Galaxy S5 : la sécurité du lecteur d'empreintes facilement contournable

Le par  |  4 commentaire(s) Source : Digits (Wall Street Journal)
Galaxy S5

Le lecteur d'empreintes du Galaxy S5 est une intéressante addition à la pléthore de fonctions du terminal mais elle pourra difficilement protéger sérieusement le smartphone, tombant dans les travers habituels des lecteurs d'empreintes.

Les lecteurs d'empreintes ne sont pas choses totalement exceptionnelles sur les smartphones mais ils ont obtenu une nouvelle visibilité avec le lancement de l'iPhone 5S et de son module Touch ID. Depuis, on commence à le retrouver sur certains smartphones concurrents, mais en utilisant d'autres technologies.

Le smartphone Samsung Galaxy S5 possède ainsi un lecteur d'empreintes mais sous une forme plus classique que le module Touch ID spécifique d'Apple. En attendant d'avoir peut-être sa propre solution, le groupe coréen a eu recours à un module biométrique standard qui a l'avantage d'être disponible dans les quantités requises.

Sans surprise, ce lecteur d'empreintes montre rapidement ses limites, selon les premiers tests du smartphone, entre détection par glisser du doigt un peu aléatoire et contournement de la sécurité pas très compliqué.

C'est ce que démontre l'allemand Security Research Labs (SRLabs) dans une vidéo diffusée sur Youtube expliquant qu'un simple moule en latex de l'empreinte de l'utilisateur, qui peut même être récupérée directement sur le terminal sous la forme d'un cliché, suffit pour tromper le système biométrique.

  

Pire, là où le système Touch ID, qui peut lui aussi être trompé, demande une seconde authentification au bout d'un certain nombre d'essais, les tentatives d'identification biométrique sont illimitées sur le Galaxy S5, ce qui laisse à un hacker tout loisir d'essayer de contourner le système.

Autant dire que l'utilisation du lecteur d'empreintes en conjonction avec un service de paiement mobile de type Paypal est quelque peu risqué. Il est vrai que cela demande à disposer du téléphone de l'utilisateur et de ses empreintes digitales. En comptant le temps nécessaire pour créer la fausse empreinte en latex, cela laisse le temps au propriétaire du smartphone pour faire bloquer son compte Paypal en cas de perte ou de vol du terminal, expliquent les représentants de Paypal.

La fait que le hack se fasse téléphone par téléphone et demande un certain savoir-faire est distinct de l'utilisation d'une vulnérabilité qui pourrait compromettre des millions de terminaux très rapidement. Cette distinction légitime d'une certaine façon l'utilisation du lecteur d'empreintes pour les transactions bancaires sur mobile, au moins dans un cadre spécifique.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1719362
Comme quoi, que ça soit iPhone ou Galaxy S5, c'est une fonctionnalité un peu gadget... Même si Apple a eu raison sur ce coup de mettre un nombre d'essais limités. A mon avis, Samsung, dans une mise à jour, va surement faire de même.
Anonyme
Le #1719392
Ca semble même aberrant qu'il n'y ait pas un nombre limité d'essai.
Le #1719672
très aberrant même !
Le #1719762
OMG, on peut hacker le lecteur d'empreinte avec une... empreinte ! C'est comme dire qu'un mot de passe peut être hacké si on le connaît....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]