Les lecteurs d'empreintes ne sont pas choses totalement exceptionnelles sur les smartphones mais ils ont obtenu une nouvelle visibilité avec le lancement de l'iPhone 5S et de son module Touch ID. Depuis, on commence à le retrouver sur certains smartphones concurrents, mais en utilisant d'autres technologies.

Le smartphone Samsung Galaxy S5 possède ainsi un lecteur d'empreintes mais sous une forme plus classique que le module Touch ID spécifique d'Apple. En attendant d'avoir peut-être sa propre solution, le groupe coréen a eu recours à un module biométrique standard qui a l'avantage d'être disponible dans les quantités requises.

Sans surprise, ce lecteur d'empreintes montre rapidement ses limites, selon les premiers tests du smartphone, entre détection par glisser du doigt un peu aléatoire et contournement de la sécurité pas très compliqué.

C'est ce que démontre l'allemand Security Research Labs (SRLabs) dans une vidéo diffusée sur Youtube expliquant qu'un simple moule en latex de l'empreinte de l'utilisateur, qui peut même être récupérée directement sur le terminal sous la forme d'un cliché, suffit pour tromper le système biométrique.

  

Pire, là où le système Touch ID, qui peut lui aussi être trompé, demande une seconde authentification au bout d'un certain nombre d'essais, les tentatives d'identification biométrique sont illimitées sur le Galaxy S5, ce qui laisse à un hacker tout loisir d'essayer de contourner le système.

Autant dire que l'utilisation du lecteur d'empreintes en conjonction avec un service de paiement mobile de type Paypal est quelque peu risqué. Il est vrai que cela demande à disposer du téléphone de l'utilisateur et de ses empreintes digitales. En comptant le temps nécessaire pour créer la fausse empreinte en latex, cela laisse le temps au propriétaire du smartphone pour faire bloquer son compte Paypal en cas de perte ou de vol du terminal, expliquent les représentants de Paypal.

La fait que le hack se fasse téléphone par téléphone et demande un certain savoir-faire est distinct de l'utilisation d'une vulnérabilité qui pourrait compromettre des millions de terminaux très rapidement. Cette distinction légitime d'une certaine façon l'utilisation du lecteur d'empreintes pour les transactions bancaires sur mobile, au moins dans un cadre spécifique.