Samsung Galaxy S5 : le capteur biométrique déjà hacké

Samsung Galaxy S5 : le capteur biométrique déjà hacké

Quelques jours après sa sortie, le scanner d’empreintes du Samsung Galaxy S5 a déjà été hacké par les mêmes professionnels qui ont contourné le Touch ID.

L’une des principales nouveautés du Samsung Galaxy S5 est le scanner d’empreintes digitales qui permet notamment de déverrouiller le smartphone et de s’authentifier sur l’application PayPal. Mais quelques jours après la sortie du nouveau haut de gamme de Samsung, des hackers ont déjà réussi à contourner la sécurité proposée par celui-ci, via son capteur biométrique.

empreinte-digitale

Au mois de septembre, SRLabs avait publié une vidéo montrant comment ils sont parvenus à contourner la sécurité de l’iPhone 5S, grâce à une copie d’empreinte digitale. Le procédé de fabrication de cette fausse empreinte semble complexe mais finalement, il suffit d’avoir une photo d’empreinte et le tour est joué. Le reste est une question de savoir-faire.

Comme il s’agissait des mêmes empreintes, c’est le même leurre qui a été utilisé pour tromper le scanner d’empreintes digitales du Samsung Galaxy S5. Et Bingo ! Le smartphone donne l’accès. Ce qui est encore plus inquiétant, c’est que sur le S5, les empreintes permettent également de s’authentifier sur PayPal. Comme vous pouvez le voir dans cette autre vidéo, le hacker a pu réaliser une transaction sans problème. Donc, outre le vol de données, il peut également y avoir vol d’argent depuis le portefeuille électronique.

La fiabilité des capteurs biométriques est-t-elle remise en cause ?

Sur le Samsung Galaxy S5 comme sur l’iPhone 5S, le scanner d’empreintes digitales fait partie des meilleurs arguments de vente. Mais SRLabs a voulu nous prouver qu’il ne faut pas surestimer la fiabilité de ces dispositifs.

De son côté, PayPal a réagi en s’adressant à nos confrères d’Android Community :

« Alors que nous prenons les découvertes de SRLabs très au sérieux, nous sommes encore confiants que l’authentification par empreintes digitales offre une manière plus facile et plus sécurisée de faire un paiement sur les appareils mobiles, que les mots de passe ou les cartes de crédit. PayPal ne conserve jamais ni n’accède à vos empreintes digitales pour l’authentification sur le Galaxy S5. Le scan débloque une clé de chiffrement qui sert de mot de passe de remplacement pour le téléphone. Nous pouvons simplement désactiver la clé de votre appareil volé ou perdu et vous pouvez en créer une nouvelle. PayPal utilise également des outils sophistiqués de gestion des risques et des fraudes pour prévenir une fraude avant qu’elle n’arrive. Toutefois, dans les rares cas où cela arrive, vous êtes couverts par notre politique de protection des achats. »

Dans une publication assez récente, Gartner explique pourquoi en 2016, 30 % des organisations adopteront les identifications biométriques pour authentifier les utilisateurs des terminaux mobiles. En substance, ces capteurs biométriques permettent a priori de faire un compromis entre sécurité et confort. Il faut admettre que saisir son mot de passe à la moindre activité n’est pas des plus plaisants.

Mais, par exemple, concernant les empreintes digitales, celles-ci ne peuvent être remplacées. Donc, si on vous vole vos empreintes, elles ne pourront plus être utilisées. Et à moins que tout le monde décide de porter de gants en latex de manière permanente, c’est assez facile de voler ces empreintes. Dans la simulation de SRLabs sur un iPhone 5S, l’empreinte a été laissée sur l’écran tactile du terminal piraté et photographiée avec un iPhone 4.

Source : presse-citron.net

About the author

Comments are closed