Security Research Labs a contourné le scanner d’empreintes digitales de manière comparable à celle avec laquelle il avait trompé l’Apple iPhone 5s, mais avec des conséquences plus graves.
Les scanners d’empreintes digitales sont loués depuis des années déjà en tant que systèmes de sécurisation d’accès complémentaires, voire en tant que substituts des mots de passe, comme sur le Samsung 5s. Malheureusement, ces scanners sont depuis pas mal de temps déjà souvent contournés avec des moyens parfois très simples.
C’est ainsi que le scanner d’empreintes digitales équipant le nouveau top-modèle de Samsung, le Galaxy S5, a été contourné, comme il ressort d’une vidéo que Security Research Labs a placée sur YouTube. Il a suffi pour cela de créer un doigt factice sur base d’une photo d’une empreinte digitale (de l’utilisateur du smartphone). L’expert en sécurité allemand n’en est ainsi pas à son coup d’essai car sur son site, il explique clairement et dans les détails comment il est parvenu à leurrer un Apple iPhone 5s, un Thinkpad et un smartphone Fujitsu notamment. Ici, il a du reste utilisé des méthodes connues depuis des années déjà (avec des exemples qui remontent à 2005). Même des méthodes permettant d’éviter l’abus de doigts factices imités peuvent être souvent contournées et ce, même si cette fois encore, des études en la matière ont été publiées depuis longtemps déjà. En fin de compte, il est question d’une pondération entre le prix de revient d’un système de sécurité suffisant et celui (sous pression) de l’appareil fini, le deuxième facteur pesant plus lourd que le premier, c’est évident.
Aide à l’authentification
Le piratage du scanner d’empreintes digitales de Samsung a été évalué de manière encore plus sérieuse que celui de l’iPhone 5s. Sur ce dernier appareil, l’on demande en effet aussi un mot de passe, avant d’utiliser l’empreinte digitale comme une forme (complémentaire) d’authentification. Tel n’est pas le cas pour l’appareil Samsung, où le scannage des empreintes digitales suffit pour y avoir accès.
De plus, le Samsung 5s exploite également le même scanner comme système d’authentification pour l’exécution de paiements, comme pour Paypal. Ici encore, l’expert a démontré un abus au moyen d’une empreinte digitale imitée, avec tous les dangers que cela représente. PayPal a réagi par un communiqué indiquant que “nous prenons très au sérieux les résultats de Security Research Labs, mais nous sommes encore et toujours convaincus que l’authentification par l’empreinte digitale offre un mode de paiement plus facile et plus sûr avec les appareils mobiles que les mots de passe ou les cartes de crédit”. Le reste du message ne renvoie en outre qu’à des dispositifs ‘post factum’, comme la ‘purchase protection policy’ prévue.
Security Research Labs même voit très certainement un rôle en vue à jouer par les empreintes digitales, mais sous la forme d’un deuxième, voire d’un troisième facteur d’authentification pour les paiements entre autres. Mais donc pas du tout comme un système d’authentification unique, comme le présentent clairement des services tels PayPal.
