Avec le Galaxy S8 / S8+, Samsung introduit le scanner d'iris hérité du Galaxy Note 7 pour renforcer les protections biométriques de ses smartphones de référence. Le système est censé être plus ergonomique, plus rapide à activer mais aussi mieux sécurisé que le lecteur d'empreintes également présent.
Toutefois, dès la présentation officielle du Galaxy S8, il avait été montré que le scanner d'iris pouvait être trompé par une simple photo du portrait de l'utilisateur, suggérant que cette fonctionnalité est plus pratique (déverrouiller son smartphone d'un simple regard) que réellement protectrice.
Cette crainte est confirmée par une démonstration du CCC (Chaos Computer Club) qui révèle qu'une simple photo prise en infrarouge (avec le mode nuit présent sur de nombreux appareils) même à une certaine distance suffit à produire une image suffisamment détaillée pour tromper le scanner d'iris.
La démonstration est particulièrement problématique dans la mesure où le scanner d'iris est présenté comme l'un des moyens d'authentification pour le service de paiement Samsung Pay.
Une personne mal intentionnée pourrait donc facilement accéder aux données du smartphone mais aussi au portefeuille numérique de sa victime si ceux-ci ne sont protégés que par le scanner d'iris.
Et pour le CCC, le risque de se faire dérober ses données biométriques est encore plus grand que dans le cas des empreintes, une photo en haute qualité diffusée sur Internet pouvant suffire à produire une image qui permettra de contourner la sécurité biométrique.
Une simple photo en infrarouge de l'iris peut également apporter un niveau de détail suffisant pour passer la défense du smartphone. Le CCC montre ainsi qu'une photo prise avec un objectif 200 mm à une distance de 5 mètres peut tromper le système.
Il suffira ensuite de réaliser une impression laser, dont le CCC indique que le résultat est optimum avec une imprimante fabriquée par...Samsung, et de placer une lentille correctrice pour simuler l'incurvation du globe oculaire.