En début de semaine, un membre allemand de la célèbre organisation de hackers Chaos Computer Club - CCC - a jeté un pavé dans la marre en annonçant le contournement du verrouillage par reconnaissance digitale de l'iPhone 5S d'Apple.

Touch ID Pour cela, celui qui se présente sous l'identité de Starbug n'a pas réinventé la roue et a été pioché dans une méthode déjà décrite en 2004 par le CCC afin de dénoncer le faux sentiment de sécurité procuré par la biométrie et plus particulièrement les systèmes à empreintes digitales.

De quoi dès lors s'interroger sur les assertions d'Apple sur par exemple l'analyse en profondeur des vaisseaux sanguins avec la technologie Touch ID de l'iPhone 5S. Du moins, une telle analyse semble plus avoir été mise en œuvre dans un souci d'utilisabilité que pour une question de sécurité.

Starbug a confié à Ars Technica qu'il n'y a pas eu de véritable défi. Il considère son hack très facile avec des techniques qui se trouvent sur Internet depuis des années. Une " attaque triviale " selon lui. Pour autant, il ne critique pas Apple et reconnaît que la firme à la pomme a très bien implémenté la reconnaissance digitale dans l'iPhone 5S.

Une vidéo pas forcément convaincante du hack avait été mise en ligne. Heise Online a publié une vidéo plus détaillée. Le CCC souligne que la méthode employée est différente de celle initialement décrite mais basée sur le même principe.

Une empreinte résiduelle sur le smartphone est photographiée ou scannée avec un scanner à 2 400 dpi. L'image est ensuite convertie en noir et blanc, inversée et un effet miroir est appliqué. Elle est imprimée en 1 200 dpi sur une feuille transparente.

Pour la création du moule, le masque est utilisé pour exposer la structure de l'empreinte digitale sur un circuit imprimé photosensible. Ce circuit imprimé est ensuite gravé et nettoyé comme certains ont pu apprendre à le faire au collège. Une fine couche de graphite est pulvérisée pour une meilleure réponse capacitive et faciliter le décollement de la fausse empreinte.

De la colle à bois blanche est étalée dans le moule. Après son durcissement, la fausse empreinte est prête à l'emploi :

  

À la consultation de cette vidéo, on peut donc se dire que le hack est possible. Une difficulté majeure est toutefois d'obtenir une bonne empreinte résiduelle - et bien celle de l'utilisateur principal - afin de confectionner la fausse empreinte.