"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Galaxy S5: le lecteur d'empreintes hacké


C'est une des grandes nouveautés du Galaxy S5... Mais le capteur biométrique du nouveau smartphone n'a pas résisté longtemps à un groupe allemand de chercheurs en sécurité.

Hacker le capteur d’empreintes du Galaxy S5 est un jeu d’enfant. Voilà le constat inquiétant d’un groupe de chercheurs allemands qui prouve, dans une vidéo, que le module du nouveau téléphone est une passoire.

On y voit un expert des SRlabs utiliser un moule en plastique sur lequel est insérée sa propre empreinte digitale pour déverrouiller d’un coup le fameux smartphone. "Le moule a été fabriqué dans un labo" explique-t-il, "mais il a été conçu depuis une simple photo d’une empreinte laissée sur l’écran d’un mobile, réalisée avec un smartphone".

On peut autrement dit imaginer le scénario suivant: un pirate vole votre téléphone, prend une photo précise d’une trace de doigt qu’il trouvera forcément sur l’écran, puis la reproduit sur un moule. Le tour est joué: votre téléphone, que vous pensiez protégé par votre empreinte biométrique, est à sa merci.

Les chercheurs, qui étaient déjà parvenus comme beaucoup d'autres à hacker d’une manière similaire le Touch ID de l’iPhone 5S, insistent sur le fait que dans le cas du S5, la faille est encore plus grave. Car Samsung n’a pas mis en place de mécanisme de sécurité qui obligerait à entrer un mot de passe après un certain nombre de tentatives d’authentification manquées, comme sur l'appareil d'Apple.

L'empreinte digitale ne vaut pas un bon vieux mot de passe 

Pire, sur le Galaxy S5, le capteur biométrique peut être lié à votre compte Paypal. "Lier le capteur à des applications aussi sensibles que Paypal va inciter encore plus les pirates à apprendre à usurper des empreintes digitales, une compétence aisée à maîtriser" soulignent les chercheurs. Qui montrent aussi qu’avec leur simple moule, ils sont en mesure d’effectuer tous les achats qu’ils souhaitent ou de virer de l’argent depuis le compte de la victime vers celui qu’ils désirent…

Par cette vidéo, ils tiennent à rappeler que de manière générale, l’authentification par l’empreintes digitale est moins efficace que nos bons vieux mots de passe. Pourquoi? D’abord parce que nos empreintes, on a tendance à les laisser trainer partout, notamment sur les écrans de nos appareils mobiles. Et qu’il est très facile pour un hacker un peu doué de les recopier. Ce qui pose problème, car il est évidemment impossible de "révoquer" une empreinte digitale, contrairement à un mot de passe, que l'on peut changer. Si on vous la vole, c’est pour toujours.

Eric LB