Empreinte digitale : le capteur du Galaxy S5 piraté !

Quand Samsung a dévoilé son dernier Smartphone Galaxy sous Androïd, certains experts se sont penchés sérieusement sur son capteur d’empreinte digitale. Cette fonction a d’ailleurs été, très largement, démocratisée par son concurrent Apple avec l’iPhone 5S.

Le buzz crée autour du Galaxy S5 n’aura pas duré longtemps ! Des experts en sécurité du , ont rapidement posté une vidéo sur YouTube, montrant comment contourner le scanner en utilisant, tout simplement, une fausse empreinte digitale à base de colle à bois.

Ils ont déclaré dans leur vidéo que l’an dernier, une astuce similaire et largement médiatisée avait permis le piratage du système Touch ID d’un iPhone 5s.

La méthode utilisée par le SRLabs consiste, pour un hacker, à placer la réplique de l’empreinte au bout de son doigt, et à la passer au-dessus du capteur d’empreinte digitale, qui est intégré dans le bouton situé en dessous de l’écran du téléphone.

La colle à bois est en fait versée dans un moule, réalisé par impression laser à partir d’une simple photo de l’empreinte digitale de la victime.

Un bon contraste de l’image associé à des paramètres d’impression optimisés, permettent au final une impression de l’empreinte proche d’un rendu 3D. Le résultat est suffisamment précis pour servir de modèle lors du moulage de la réplique, qui trompera le capteur du téléphone.

Les experts estiment qu’en cas de vol, une empreinte digitale récente laissée sur le téléphone par son propriétaire, peut être aisément photographiée avec un autre téléphone, et offrir une qualité suffisante pour la réalisation d’un moule fonctionnel.

« Bien que ce capteur d’empreinte digitale soit présenté par Samsung comme la fonctionnalité vedette du Galaxy S5, la mise en place de cette authentification biométrique laisse vraiment à désirer » souligne un des experts dans la vidéo.

Pire encore, ce capteur d’empreinte digitale est même moins fiable que le Touch ID, dévoilé par Apple en Septembre 2013. Comble de l’ironie donc pour Samsung, dont l’ancien CEO avait déclaré, sur ce sujet sensible, « que battre Apple n’était plus un simple objectif mais une stratégie de survie ».

SRLabs déclare dans leur vidéo :

« Samsung ne semble pas avoir tiré les leçons des erreurs déjà commises par d’autres avant eux. Non seulement il est facile de déjouer l’authentification d’empreinte, même après avoir éteint son téléphone, mais il semble également que ce système autorise des tentatives d’authentification illimitées, sans jamais demander le moindre mot de passe !»

Le danger n’est pas seulement du côté de Samsung, du fait de la facilité de piratage de son capteur d’empreinte digitale, mais il est aussi du côté de son partenaire,  PayPal, qui veut rendre son service accessible « d’un simple geste du doigt », comme l’a déclaré fièrement Samsung sur son site internet.

PayPal a répondu à cette vidéo dans une déclaration :

PayPal ne conserve pas et n’a pas accès directement à l’authentification par empreinte digitale du Galaxy S5. L’opération de lecture de l’empreinte déverrouille un système de génération d’une clé cryptée et sécurisée, qui fait office de mot de passe de remplacement pour le téléphone. Nous pouvons ainsi simplement, désactiver la clé si un téléphone est perdu ou volé. Vous pouvez ensuite en créer une nouvelle. PayPal utilise aussi un système élaboré de management du risque et des fraudes par anticipation. Cependant, dans les rares cas où un incident se produirait, les transactions concernées sont prises en charge par les polices d’assurance.

Est qu’une empreinte digitale est plus fiable qu’un mot de passe ?

Le capteur d’empreinte digitale n’est pas un concept nouveau. Rappelez-vous les ordinateurs portables qui offraient le soi-disant « avantage » d’un capteur d’empreinte digitale, sensé remplacer la saisie du mot de passe.

Entre temps, Apple et Samsung ont optimisé l’authentification par empreinte digitale, pour la rendre plus rapide et simple, donc adaptée aux besoins des utilisateurs de Smartphones.

Même si aujourd’hui, nous ignorons la réelle rapidité et simplicité de ce système, nous pouvons par contre, nous demander si cette technologie de capteur d’empreinte digitale est plus fiable qu’un mot de passe, comme semble affirmer Apple et Samsung.

Les experts en sécurité informatique, évoquent souvent les limites des mots de passe.

Aujourd’hui, les utilisateurs se sentent sécurisés, ni par l’utilisation de mots de passe uniques et difficiles à retenir, ni par le fait de les écrire quelque part pour s’en souvenir le moment venu.

La situation est pire encore dans le cas où vous confiez vos mots de passe à un service extérieur, supposé les conserver en toute sécurité pour vous. En effet, ils peuvent très bien être volés et récupérés, du fait de certaines failles dans les systèmes de sécurité.

Cependant, récupérer des empreintes digitales est aujourd’hui facile, nous en laissons, à peu près, sur tout ce que nous touchons.

L’inconvénient principal, avec l’authentification par empreintes digitales, est que nous sommes bloqués par une seule empreinte, la nôtre !

Si par exemple, quelqu’un vol une photo de vos empreintes digitales pour les utiliser à votre insu, vous ne pouvez pas les changer comme vous changeriez votre mot de passe.

En réalité, dans la vidéo de SRLabs, montrant le piratage du Galaxy S5, les experts ont mentionné que la réplique, à base de colle à bois, était la même que celle utilisée au mois d’octobre dernier pour pirater, cette fois-ci, l’Iphone5s.

Ainsi, Apple et Samsung avaient connaissance des inconvénients majeurs de ce type de capteur d’empreinte digitale. On peut se demander alors pourquoi, ils ont consacré de tels budgets de développement pour intégrer cette technologie si peu fiable dans leur téléphone de demain ?

Billet inspiré de : Samsung Galaxy S5 fingerprint reader hacked – it’s the iPhone 5s all over again! par John Zorabedian de Naked Security.

Partagez Empreinte digitale : le capteur du Galaxy S5 piraté ! avec http://bit.ly/1hcw8tQ