Votre selfie en V peut livrer une empreinte que vous ne pourrez jamais réinitialiser

Une empreinte digitale est le seul mot de passe que l'on ne peut jamais changer. Un selfie « doigts en V » suffit parfois à la donner.

En avril 2026, sur une émission de téléréalité chinoise consacrée au monde du travail, l'expert en sécurité financière Li Chang a pris le selfie le plus banal qui soit — celui d'une célébrité formant le signe de la paix, les doigts tournés vers l'objectif, la pose la plus répandue d'internet — et a montré, étape par étape, comment en extraire une empreinte digitale exploitable. À l'aide de logiciels de retouche grand public et d'outils d'amélioration d'image par IA, il a transformé des crêtes cutanées qui n'étaient qu'un flou à l'œil nu en quelque chose qui s'approche d'un gabarit biométrique — la carte numérique des crêtes qu'un lecteur compare réellement. La séquence a circulé dans la presse spécialisée à la mi-mai 2026.

L'affaire a des airs de numéro de cirque, et elle l'est en partie. Mais le problème de fond est réel, il s'aggrave à mesure que les capteurs et l'IA progressent, et il présente une caractéristique qui le distingue de presque toutes les autres fuites de données : une empreinte digitale ne se réinitialise pas. Un mot de passe compromis, on le change et les dégâts s'arrêtent. Pour les crêtes de vos doigts, il n'existe aucun équivalent.

Ce qui a réellement été montré

Le mécanisme est la partie aride — et la partie essentielle. Les capteurs photo des smartphones récents restituent désormais, à courte distance, un niveau de détail cutané que les anciens capteurs gommaient. Lorsque les doigts font face à l'objectif à moins de 1,5 mètre environ, le motif des crêtes est capté avec une fidélité suffisante pour que les logiciels d'agrandissement et de netteté par IA — la même famille d'outils qui « améliore » n'importe quelle photo floue — reconstituent un gabarit assez précis pour poser problème. Les chiffres avancés par Li Chang, repris par d'autres experts : à moins de 1,5 mètre, forte probabilité de récupérer une empreinte complète à partir d'une seule image ; jusqu'à 3 mètres environ, la moitié des données reste exploitable.

L'idée n'a rien de nouveau — ce qui a changé, c'est le matériel et le logiciel. En 2013 déjà, le chercheur allemand Jan Krissler (alias « Starbug ») contournait le tout nouveau Touch ID d'Apple en moins de vingt-quatre heures après la sortie de l'iPhone 5S, à partir d'une empreinte relevée sur une surface en verre. Un an plus tard, en décembre 2014, il allait plus loin lors du Chaos Communication Congress : à partir de simples photos de presse de la ministre allemande de la Défense Ursula von der Leyen — dont un gros plan de son pouce pris en conférence de presse — et d'un logiciel commercial nommé VeriFinger, il reconstituait son empreinte à partir des seules images, l'une d'elles prise, dit-on, à environ trois mètres. Le scénario du selfie, c'est exactement la même attaque, avec dix ans de capteurs en plus et une IA qui se charge de la netteté qu'un spécialiste réalisait jadis à la main.

• Une fois reconstituée, la donnée biométrique pourrait en principe servir à fabriquer un leurre — une fausse empreinte imprimée ou moulée — pour tromper les lecteurs d'empreintes des téléphones, des ordinateurs portables et de certains terminaux de paiement.
• Les experts en criminalistique cités dans la couverture de la démonstration affichent un scepticisme assumé sur sa fiabilité réelle : une extraction réussie suppose un bon éclairage, une mise au point nette, un angle favorable et une image de haute qualité, le tout en même temps. Même Jing Jiwu, le cryptographe qui confirme que la technique est « techniquement possible », insiste : relever une empreinte exploitable n'a rien d'évident.
• Le risque réaliste, aujourd'hui, n'est pas votre selfie du week-end. C'est une image haute résolution de la main d'une cible précise et de grande valeur, capturée délibérément — le cas que Krissler a démontré deux fois.

Ce que cet incident révèle

Soyons honnête dans la pesée : pour la plupart des gens, la plupart du temps, une photo de vacances en signe de paix ne videra pas un compte bancaire le lendemain. Mais c'est l'asymétrie qui doit préoccuper une équipe de sécurité. Le coût pour l'attaquant ne cesse de baisser à mesure que l'amélioration d'image par IA progresse, tandis que le coût pour la victime — une donnée biométrique exposée à vie — ne baisse jamais, puisqu'on ne réémet pas un doigt. Pour un dirigeant, une personnalité publique ou quiconque dont les mains apparaissent sur des photos de presse en haute résolution, le scénario von der Leyen n'a rien d'hypothétique : il a été démontré en 2014, et l'outillage n'a fait que s'affiner depuis. Si votre organisation utilise l'empreinte digitale comme facteur unique quelque part — accès aux locaux, appareil partagé, validation d'un paiement —, ce facteur unique se trouve à une bonne photo près de devenir une donnée connue. Le glissement de fond est celui que les fournisseurs de biométrie repoussent depuis dix ans : une empreinte digitale est un identifiant, pas un mot de passe. Elle vous désigne. Elle n'a jamais été un secret, et les capteurs haute résolution rendent désormais ce constat inévitable.

Les bons réflexes

1. N'utilisez jamais une empreinte digitale comme facteur unique pour quoi que ce soit d'important. Associez-la à un code PIN, à une passkey ou à une clé matérielle — car une donnée biométrique que l'on ne peut pas réinitialiser ne devrait jamais être qu'un facteur sur deux, jamais le seul. Les lecteurs à détection de vivacité (qui vérifient la présence d'un vrai doigt, chaud et vivant) déjouent la plupart des leurres imprimés : privilégiez-les là où vous maîtrisez le matériel.
2. Demandez aux collaborateurs très exposés de garder leurs mains hors des gros plans paume vers l'objectif. Pour les dirigeants et les salariés en représentation, traitez la photographie de main en haute résolution comme n'importe quelle autre exposition sensible — un poing fermé, une main de profil ou des doigts orientés à l'écart de l'objectif ne livrent aucun détail de crête exploitable. C'est gratuit, et c'est le seul « correctif » disponible, car la fuite est physique.
3. Recensez les endroits où l'empreinte digitale ouvre un accès réel ou de l'argent. Inventoriez chaque système — parcours de vérification d'identité (KYC), confirmation de paiement, déverrouillage d'appareil relié aux données de l'entreprise — qui fait confiance à une empreinte seule. Partout où elle constitue l'unique barrière, ajoutez un second facteur dès maintenant, avant que la chaîne de fabrication de leurres ne devienne encore moins chère qu'elle ne l'est déjà.

À retenir

Retirez le tapage télévisuel et le fait central subsiste : une empreinte digitale est une identité biométrique, pas un secret, et la conjonction des capteurs modernes et de l'amélioration par IA l'a rendue lisible sur une simple photo, dans de bonnes conditions. Le risque quotidien est modeste et discuté ; le risque ciblé contre une personne précise et de grande valeur est réel — et vieux de dix ans. Cessez de traiter les empreintes comme des mots de passe : elles n'ont jamais été réinitialisables, et les voilà désormais qui ne sont même plus cachées.