Apple a-t-il profité du lancement de l’iPhone 6 pour améliorer la sécurité du lecteur d’empreinte Touch ID ? Malheureusement non, comme vient de le constater un chercheur en sécurité de la société SR Labs. Celui-ci vient de poster une vidéo sur YouTube qui montre qu’il est aussi simple de tromper le lecteur d’empreinte de l’iPhone 6 avec un faux doigt que celui de l’iPhone 5s.
Le hack du Touch ID a été réalisé pour la première fois en septembre 2013 par un membre du Chaos Computer Club, qui avait créé un faux doigt en colle de bois séchée après avoir pris en photo une empreinte laissée sur une surface en verre. Dit comme cela, cela parait assez simple, mais en réalité il faut être assez bricoleur. Tout d’abord, le hacker avait pris une photo de l’empreinte en très haute résolution (2400 dpi).
Ensuite, cette image avait été rendue monochrome, puis inversée et imprimée sur un film transparent à 1200 dpi. Celui-ci était ensuite inséré dans une « insoleuse ». Ce type de machine sert normalement à fabriquer des circuits imprimés et utilise des flashs ultraviolets pour creuser un relief dans un matériel photosensible. Une fois le relief de l’empreinte réalisé, il avait été recouvert d’une couche de colle de bois, et le tour est joué.
Quelques jours plus tard, les chercheurs de SR Labs avaient montré qu’il suffisait de prendre la photo de l’empreinte avec un iPhone 4S, quitte à réaliser par la suite quelques retouches d’images. Ce qui simplifie un peu le processus.
En répétant le hack du Touch ID sur l’iPhone 6, les chercheurs en sécurité veulent attirer l’attention sur cette méthode d’authentification, qui n’est pas aussi sécurisée qu’Apple cherche à nous faire croire. Le risque encouru est d’autant plus important que l’usage de Touch ID se généralise. Il peut désormais être utilisé par des applications tierces et permettra même de valider des achats par Apple Pay.
Ceci étant, pour réellement pirater le compte d’un utilisateur de cette manière, il faudrait que le cybercriminel lui vole son smartphone, arrive à récupérer une empreinte de bonne qualité sur l’appareil puis dispose du matériel nécessaire pour réaliser le faux doigt. Ce qui laisse suffisamment de temps à l’utilisateur pour révoquer son empreinte et effacer son terminal à distance.
Lire aussi:
Quand Apple Pay, Paypal pleure
Notre dossier sur l’iPhone 6
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.