C'est l'un des principaux arguments de Samsung pour son nouveau Galaxy S5 : la présence d'un capteur d'empreintes digitales afin de déverrouiller le terminal et même effectuer des paiements avec PayPal.
La fonction est également mis en avant dans le discours dédié aux entreprises afin de démontrer que le S5 est un terminal sécurisé. Mais comme chacun sait, la sécurité à 100% n'existe pas et le dispositif de Samsung n'a pas mis longtemps à être contourné.
L'exploit est du aux chercheurs allemands de SRlabs qui ont utilisé un moule en plastique reproduisant l'empreinte enregistrée qui a été récupérée en photographiant l'écran du spartphone où les traces de doigt sont multiples.Vidéo à l'appui, les experts montrent que la manoeuvre n'est pas bien compliquée.
D'autant plus que le S5 n'intègre pas de système de blocage en cas d'essais répétés (et refusés) de déverrouillage par l'empreinte. On peut alors imaginer les conséquences de ce hack via PayPal par exemple...
Rappelons que TouchID d'Apple, présent sur l'iPhone 5s, n'a lui non plus pas résisté longtempsaux assauts des spécialistes. Le Chaos Computer Club (CCC) a d'ailleurs utilisé la même méthode de la photo et du moule. Ils ont d'abord pris une photographie de l’empreinte de l’utilisateur en 2400 ppp (la résolution utilisée par TouchID).
Cette image a ensuite été inversée puis imprimée en 1200 ppp (avec une imprimante laser grand public) sur une feuille transparente. Une sorte de moule 3D est ensuite réalisé dans lequel est versé du latex. Il suffit alors de décoller la copie 3D de l'empreinte, de l'humidifier et de l'utiliser pour leurrer TouchID.
Un autre membre du CCC souligne : "nous espérons que notre démonstration mettra fin à l’illusion que les gens ont au sujet de la biométrie par empreinte digitale. Il est stupide d’utiliser comme moyen de sécurité quelque chose qu’on ne peut pas changer et que vous laissez toute la journée partout derrière vous".REF.:
Aucun commentaire:
Publier un commentaire