L’info
Un hacker nommé « darkshark » a réussi à s’authentifier sur un Samsung Galaxy S10 au moyen d’un leurre en plastique. C’est la première fois que le lecteur d’empreinte de ce modèle a pu être contourné. Cette technologie, fournie par Qualcomm, utilise des ultrasons pour détecter et analyser les plis et les crêtes épidermiques. Elle devait être beaucoup plus difficile à pirater, mais visiblement ce n’est pas le cas. Le hacker a simplement photographié une empreinte et en a créé un modèle en trois dimensions grâce au logiciel 3ds Max. Puis il a utilisé ce modèle pour créer une fausse empreinte en plastique au moyen d’une imprimante 3D AnyCubic LCD Photon. Toutes ces manipulations nécessitent environ un quart d’heure.
Ce que cela implique
Ce hack montre, une fois de plus, que l’authentification par empreinte digitale n’est pas sécurisée. Nous laissons nos empreintes un peu partout, et notamment sur nos smartphones. Il est assez simple pour un pirate de les récupérer et de créer un leurre qui permet d’accéder aux données du téléphone. Il n’est donc pas recommandé de s’appuyer sur l’authentification par empreinte digitale pour protéger des données sensibles qui seraient stockées dans un smartphone. Mieux vaut, dans ce cas, utiliser un code PIN d’une longueur d’au moins six chiffres.
Le contexte
L’authentification biométrique est régulièrement critiquée par les chercheurs en sécurité. Les données biométriques comme l’empreinte digitale, l’iris ou le visage, ne peuvent pas être cachées. Les pirates motivés peuvent facilement y avoir accès, au travers de photos en haute définition. Et contrairement au mot de passe, on ne peut pas les modifier. Quant aux lecteurs, il s’avère qu’ils sont assez faciles à duper. Cela a été montré sur les lecteurs d’empreintes de l’iPhone 5s et 6, les lecteurs d’iris du Samsung Galaxy S8 et sur les systèmes de reconnaissance faciale des smartphones, y compris celui de l’iPhone X.
Source : note de blog de darshark
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.