HTC : le One Max léger sur la sécurité des empreintes digitales
Ça n’était vraiment pas le jour pour arrêter la colle chez HTC. On a ainsi appris que la marque HTC ne valait rien, voici d’autres soucis en vue pour le constructeur de Taïwan. Le One Max, version phablette du One sorti il y a deux ans, a une petite particularité : un lecteur d’empreintes digitales placé au dos, sous l’appareil photo. Alors qu’avec Touch ID, Apple a pris mille précautions de sécurité (les empreintes sont stockées dans une enclave sécurisée auprès du processeur), HTC fait bien peu de cas de la confidentialité des données biométriques.
La société spécialisée dans la sécurité informatique FireEye Labs a mis au jour une faille béante dans la gestion des empreintes digitales numérisées par le One Max. Celles-ci sont tout simplement stockées « en clair » dans la mémoire du smartphone, permettant ainsi à n’importe quelle application d’y avoir accès sans la moindre restriction. Aucun chiffrement n’est en effet à l’œuvre dans ce qui n’est qu’un simple fichier ouvert aux quatre vents.
Les empreintes digitales étaient stockées dans un fichier bitmap spécifique, que les chercheurs de FireEye ont pu reconstituer en image parfaitement lisible. De plus, le One Max mettait à jour les empreintes digitales de l’utilisateur à chaque fois que ce dernier posait le doigt sur le capteur : un pirate avait donc un jeu complet de l'ensemble des données.
HTC, prévenu avant la publicité de la vulnérabilité, a bouché la faille avant qu’elle soit rendue publique. La société indique que des smartphones d’autres marques souffrent eux aussi des mêmes maux, sans donner de noms — mais les constructeurs ont fait le nécessaire pour corriger le problème. Le Galaxy S5 ainsi que le One Max, encore lui, étaient aussi coupables d’une autre légèreté : ne pas utiliser la fonction TrustZone qui isole les composants importants comme le lecteur d’empreintes digitales.
Quand l'iPhone est sorti avec son lecteur d'empreintes, tout le monde critiquait le fait que ça pouvait poser des problèmes de sécurité, alors même qu'Apple a fait un gros travail pour sécuriser l'information, sous une forme indirecte (un peu comme un hash : permet de reconnaître l'empreinte mais pas la reconstituer) et ne la garder qu'en local (même si ça c'est assez évident…).
A côté de ça, quand les smartphones Android ont un capteur d'empreinte : plus personne ne se pose de question sur la sécurité et trouve ça cool…
C'est un peu pareil pour Android Pay ou Samsung Pay, du fait que Google ne contrôle pas le matériel, je suis curieux de savoir quelles sont les sécurités mises en place… et vu que Samsung lance ses produits à la va vite (capteur d'empreinte, solution de paiement), je ne suis pas convaincu qu'ils aient mis en place une solution matérielle pour sécuriser le tout…
@iGeek07 :
Évident le fait que ça reste en local ? Va dire ça à tous les paranos de la vie persuadés qu'Apple dispose des empreintes de tous ses clients dans leurs serveurs...
C'est gravissime, HTC propose quoi ? Qu'on se coupe le doigt ou qu'on les passe a l'acide ?
On peut se rassurer en se disant qu'heureusement, HTC ne vend pas beaucoup d'appareils.
En même temps HTC ils ne vont pas très bien ces derniers années.. ils font de très mauvais choix... ils investissent mal ... ils ont revendu leur part de béats (ils avaient pas le choix)... des taupes dans leurs effectifs... campagne de sape de la part de samsung..licenciement à venir...
Je ne suis pas certains qu'il existe dans 2 ans
Android, c'est cool. (C'est de la bonne)
Euh... les gars, quelle partie vous ne comprenez pas dans "HTC, prévenu avant la publicité de la vulnérabilité, a bouché la faille avant qu’elle soit rendue publique" ?
Excellent la citation de "y a-t-il un pilote dans l'avion" !