Galaxy S8 : Samsung minimise la démonstration du Chaos Computer Clubs
Samsung a réagi à la démonstration faite par le Chaos Computer Clubs où le système de reconnaissance de l'iris du Galaxy S8 était pris en défaut par une impression papier (lire Le Chaos Computer Clubs dupe la reconnaissance de l'iris du Galaxy S8).
Dans une déclaration auprès du Korea Herald, un porte-parole de Samsung n'a pas contesté la réussite de la manipulation, mais il estime qu'elle ne reflète pas un risque pouvant se produire au quotidien :
Bien que la vidéo d'une minute apparaisse simple, il est difficile d'imaginer voir la même chose en temps normal. Vous avez besoin d'une caméra qui puisse capturer la lumière infrarouge, qui n'est plus disponible sur le marché. De plus, vous devez prendre une photo de l'iris du propriétaire et lui voler son smartphone. Il est difficile pour ce scénario au complet de se dérouler dans la réalité.
Samsung a tout récemment promu dans une pub cette nouvelle fonction de sécurité de ses deux Galaxy. On comprend qu'il veuille relativiser et minimiser la démonstration du groupe de hackers allemand.
C'est un peu maladroit comme réponse mais ils n'ont pas forcément tord pour la grande majorité des utilisateurs
Plus de caméra infrarouge sur le marché ?
@Giloup12 :
C'est le modèle utilisé pour la démonstration qui n'est plus disponible dans le commerce, si j'ai bien compris.
@sachouba
Je pense aussi, mais certains ont oublié de réfléchir comme souvent
Même 1 cas sur 1 million c'est déjà trop.
Risqué et dangereux.
Et si cette unique personne était le President!?
Si c'était un diplomate direct ou indirecte proche d'un politicien qui aurait par exemple des dossiers très confidentiels, ou même juste une information dans leur téléphone samsung professionnel ou personnel qui pourrait s'avérer décisive sur le commencement ou la fin d'une guerre !?
Si ces employés qui travaillent chez Samsung ne prennent pas leur job lié à la sécurité de leurs produits au sérieux qu'ils ne tentent rien qui ne soit superflu ou pris à la légère, et qu'ils délèguent ça à des institutions plus qualifiées. Des pros qui prennent la sécurité de leurs concitoyens (consommateurs) vraiment au sérieux, apple est pour le moment de ceux-là..
Non mais le porte-parole réalise le degré de gravité de ses propos (!?) ; ils n'ont encore rien appris de leur leçon, leur bourde avec leur téléphone explosif , faudrait peut-être un nouveau mass effect pour qu'ils aient conscience des choses. À cause de ces imbéciles de nouilles déjà la sécurité aéroportuaire à l'échelle mondiale a dû se réadapter vu les risques qu'ils ont fait courir. À quand leur prochaine connerie qu'on rigole
***
On attend toujours la suite pour les portables hP et leurs claviers traceurs au fait hein
@NAVY7GAS
Touch ID n'est pas non plus inviolable hein ??
Non par, contre même s'il a été contourné en laboratoire avec des techniques que tout le monde ne peut pas réaliser, ça a fait beaucoup de bruit avec le déferlement de haine traditionnel envers apple. Mais comme on le voit ici, quand c'est pas apple, enfoncer les portes ouvertes c'est du putaclic qui ne mériterait même pas d'être abordé.
@NAVY7GAS
Et si et si...le risque 0 n'existe pas, même pour Apple. Je trouve cela sensé comme propos, il faut que toutes les conditions soient réunies pour que cela se produise. Pour une fois, je soutiens Samsung
@NEWIPHONE76
Le problème c'est que ça fonctionne en 2D apparement
@NAVY7GAS :
Tu crois sérieusement que les smartphones grand public comme le S8 sont conçus pour être utilisés par des diplomates, des militaires ou des chefs d'État tels quels ? Et que ces personnes publiques vont utiliser des modes de verrouillage biométriques pour lesquelles des milliers de photos d'eux sont disponibles sur Internet ou qu'on pourrait les faire utiliser contre leur gré (empreintes digitales, iris...) ?
Les personnes qui ont vraiment du pouvoir utilisent des smartphones conçus sur mesure pour assurer la sécurité de l'information, et surtout pas du biométrique de cette qualité...
PS : TouchID (et sûrement la plupart des capteurs d'empreintes de smartphones) est conçu pour fonctionner avec un taux de faux positif de 1 sur 50 000. Bien loin du taux de 1 sur 1 000 000 que tu considères "trop" élevé...
Je plussoie:«plus de camévra infra-rouge sur le marché» ?
Il y en a des centaines de modèles disponibles…
De plus, les appareils numériques du marché… ont un filtre [anti-] infra-rouges qu'il suffit de démonter pour les rendre sensibles ds cette gamme…
Dans le cadre de la NSA/FBI c'est tout à fait réalisable ?
@NAVY7GAS : soit rassuré, au moment de choisir la méthode de déverrouillage dans les options, Samsung indique clairement que la sécurité maximale est obtenue grâce au déverrouillage par mot de passe.
Une indication utile pour les présidents et diplomates ;)
" Vous avez besoin d'une caméra qui puisse capturer la lumière infrarouge, qui n'est plus disponible sur le marché."
Première nouvelle!
Elle sont au contraire de plus en plus courantes et de plus en plus économiques. On en trouve même à greffer sur les smartphone.
Cela étant, l'exercice reste difficile, mais pas hors de portée d'organismes d'espionnage.
Pour compléter ma contribution, qq sites:
• filtre qui ne laisse passer que [la portion] des infrarouges auxquels les capteurs CCD sont sensibles: https://www.missnumerique.com/hoya-r72-filtre-infrarouge-circulaire-55-mm-p-2796.html?ref=4199
• un boitier IR "grand public" (1700€): http://infrarouge.photo/2016/04/10/test-fuji-xt1-infrarouge/amp/
• http://infrarouge.photo/amp/
• photo IR avec un appareil numérique classique (+ démontage du filtre IR) : https://clementchambaudphotographies.wordpress.com/2014/12/23/la-photo-infrarouge-en-numerique/
• photographier en IR: http://www.alpha-numerique.fr/index.php/technique/pratiques-photo/la-photo-infrarouge/781-photo-infrarouge-theorie
• Démontage du filtre IR sur camescopes: http://www.kaya-optics.com/devices/normal_camcorder.shtml
Rq: les CCD sont typiquement sensibles entre 300nm et plus de 1000nm, alors que le domaine visible à l'œil humain est ~400nm (Violet) – ~800nm (rouge extrème)
Ou alors comme pour les services en ligne qui obligent un système en deux étapes , mais dans ce cas présent où la vitesse d'ouverture doit primer, être instantanée, pourquoi pas mettre un système d'authentification aléatoire, bon ça peut être chiant j'ai pas poussé loin la réflexion, mais que je m'explique :
On pourrait au réglage d'un nouvel appareil demander la biométrie des doigts, des yeux, du visage ; code pin 4, 6 chiffres ou alphanumérique, les questions/réponses personnelles par voix (Siri?).
Une fois établi tout cela, on choisit le nombre de probabilité d'usage de chacun , par exemple la vérification biométrique par le doigt 9 fois sur 10 ; biométrie oculaire 8/10 ; du visage 7/10 ; par code pin 6/10 ; Q/R Siri 5/10.
L'OS serait assez intelligent pour savoir en général quel système de protection demander en recoupant le GPS, la vitesse de déplacement, le lieu etc. Voire parfois qu'il ait à demander une ou plusieurs vérifications à la suite pour être sûr qu'il soit le bon propriétaire ; par exemple au rallumage d'un appareil, immédiat, ou après 48h, une semaine, dans un lieu donné inconnu ou rarement fréquenté par exemple etc. Et si le proprio oublie son code pin ou les Q/R il sera automatiquement transféré sur son compte iTunes auquel on lui demandera de se connecter pour confirmer sa personne, avec toujours l'authentification à deux étapes.
De ce fait, si un malandrin veut se faire un téléphone, c'est déjà autrement plus complexe.
@NAVY7GAS
C'est sur. Et puis après y a plus qu'à couler ton smartphone dans un bloc de béton et le lester d'un boulet d'acier de 5 kg pour éviter qu'un voleur à la tire parte trop vite avec, et t'es tranquille.
Monsieur tout le monde ne se trimbale pas avec les codes nucléaires dans son smartphone, et il faut quand même trouver un compromis entre la rapidité et la simplicité de l'usage mais aussi de la configuration et la sécurité. Sinon, les gens bypassent le système et se retrouvent sans sécurité du tout.
Samsung a raison sur ce coup là. En usage courant, le scénario du piratage de la reconnaissance de l'iris est bien peu inquiétant. Il faut vraiment être motivé, avoir du matériel très couteux et que les informations contenues dans le smartphone vaillent très cher.
Ça pourra intéresser le FBI, en revanche, j'imagine.
@Bigdidou
Votre post m'a fait sourire ?
Comme le disait un stand Up comédien, "avant les réseaux sociaux on ne demandait pas au gens ce qu'ils pensaient. Lorsqu'on lit aujourd'hui ce qu'ils disent on comprend maintenant pourquoi." ?
@A884126
Et oui, triste monde...
@A884126
Oui...;)
@NAVY7GAS :
Google travaille déjà sur le déverrouillage par une "note de confiance" en fonction des habitudes de l'utilisateur : https://www.igen.fr/android/2016/05/google-pourrait-ringardiser-les-mots-de-passe-95915
C'est assez semblable à ce que tu proposes, mais en plus simple pour l'utilisateur.
@rolmeyer
ton commentaire ne m'étonne pas du tout :-s
En même temps, ils ont le mérite de proposer de (trop) nombreuses méthodes d'authentification...
Naaannnn, je déconne. Sachounet, sors de ma tête !
Bon Samsung doit donc intégrer une machine enigma dédouble d un bon vieux fax à côté pour faire une double identification ?
Bref samsung a raison.. stop de chercher la petite bête ?
@sachouba :
Euh, au dernière nouvelle le président Trump neuneu et chien fou qu'il est, vient de changer son vieux galaxy s3 pour un iPhone ayant moins de fonctions d'identification et est "grand public"..
J'en sais rien, je dis ça mais.. T'en fais ce que tu veux de l'info lol I'm joke
"savoir si les utilisateurs font suffisamment confiance à Google pour laisser tous les capteurs de leur smartphone fonctionner en permanence"
Google is a google. Perso si ça devait fonctionner je préférerai reculer l'échéance de son usage et attendre de voir. Mais l'idée est bonne, peut-être mieux que mon casse-tête chinois.
Finalement le problème est plus général. Nous humble petit citoyen devons nous vraiment avoir des systèmes d'authentification très sécurisé ?
La sécurité d'authentification doit-elle- être proportionnelle à la quantité/qualité des informations que je suis censé détenir ?
Dans les fait la sécurité des données ou de l'accès aux données est déjà à deux vitesses.
Mais quelques constructeurs ne sont pas si fatalistes ou plutôt les managers de certaines compagnies ont quelques principes/utopies. Ainsi donc Apple pense que tout un chacun a droit à un sécurité très importante.
Si le FBI avait eu un S8 à déverrouiller ça leur aurait coûté bien moins chère hein.
+1 @NAVY7GAS
Je crois plus simplement qu'avec l'intégration à l'avenir des capteurs Touch ID sous l'écran, l'authentification de l'utilisateur sera permanente. Et comme tu le disais, si l'appareil détecte l'emprunte d'un inconnu une fois le téléphone déverrouiller alors on peut imaginer des questions... et une vérification plus poussée.
Vivement qu'Apple le fasse, ce sera plus sécurisé (mais comme souvent avec Apple) et encore une première à son actif.
Verdict pour ma part : carton rouge pour Samsung. Manque de rigueur mais là aussi on est habitué.
@Spinnozza :
"Si le FBI avait eu un S8 à déverrouiller ça leur aurait coûté bien moins chère hein."
Tu sais que le problème de l'iPhone de San Bernardino, c'est qu'il était verrouillé par un code, et non une empreinte digitale ?... Si son propriétaire avait eu un Samsung à la place, il aurait aussi mis un code pour le verrouiller, et non un moyen biométrique, et le téléphone se serait également réinitialisé en cas d'un nombre trop important d'essais.
Pire encore : ils n'auraient pas pu l'allumer, puisque le S8 peut demander le mot de passe pendant le démarrage, avant de charger le logiciel d'exploitation...
Sauf si le mec avec utilisé la reconnaissance faciale comme je le sous entendais. C'est subtile de faire comme si tu n'avais pas compris, c'est étonnant de ta part. ?