Ce gadget à 15 dollars est capable de berner le lecteur d'empreinte de nombreux mobiles Android

Nathan Le Gohlisse
Spécialiste Hardware
29 mai 2023 à 15h00
20
© Artem Oleshko / Shutterstock
© Artem Oleshko / Shutterstock

Des chercheurs en sécurité ont démontré que l'utilisation mal intentionnée d'un petit gadget à bas prix peut suffire à compromettre un lecteur d'empreinte digitale sur à peu près n'importe quel smartphone Android.

15 dollars et un lecteur d'empreinte digitale qui n'est plus sécurisé du tout. Pour faire court, c'est ce que mettent en évidence les conclusions d'une étude menée par des chercheurs en sécurité dont le travail a été épluché par le site spécialisé ArsTechnica.

Les smartphones Android affligés…

Pour cette étude, les chercheurs ont utilisé un petit circuit imprimé qui vaut 15 dollars. Surnommé « BrutePrint », il ne lui faut parfois pas plus de 40 minutes pour lire et copier les empreintes digitales stockées sur un smartphone Android grâce à une vulnérabilité découverte sur le système d'exploitation de Google. Cette dernière permet de deviner un nombre illimité d'empreintes digitales dès que la correspondance la plus proche est trouvée dans une base de données d'empreintes préalablement chargée sur le dispositif, et ce, lorsque le smartphone est verrouillé.

Ce dispositif low cost est pourtant basique. Il s'appuie sur un microcontrôleur STM32F412 de STMicroelectronics, un commutateur analogique bidirectionnel à deux canaux « RS2117 » et un connecteur reliant la carte mère du smartphone au circuit imprimé d'un capteur d'empreinte digitale. BrutePrint est également équipé d'une carte SD 8 Go.

Pour leur démonstration, les chercheurs ont utilisé 10 smartphones différents, dont deux iPhone : l'iPhone SE et l'iPhone 7 (tous deux équipés de Touch ID). À noter toutefois que les mobiles Android testés ont tous été lancés il y a quelques années déjà, il y a trois ou quatre ans pour la plupart.

© ArsTechnica / Wccftech
© ArsTechnica / Wccftech

… mais les iPhone épargnés

Comme le souligne Wccftech, l'efficacité de BrutePrint est variable d'un modèle à l'autre, mais ce petit gadget est parvenu à trouver et à reproduire l'empreinte digitale permettant le déverrouillage de chacun des smartphones Android testés… avec un délai de recherche plus ou moins long toutefois, puisque l'opération nécessite entre 40 minutes et 14 heures.

Le modèle le plus vite vaincu est quoi qu'il en soit le Galaxy S10 Plus, avec 0,73 à 2,9 heures de temps de déverrouillage. Le Xiaomi Mi 11 Ultra s'avère le plus coriace, avec un temps de déverrouillage compris entre 2,79 et 13,89 heures, selon les mesures rapportées par ArsTechnica.

Les deux iPhone testés sont en revanche restés inviolés, leur dispositif de sécurité n'ayant tout simplement pas pu être contourné, lit-on. La raison soulignée par Wccftech est assez évidente : iOS chiffre systématiquement ses données de sécurité, ce qui n'est pas le cas d'Android.

Les chercheurs responsables de l'étude sont toutefois loin d'être pessimistes dans leurs conclusions, indiquant que la faille exploitée pour l'expérience pourrait être comblée, au moins en partie, à l'avenir. En travaillant ensemble, les fabricants de smartphones et de capteurs d'empreinte digitale pourraient facilement venir à bout de telles méthodes de contournement.

Sources : ArsTechnica, Wccftech

Nathan Le Gohlisse

Nathan Le Gohlisse

Spécialiste Hardware

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, i...

Lire d'autres articles

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (20)

Bidouille
Merci de faire de la pub pour ce truc au cas où les truands ne l’auraient pas encore vu.
nicgrover
Merci pour le plans et indications, je m’attèle à la construction dès maintenant
Elinyhs
Ça sert majoritairement à fournir une raison supplémentaire aux utilisateurs de ne pas laisser traîner leur smartphone ou encore mieux de ne pas utiliser ses données biométriques pour s’identifier.
tfpsly
Précision importante : il faut démonter l’écran, débrancher le capteur d’empreinte, puis brancher le gadget entre ce lecteur et la mobo du téléphone. Bref, avoir le tél démonté jusque plus d’une demi-journée. Pas très discret donc.<br /> BrutePrint comprises of an STM32F412 microcontroller from STMicroelectronics, a bidirectional, dual-channel analog switch called RS2117, an SD card with 8GB of internal memory, and a connector that connects the smartphone’s motherboard to the circuit board of a fingerprint sensor. BrutePrint exploits a vulnerability in Android smartphones that allows for unlimited fingerprint guesses, with the device getting unlocked as soon as the closest match is found in the database.<br /> […]<br /> Fortunately, those researchers believe that this security exploit can be mitigated in the operating system, as the individuals hope that its latest findings will encourage people to take careful measures to encrypt fingerprint data. Furthermore, these researchers state that such a security threat can be addressed if smartphone and fingerprint sensor manufacturers work together in a collective effort. Now all that remains is future Android<br /> EDIT - dans les commentaires de l’article source, certaines se demandent si seulement Android 11 et plus anciens seraient touchés. Les téléphones testés avec succès seraient sous A8 à 11 (page 9 du pdf des chercheurs).<br /> image1034×282 23.6 KB<br /> En fait les téls craqués ont un Android d’avant ou jusque septembre 2020. Les deux seuls iPhones testés ont un iOs de janvier 2021.<br /> EDIT2 - j’ai enfin trouvé pourquoi il y avait des lignes continues et pointillées dans le graph de temps de crackage : ligne continue = le tél n’a qu’une emprunte enregistrée; ligne pointillée = le tél a toutes les empruntes possibles enregistrées (4 ou 5 selon le modèle) :<br />
KlingonBrain
Merci de faire de la pub pour ce truc au cas où les truands ne l’auraient pas encore vu.<br /> Ne vous faites pas d’illusion, quand une info de ce genre arrive au niveau de Clubic, les hackers sont certainement au courant depuis belle lurette.
Gloumouf
Ca peut être utile dans le cadre d’une enquete policière par exemple.
jeroboam64
Je n’y crois pas trop à leur boitié à 15 € qui déverrouille les mobiles alors que dans certaines enquêtes policières ils mettent des semaines voire des mois à déverrouiller un smartphone​:thinking:
Korgen
Pas besoin non plus d’en rajouter une couche et donner des idées à d’autres.
jvachez
Comment font-ils pour essayer pendant 40 minutes ? Moi j’ai le problème inverse, si mon doigt n’est pas reconnu Android me force un autre mode de déverouillage.
KlingonBrain
Pas besoin non plus d’en rajouter une couche et donner des idées à d’autres.<br /> Ca se discute, car le danger de diffuser cette info dans le grand public est faible : son exploitation n’est pas à la portée de tous en plus d’être difficile à mettre en oeuvre pour des raisons simples d’accès à l’appareil.<br /> Et celui qui a les compétences qu’il faut pour les exploiter, c’est qu’il suit déjà des sources d’information spécialisées sur la sécurité. Il n’aura pas besoin de clubic pour trouver ce genre d’idée.<br /> Pour finir, il faut réaliser qu’il y a un grand bénéfice aussi à informer les victimes potentielles. De cette façon, elle comprennent qu’il ne faut pas accorder une confiance absolue aux sécurités.
tfpsly
jvachez:<br /> Comment font-ils pour essayer pendant 40 minutes ?<br /> Ils ne visent que des téléphones sous Android 11. Le support des scanneurs d’empreinte sous écran n’est venu qu’avec Android 12 (et sa classe UdfpsControllerGoogle). Il est possible que sur ces téléphones, les images des empreintes soient stockées et gérées directement dans la puce du scanneur, et que l’O/S ne reçoive que le nombre d’essai. En branchant leur carte électronique entre le scanneur et la carte mère du téléphone, ils interceptent le résultat du scan, jusqu’à avoir générer une image acceptée.<br /> EDIT - de leur PDF - ils endommagent le packet de données envoyant un résultat de scan invalide, afin qu’il soit ignoré par l’O/S :<br /> We discover Cancel-After-Match-Fail (CAMF) and Match-After-Lock (MAL) vulnerabilities in SFA, and either of them can be exploited to bypass attempt limit. Instead of an implementation bug, CAMF and MAL leverage logical defects in the authentication framework. Therefore, it exists across various models and OSs. We make the exploitation on 10 popular smartphone models with the latest OS versions. Results show that attempts are made three times over the attempt limit on Touch ID while unlimited attempts are achieved on all Android devices. The unlimited attempts motivate us to perform automatic fingerprint brute-force attacks.<br /> We find the insufficient protection of fingerprint data on the Serial Peripheral Interface (SPI) of fingerprint sensors, and thus come up with a hardware approach to do man-in-the-middle (MITM) attacks for fingerprint image hijacking<br /> […]<br /> Section III / B Attack Overview<br /> Typically, a CAMF eploitation invalidates the checksum of transmitted fingerprint data, and a MAL exploitation infers matching results through side-channel attacks.<br /> […]<br /> Section IV<br /> The brute-force attack is based on the infinite bypassing chances and the feasibility of fingerprint image hijacking. In general, to bypass attempt limit, CAMF exploits the widely accepted Multi-sampling and Error-cancel mechanisms while MAL leverages some careless implementation for improving user experience. Fingerprint image hijacking can be carried out since the fingerprint data on SPI is insecure (e.g., unencrypted). In this section, we broadly analyze popular SFA systems. We show the overall results in Section VI-A, discuss some detailed approaches and findings in Section VI-B, and estimate the success rate of BRUTEPRINT in Section VI-C.<br />
Valmont69
Sur les smartphone récents (notamment chez Samsung) le chiffrement de tout le stockage interne est systématique, à priori cette faille ne concerne donc que les anciens terminaux.<br /> Pour mémoire, il est possible de chiffrer le stockage interne depuis Android 5.0 (sorti en 2014) donc pour ceux qui ne chiffrent pas encore leurs mobiles, vous savez ce qu’il vous reste à faire et ce conseil est valable même en dehors du contexte de l’exploitation de cette faille.
gamez
au bout d’un certain nombre d’echecs il faudrait passer par la case mot de passe non?
tfpsly
Voir ma réponse juste au dessus : ils endommage le message indiquant une empreinte invalide afin qu’il soit ignoré par l’O/S.
Korgen
Certes, les risques que ce procédé arrivent au commun des mortels est pour ainsi dire nul. Mais où se situe la limite de ce qui est déontologiquement publiable ? C’est là le fond du problème car le jour où une manipulation durant moins de 10 minutes va poindre le bout de son nez, ce n’est pas parce que cela paraît complexe à réaliser pour certains qu’il faut se permettre de donner des infos sur la méthode. Ce qui est compliqué pour certains paraît facile pour d’autres, même s’ils n’ont jamais procédé auparavant.<br /> C’est comme ces reportages TV expliquant comment crocheter une portière de voiture.<br /> A vrai dire je m’en fout un peu que Madame Michu sache qu’il lui faudrait BrutePrint et 15 heures de patience pour déverrouiller le smartphone de son mari infidèle, ce qui me gène le plus c’est le côté pvtaclic. On fait du sensationnalisme en « informant » sur une technique de piratage inutilisable dans les faits et en donnant des détails, et le même média va s’indigner de la recrudescence du piratage.
Bombing_Basta
Ouf les iphones sont épargnés… Laissant ainsi plus de ressources humaine à apple pour combler les failles zero clic permettant à pegasus de les violer
ChezDebarras
tu veux pas bosser pour clubic ?
tfpsly
Ca ne paye probablement pas assez
Pretarian
Les iphones se font peut être violer par Pégasus (un logiciel où il faut débourser plusieurs centaines de milliers d’euros pour une licence de quelques déverrouillages), Android se fait bukakke par un tas d’autres méthodes bien plus accessibles
MugenII
Pas de soucis la dessus. Quand « nous » on apprends l’existence de ce type d’appareil, les « truands » eux sont déjà au courant depuis des mois voir des années.
xryl
Ouais, d’un côté on a la (mauvaise) traduction via Clubic de l’article de Wccftech, et de l’autre on a la description de ce qui a été fait (accessible via Ars Technica). Et là, il y a un gouffre d’escroquerie journalistique.<br /> En gros, leur système doit être soudé sur les pins du lecteurs d’empreintes du téléphone. Donc ça veut dire: éteindre le téléphone, le désosser, connaître le pin du lecteur (il y a autant de lecteurs que de fabriquant), vérifier si, électriquement et électroniquement, c’est compatible avec leur lecteur (le risque c’est la mort du téléphone ou du lecteur, sachant qu’aucun fabriquant ne fournit les schémas de ses téléphones), puis remonter le téléphone (chose impossible avec un téléphone moderne et des fils en l’air), l’alimenter, puis ensuite lancer le hack.<br /> (qui existe, d’ailleurs, vu qu’ils ont découvert un faille mineure lorsque le checkcum de l’image de l’empreinte n’est pas bon ça ne déclenche pas le compteur d’essai)<br /> Sauf que tous les téléphones Android demande un code (et non l’empreinte) à l’allumage. Donc leur hack nécessite que le propriétaire du téléphone ne se rende pas compte du maelstrom de fil qui dépasse et entre son code sur l’écran, puis attendre qu’il se vérouille pour tenter de le hacker.<br /> Bref, vu la quantité de « Si », quitte à démonter le téléphone, autant se brancher direct sur la flash pour la dumper et récupérer les données. Ou sur le bus de l’écran / touchscreen pour capturer le code de l’utilisateur, ou, encore plus simplement tabasser l’utilisateur avec une clé à molette à 5€ jusqu’à ce qu’il donne son code de lui même.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Attention, cette appli de messagerie sécurisée a de gros problèmes de... sécurité Attention, cette appli de messagerie sécurisée a de gros problèmes de... sécurité
iPhone ou Android : si vous vous faites voler votre smartphone, votre compte est en danger ! iPhone ou Android : si vous vous faites voler votre smartphone, votre compte est en danger !
Ce Ce "nouveau Pegasus" espionne des journalistes et des politiques
Détecter des humains et leur posture dans une pièce, grâce au Wifi ? Vous allez être bluffé Détecter des humains et leur posture dans une pièce, grâce au Wifi ? Vous allez être bluffé
Piétinée par le boss de WhatsApp, Telegram rétablit la vérité sur la sécurité de son app Piétinée par le boss de WhatsApp, Telegram rétablit la vérité sur la sécurité de son app