0
L'histoire des capteurs biométriques sur smartphone semble se répéter. Après le Touch ID d'Apple, c'est au tour du lecteur d'empreintes du Samsung Galaxy S5 de se faire berner. La méthode ne relève pas du hacking de masse, mais elle pose la question, encore une fois, de la réelle sécurité d'un dispositif de ce genre sur un smartphone.
Les technologies de capteurs biométriques employées par Apple et Samsung ont beau être différentes, elles se contournent visiblement de la même manière. C'est ce que pointe cette vidéo, publiée par les allemands du Security Research Labs :
La mise en oeuvre du processus n'est heureusement pas à la portée de tout le monde, mais elle repose sur un talon d'Achille bien courant : on éparpille tous nos empreintes digitales partout où l'on passe. Un verre laissé sur un comptoir de bar ferait parfaitement l'affaire, mais le SR Labs a lui utilisé une empreinte sur un écran de téléphone, photographiée avec un autre smartphone. Ça se complique ensuite un peu, puisqu'il faut transférer l'image de l'empreinte sur un support à base de colle à bois, lequel est apposé sur un moule (le même que celui utilisé pour le hack du Touch ID de l'iPhone 5s). Des techniques de laboratoire que tout un chacun aura du mal à reproduire chez soi.
Le cas de Samsung semble toutefois plus gratiné que celui d'Apple. D'abord parce que Samsung n'a pas vraiment retenu la « leçon » du cas Apple. Et surtout, le SR Labs relève que le S5 peut être berné même après un redémarrage. Et qu'on peut répéter les tentatives autant de fois que nécessaire sans que le smartphone ne demande de mot de passe de vérification. Avec une application comme PayPal, partenaire de Samsung, ce comportement devient problématique.
Les technologies de capteurs biométriques employées par Apple et Samsung ont beau être différentes, elles se contournent visiblement de la même manière. C'est ce que pointe cette vidéo, publiée par les allemands du Security Research Labs :
La mise en oeuvre du processus n'est heureusement pas à la portée de tout le monde, mais elle repose sur un talon d'Achille bien courant : on éparpille tous nos empreintes digitales partout où l'on passe. Un verre laissé sur un comptoir de bar ferait parfaitement l'affaire, mais le SR Labs a lui utilisé une empreinte sur un écran de téléphone, photographiée avec un autre smartphone. Ça se complique ensuite un peu, puisqu'il faut transférer l'image de l'empreinte sur un support à base de colle à bois, lequel est apposé sur un moule (le même que celui utilisé pour le hack du Touch ID de l'iPhone 5s). Des techniques de laboratoire que tout un chacun aura du mal à reproduire chez soi.
Le cas de Samsung semble toutefois plus gratiné que celui d'Apple. D'abord parce que Samsung n'a pas vraiment retenu la « leçon » du cas Apple. Et surtout, le SR Labs relève que le S5 peut être berné même après un redémarrage. Et qu'on peut répéter les tentatives autant de fois que nécessaire sans que le smartphone ne demande de mot de passe de vérification. Avec une application comme PayPal, partenaire de Samsung, ce comportement devient problématique.
