ne sera plus reconnu ?
L'usage du PNRU comme "empreinte" pour un appareil photo ne date pas d'hier, cette méthode a même été décrite dans un bouquin sorti en 2012 "Crime Prevention Technologies and Applications for Advancing Criminal Investigation by Chang-Tsun Li and Anthony Ho." Il n'y a donc aucune "découverte".
1) "Ce motif ainsi créé par ces uniformités" cette phrase n'a aucun sens alors que c'est le coeur de l'article 2) Ces différences sont tellement infimes qu'un simple post-traitement peut les gommer
Avec le titre, j'avais compris qu'il s'agissait d'une photo DE mon smartphone (et non pas prise AVEC mon smartphone)...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix