Nokia 9 Pureview : un scanner d’empreintes digitales duper par un paquet de chewing-gum

Mobilité

Le nouveau téléphone de Nokia, connu sous le nom de Nokia 9 PureView, possède des fonctionnalités très intéressantes, dont un scanner d’empreintes digitales que plusieurs appareils Android récents ont conservés en intégrant le détecteur dans l’écran lui-même.

nokia 9 pureview

Cinq d’entre elles, en fait cinq caméras, disposées à l’arrière du téléphone comme une toile d’araignée, et offrant chacune 12 mégapixels pour le plus grand bonheur des fans de photos.

Le Nokia 9 Pureview comprend également un scanner d’empreintes digitales, une fonction récemment retirée par Apple de sa gamme de smartphones afin que l’écran puisse s’étendre jusqu’aux bords de l’appareil, comme le veut l’exige la tendance actuelle, mais que plusieurs appareils Android récents ont conservés en intégrant le détecteur d’empreintes digitales dans l’écran lui-même.

Au final nous obtenons un bel écran et une sécurité biométrique efficace basée sur autre chose qu’une simple photo de votre visage.

Toutefois, les scanners d’empreintes digitales ne sont pas parfaits. Nous avons en effet écrit à plusieurs reprises, ces dernières années, sur les techniques que les pirates avaient trouvées pour les contourner.

Faux positifs et faux négatifs

Un contournement du capteur d’empreintes digitales est également appelé dans le jargon un faux-positif, qui permet à une empreinte digitale non valide d’être reconnue à tort comme étant authentique et permettant ainsi de déverrouiller l’appareil.

Le comportement erroné contraire est un faux-négatif, dans lequel même le véritable propriétaire de l’appareil ne peut pas entrer car son empreinte digitale est rejetée à tort.

Selon les bonnes pratiques en matière de cybersécurité, du moins en théorie, les faux négatifs sont bien meilleurs que les faux positifs en ce qui concerne la détection des empreintes digitales.

Après tout, le propriétaire légitime peut toujours entrer son code PIN au lieu de déverrouiller son appareil, même si cela est moins commode, de sorte que l’impact d’un faux négatif est faible en termes de temps.

En revanche, un faux positif signifie quasiment qu’un imposteur a réussi à pénétrer dans votre appareil. L’impact est donc tout simplement la compromission de votre appareil.

Dans la pratique, toutefois, les scanners d’empreintes digitales ne visent pas à éliminer tous les faux positifs possibles au prix d’un énorme taux de faux négatifs, une sorte de compromis est donc nécessaire.

Après tout, les scanners d’empreintes digitales (et d’autres identifiants biométriques, tels que ceux basés sur les yeux ou le visage) sont souvent plus fiables que la saisie systématique d’un code de déverrouillage.

Premièrement, si vous devez saisir un code PIN chaque fois que vous souhaitez utiliser votre téléphone, il est tentant de choisir un code PIN plus court et plus simple, et donc par conséquent plus susceptible d’être deviné ou piraté.

Deuxièmement, vous devez souvent déverrouiller votre téléphone lorsque vous êtes dans le périmètre d’action d’une caméra de sécurité. Ainsi, votre code PIN risque d’être récupéré sous forme visuelle sur des enregistrements CCTV que vous ne pouvez pas contrôler.

En d’autres termes, un lecteur d’empreintes digitales quasi-parfait restera toujours un outil de cybersécurité intéressant.

De petits problèmes néanmoins…

Revenons à notre Nokia 9 Pureview : selon nous, Nokia a eu quelques problèmes avec le lecteur d’empreintes digitales sur sa version 9, avec des faux négatifs ayant posé des problèmes plutôt gênants pour certains utilisateurs légitimes.

Cela a nécessité une modification du système de reconnaissance.

De manière générale, le réglage du système pour ramener les faux négatifs à un niveau tolérable entraîne une augmentation des faux positifs.

En fait, c’est ce qui est logique intuitivement : plus vous permettez aux gens d’entrer, moins vous êtes capables d’empêcher certains autres de pénétrer également.

Et un déséquilibre dans la précision de la reconnaissance des empreintes digitales est ce qui semble s’être produit dans cette courte anecdote concernant le Nokia 9 Pureview.

Un ancien évaluateur qui aimait bien les appareils photo s’est néanmoins plaint que l’appareil “disposait d’un lecteur d’empreintes digitales capricieux”.

Un autre passionné d’Android a fait l’expérience inverse et a tweeté une vidéo de son téléphone en train d’accepter l’empreinte digitale de quelqu’un d’autre :

Et après la dernière mise à jour logicielle de Nokia, une autre personne affirme avoir été en mesure de déverrouiller son propre appareil avec le bord d’un paquet de chewing-gum :

NB : Ce qui était imprimé exactement sur la zone qui a été scannée, ou comment il a été replié sur lui-même et comment il a été confondu avec une empreinte digitale, n’est pas clair dans la vidéo.

Quoi faire ?

Pour résumer, à priori Nokia ne dispose pas encore d’un correctif pour le firmware des empreintes digitales de son Nokia 9 PureView.

Notre recommandation est donc simple : conservez un code PIN sur votre Nokia 9 jusqu’à ce que l’entreprise trouve un équilibre fiable entre les faux positifs et les faux négatifs au niveau de l’appareil.

Même lorsque la reconnaissance des empreintes digitales est activée, certaines actions au niveau du téléphone exigent toujours que vous saisissiez votre code PIN. Par conséquent, la sécurité du code PIN est importante.

Par conséquent, que vous soyez fan du code PIN seul, du code PIN + empreinte digitale ou, en fait, du code PIN + visage :

  • Choisissez un code PIN approprié. Choisissez le maximum de chiffres que vous pourrez mémoriser : 4 c’est trop peu, 6 est devenu le minimum, plus serait bien mieux aujourd’hui, et ne choisissez pas un code PIN évident simplement parce qu’il est facile à saisir ou à mémoriser, ou les deux.
  • Méfiez-vous de votre environnement. Soyez prudent lorsque vous saisissez votre code PIN, ces quelques chiffres sont bien plus précieux pour les cybercriminels qui vous espionnent que tout ce que vous pourrez bien saisir, alors surveillez les appareils photo autour de vous et protégez votre clavier lorsque vous saisissez vos codes de sécurité.


Billet inspiré de Phone fingerprint scanner fooled by chewing gum packet, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.