iPhone 5s : le Touch ID, une question de sécurité ?

11 septembre 2013 à 18h07
0
Avec son iPhone 5s, Apple inaugure l'utilisation de la biométrie dans ses smartphones. Le Touch ID, du nom donné par la firme de Cupertino à ce lecteur d'empreintes digitales, soulève de nombreuses questions. Auxquelles nous tentons de répondre ici.

Touch ID : La technologie, le fonctionnement


L'utilisation d'un capteur d'empreinte digitale dans un smartphone n'est pas une nouveauté : en 2011, Motorola s'y était essayé avec son Atrix. Et le prochain HTC One Max devrait également utiliser ce genre de technologie. Ce dispositif n'est donc pas réellement une révolution, ni même une surprise : avec le rachat, l'an dernier, de la société AuthenTec (pour quelques 356 millions de dollars), le coup était prévisible. Mais il reste inédit pour un produit Apple.

La technologie Touch ID, implantée sur le bouton « Home » de l'iPhone, utilise un capteur capacitif reposant sur un cristal de saphir, prévu pour résister aux rayures qui pourraient endommager la reconnaissance digitale. Ce capteur analyse votre doigt avec une précision de 500 ppp : de quoi, selon Apple, photographier votre doigt jusqu'à des couches situées sous l'épiderme. De plus, le capteur fonctionne à 360°, ce qui permet de placer le doigt dans n'importe quelle position sans que la reconnaissance n'en soit gênée.

Notez qu'il est possible, lors d'une étape de configuration qui semble fort simple d'après les premiers retours, d'enregistrer plusieurs doigts. De même, jusqu'à 5 utilisateurs peuvent être associés à un iPhone 5s.

06633816-photo-touch-id.jpg

Une question de sécurité ?


Pour Apple, la raison d'être principale du Touch ID est la sécurité. « Trop peu de personnes mettent en place un code de sécurité pour verrouiller leur iPhone », a déclaré Phil Schiller lors du keynote présentant les nouveaux iPhone. Le contrôle de l'empreinte serait un moyen moins fastidieux que la saisie d'un code, et permettrait d'augmenter le nombre d'iPhone protégés. Et Apple de présenter le doigt comme la clé de sécurité la plus sûre qu'il soit. Vraiment ?

Rappelons tout d'abord que l'usage de cette technologie n'est pas obligatoire sur l'iPhone 5s. Ensuite, si une empreinte digitale ne peut pas se « deviner » comme un code à 4 chiffres, la biométrie n'en reste pas moins faillible. Le face to unlock d'Android en sait quelque chose : la technologie de Google a montré ses failles particulièrement rapidement, et il y a fort à parier que le Touch ID d'Apple fasse l'objet d'attaques similaires. Et autant il vous est possible de changer un code en cas de piratage, autant vous ne pouvez pas changer d'empreinte digitale !

0096000006633956-photo-ourson.jpg
Les lecteurs d'empreintes digitales existent depuis de nombreuses années, et leur sécurité a déjà été mise à rude épreuve... par des oursons en gélatine, ou de la pâte à fixe ! Reproduire une empreinte, d'autant plus quand il s'agit de plusieurs doigts et de plusieurs utilisateurs, est une opération délicate, mais faisable.

Mais sans rentrer dans des considérations dignes des Experts à Cupertino, il existe d'autres moyens de passer outre ce type de protection. En effet, si le smartphone est infesté d'un cheval de Troie, rien de l'empêche de récupérer la version numérique de votre empreinte digitale, comme il le ferait pour un simple code à 4 chiffres. Apple précise que les empreintes digitales sont chiffrées et stockées de façon sécurisée dans un espace à accès restreint de sa puce A7, à distance donc des autres données. Soit. Mais la marque à la pomme reste peu loquace sur le chiffrement en question. Et si l'adoption du 64-bit pourrait retarder un peu les hacks, il est probable que les attaques interviennent rapidement.

06633936-photo-tweet-hack-64-bit-iphone-5s.jpg

Cette protection pourrait toutefois permettre à Apple d'augmenter encore son attrait pour les entreprises, notamment dans le cadre du BYOD. L'iPhone 5s entre en effet dans l'ère du 2FA (pour two-factor authentication), puisque le lecteur d'empreinte digitale peut être utilisé conjointement au traditionnel code à 4 chiffres. De quoi séduire les DSI ?

Richard Henderson, expert en sécurité chez FortiGuard Labs, indique sur le blog de l'entreprise : « La réalité est que, même si Apple est le premier à implémenter une méthode d'authentification biométrique à grande échelle, cela apportera un confort d'utilisation supplémentaire, et non une nouvelle couche de sécurité ». Une question d'usages plus que de sécurité ?

Les applications, le champ des possibles


D'usage, parlons-en. Apple a précisé que le Touch ID permettra de réaliser des achats sur l'iTunes Store, l'App Store et l'iBooks Store. De quoi éviter les achats non désirés effectués par vos enfants, par exemple. On peut également envisager qu'Apple introduise son dispositif sur iPad, ce qui ouvrirait la voie à une gestion simplifiée des profils de la tablette.

Nous pourrions aussi imaginer que chacun de vos doigts soit associé à une application spécifique, à l'image d'un raccourci : le majeur ouvrirait la couche photo, l'annulaire Safari, le pouce la messagerie, etc. Et il y a évidemment tout ce qui touche au paiement. Car si l'iPhone 5s est encore et toujours dépourvu de puce NFC (ce qui l'empêche de se transformer en carte bancaire), certains entrevoient déjà la possibilité d'accéder à ses comptes, réaliser un virement ou réserver un billet de train ou une place de concert. Votre empreinte digitale serait alors directement associée à votre compte bancaire. Mais pour cela, il faudra ouvrir le Touch ID aux différentes applications.

012C000005589355-photo-itunes-store-sur-trois-terminaux-apple.jpg

L'inévitable question de la vie privée


Tim Cook l'a affirmé : vos empreintes digitales ne seront pas accessibles aux développeurs. Interrogé sur le sujet, il a toutefois répondu que l'on pouvait « imaginer de nombreux autres usages dans le futur », sans autre précision. L'une des hypothèses, formulée par Rich Mogull sur Macworld, consisterait à donner la possibilité aux applications tiers de vérifier votre authentification par le Touch ID afin de l'utiliser pour leurs besoins, sans jamais accéder aux données biométriques.

Pas question donc pour le moment de livrer vos empreintes digitales aux partenaires d'Apple. Ni même de le conserver d'ailleurs : après le scandale Prism, Apple a cherché à rassurer lors de sa conférence de presse, en précisant que les empreintes digitales ne seraient pas conservées sur des serveurs distants.

Ce qui n'empêche pas certains de rester plus que sceptiques : la réaction de la Free Software Fundation a été immédiate et virulente, invitant les gens à rester le plus loin possible de l'iPhone 5s et de son Touch ID. Le climat créé par les récentes révélations d'Edward Snowden incite à minima à la prudence, et alimente les suspicions quant à l'usage mercantile qui pourrait être fait de vos données biométriques.

Quoi qu'il en soit, la création d'une base de données centralisée regroupant les informations biométriques des utilisateurs d'iPhone 5s constituerait une vraie faille de sécurité, en plus de poser un problème éthique.

Pour aller plus loin
Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

L'Angleterre envisage l'interdiction du smartphone en conduisant, même en main libre
Normandie : la plus grande route solaire du monde est un échec
Windows Defender obtient 3 fois le score maximum aux tests AV-Test
Sur Reddit, les développeurs d'Apex Legends dérapent et insultent leur communauté
Matrix 4 officiellement annoncé, avec Keanu Reeves et Carrie-Ann Moss
WoW Classic : Blizzard dit s’attendre à des files d’attente monstrueuses à l’ouverture
Minecraft s'offre un boost graphique... réservé aux possesseurs de cartes NVIDIA RTX
Piratées, les enceintes connectées pourraient être une menace pour leurs utilisateurs
Des scientifiques réinventent l'air conditionné grâce au froid de l'espace
Starman et sa Tesla Roadster viennent d'achever leur première orbite autour du Soleil

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top