Le Chaos Computer Clubs dupe la reconnaissance de l'iris du Galaxy S8

Florian Innocente |

Le Chaos Computer Clubs est parvenu à tromper le système de reconnaissance de l'iris du Galaxy S8. Le smartphone propose quatre méthodes pour déverrouiller l'accès à son contenu : la reconnaissance de l'iris, la reconnaissance faciale, la reconnaissance de l'empreinte avec le capteur au dos et enfin le code PIN (ou le schéma). À noter que la détection de l'iris est aussi utilisée pour Samsung Pay, à la différence de la détection du visage, signe qu'elle est jugée comme beaucoup plus fiable.

L'organisation allemande a trouvé une méthode assez simple. Le sujet a été photographié avec un appareil photo numérique banal, réglé en mode nuit (pour émuler le capteur infra-rouge du Samsung). Nul besoin d'avoir la personne très près de soi et de zoomer sur son oeil, elle se tenait à une distance de quelques mètres et le cadrage a été fait sur son visage, le regard faisant face à l'APN.

La photo a été recadrée serrée sur l'un des deux yeux puis imprimée. Facétieux, le Chaos Computer Clubs affirme que le meilleur résultat a été obtenu avec une imprimante Samsung… Ensuite, une lentille a été posée sur l'iris imprimé pour renforcer l'illusion qu'il s'agissait d'un véritable iris, avec sa forme bombée. Face à cette feuille de papier, le S8 s'est immédiatement déverrouillé.

Ca ne marche pas nécessairement du premier coup. Il faut parfois ajuster la luminosité et le contraste de l'image et s'assurer d'avoir une photo de bonne définition au départ. Mais il n'y a rien de sorcier dans l'absolu.

Le Chaos Computer Clubs était parvenu à contourner Touch ID il y a quatre ans, avec une méthode très simple là-aussi et assez similaire. La rumeur voulant qu'Apple dote aussi son iPhone 8 d'une reconnaissance de l'iris, le même test sera à refaire si cela se concrétise. D'une manière générale, le porte-parole du CCC conseille de s'en tenir au bon vieux code PIN plutôt que d'opter pour les solutions biométriques.


avatar loupsolitaire97 | 

Ce qui me choque c'est que la "reconnaissance" faciale existe encore chez Samsung... quand on vois que n'importe quel membre de la famille proche peut déverrouiller le smartphone... quel intérêt ?

avatar frankm | 

@loupsolitaire97

Proposer l'option avant Apple

avatar k43l | 

Si par proche tu veux dire jumeau, alors oui c'est pas évident... Même le lecteur d'empreinte peut être tromper.
Si par proche tu veux dire de la même famille avec un peu de ressemblance, merci d'apporter source et vidéo à l'appui...

avatar loupsolitaire97 | 

@k43l

Proche = frère/sœur
Mère/père/fille/fils

Et certaine fois les cousins aussi

Je vais chercher des sources oui, mais je parle surtout de mon vécu, par contre, soyons d'accord, je ne parle pas de la reconnaissance de l'iris mais bien de la reconnaissance faciale ;)

avatar sachouba | 

@loupsolitaire97 :
Tu parles de la reconnaissance faciale du S8 en particulier ?
Attention, Samsung n'utilise pas la version proposée par défaut dans Android, la fonctionnalité a été entièrement recodée sur le S8. Donc on ne peut pas comparer avec les autres smartphones Android sous Android 4.0+...

avatar loupsolitaire97 | 

@sachouba

Effectivement, je parlais d'un autre smartphone Samsung

avatar Ze_misanthrope (non vérifié) | 

Cela semble tellement évident qu'un tel capteur est juste une petite sécurité bas niveau pour empêcher son collègue de déverouiller le téléphone, et pas pour un agent secret mais bon, il faut bien le rappeller aux gens...

avatar reborn | 

@Ze_misanthrope

"Cela semble tellement évident"

Oui ??‍♂️

C'est pourtant vendu comme quelque chose de limite inviolable par Samsung.

avatar Ze_misanthrope (non vérifié) | 

Et mon produit ménager est vendu comme effacant les traces les plus délicates juste en passant une petite lingette et tout brille derrière et on peut se voir dedans...

Va falloir faire quelquechose contre les pubs dont on est gavés tous les jours...

avatar reborn | 

@Ze_misanthrope

Arrête la mauvaise foi

avatar Ze_misanthrope (non vérifié) | 

La mauvaise fois, c'est ceux (dont Samsung) qui ne veulent pas reconnaître qu'un tel capteur est tout sauf inviolable. C'est évident depuis le jour de leur annonce.

Il suffit de quelques neurones pour s'en rendre compte

avatar reborn | 

@Ze_misanthrope

La mauvaise foi c'est de ne pas reconnaitre qu'un système un minimum sécurisé se laisse berner par une simple photo.

avatar Ze_misanthrope (non vérifié) | 

On voit que tu as bien lu l'article. C'est cool.

avatar Hideyasu | 

@Ze_misanthrope

Tu soulèves le point le plus important dans tout ça. Le baratin des pubs. La majorité des pubs sont des vastes conneries, et tout le monde a l'air de s'en foutre.

avatar Ze_misanthrope (non vérifié) | 

C'est le but, merci!

C'est affolant de voir la naiveté des gens...

avatar k43l | 

Le lecteur d'empreinte est réputé infaillible pourtant ils ont bien réussi à le tromper. Samsung le rappelle, le système de sécurité le plus haut lorsque l'on configure son tel reste le pin.

C'est aussi celui avec le plus d'inconvénient

avatar Ze_misanthrope (non vérifié) | 

La biométrie est un nom d'utilisateur, pas un mot de passe!

avatar frankm | 

Le problème du biométrique c'est qu'on ne peut pas changer le mot de passe

avatar rmosca | 

@frankm

ben si on peut...
*tend un verre d'acide

avatar SIMOMAX1512 | 

@frankm

Utilise ton petit doigt de la main , il est rarement accessible , puis si on te pique les empreintes on va d'abord faire pouce et index et comme ça ne marchera pas l'iPhone va demander le code à 6 chiffres . ?

avatar Ze_misanthrope (non vérifié) | 

La biométrie n'est pas un mot de passe en soit, c'est juste le login!
Petite lecture: http://blog.dustinkirkland.com/2013/10/fingerprints-are-user-names-not.html

avatar fousfous | 

Mais vous aviez des doutes sur le fait que Samsung sache faire un truc sécurisé?
L'empreinte est quand même beaucoup plus sûre et pratique, il suffit pas juste de prendre une photo de loin... Il faut un moule du doigts pour que ça fonctionne.

avatar debione | 

En partie très faux... Une simple photo de tes doigts (parce que tu faisais le signe victoire par exemple et que tu as posté cela sur FB), une petite imprimante 3d et le tour est joué...
Je te laisse fouiller le net, tu verras, il y a une demo d'un professeur japonais assez saisissante...

avatar elamapi | 

Tout est contournable, même le tout dernier iPhone a été violé pour en extraire ses données. Après, peut etre qu'on peut remettre les choses dans leur contexte non ? Si la photo du visage est assez "simple" à avoir, ça reste dissuasif pour énormément de monde.

A moins vois soyez le directeur de la NSA, on vous volera votre smartphone à en mode pickpocket dans le bus, l'arraché, ou dans la voiture. Peut de chance ensuite que le briguant revienne vers vous pour prendre une photo. Si c'est un scan de l'iris, c'est encore moins probable (une personne qui va se coller a vous, vous risquez de la voir ...), quand à l'empreinte, c'est définitivement pire.

Donc, dans l'immense majorité des cas, n'importe quel moyen fera l'affaire. De toute façon, on vous volera votre iphone/s8 pour le revendre, pas pour les photos de mamie a poil que vous gardez dedans ....

Le seul VRAI avantage du lecteur d'empreinte, c'est de pouvoir alumer le S8 sans action "mécanique" qui serait un facteur d'usure.

avatar bonnepoire | 

Le dernier iPhone violé???
Va dire ça au FBI...

avatar julien2174 | 

Ce qui est grave que samsungpaye ne demande juste la reconnaissance par iris !

avatar BB Raph | 

Les fanes de Samsung nous dises à nous les fanes d'Apple qu'on n'est des pigeon mes quand on reguarde la vrais réalité dès chose son se eux les pigeon on leurs vende des smartphones pas bien qu'on sue en matière de sécurité on invente mes on perfectionne pas j'aime trod Samsung mes La si il continue il risque de tomber dans la liste noire des clients

avatar zoubi2 | 

BB ?

avatar powergeek | 

Le code pin est efficace s'il contient plus de 8 chiffres. De plus l'affichage du keypad en ordre aléatoire à chaque fois serait un plus pour ne pas deviner la position des doigts à distance...

avatar xDave | 

le clavier qui change ? quelle horrible idée

avatar huexley | 

@BB Raph

Je dois partir du boulot et mes yeux saignent, c'est vraiment pas sympa de ta part.

avatar elamapi | 

@powergeek

Et un mot de passe de 32 caractères généré aléatoirement contenant lettres, chiffre, minuscule et majuscule avec quelques caractères spéciaux est globalement inviolable.
Sauf que, la encore, il faut garder à l'esprit l'utilisation, le besoin et le degrés d’importance des données.

Si vous avez des données sensible qui peuvent être revendues alors de toute façon, vous n'allez pas les stocker dans un iPhone ou un s8. Parce que, que ce soit un S8 ou un iPhone, un code pin de 2 caractère ou un mot de passe de 20 pages, vous finirez probablement par le donner sous la menace ou la contrainte.

Si vous être un utilisateur lambda, alors, vous perdrez votre smartphone de manière idiote en l'oubliant au resto, ou en vous le faisant piquer dans votre poche dans le métro, et pour les plus malchanceux, en vous prenant une tarte par la racaille du coin. Et dans 100 des cas, votre téléphone sera réinitialisé puis revendu. Personne n'ira prendre une photo de vos yeux.

Ces mode de protection sont la pour simplifier la vie des gens qui n'ont pas "besoin" de se promener avec fort knox.

C'est comme avec les cartes bleus. Vous pouvez avoir un code pin a 50 caractère, le jour ou un mec vous menace avec un couteau au distributeur, ben, vous donnerez votre super mot de passe .... Et si vous perdez la carte, alors, un password de 4 chiffres avec 3 essais ne sera pas moins secure que le meme avec 500 caracteres

avatar zoubi2 | 

Monsieur elamapi me semble plein de bon sens...

avatar debione | 

Ah la mode de la biométrie soutenue par des centaines de millions en marketing... Sur un smartphone il y a tellement d'empreinte que même Jojo le rigolo arrivera a prendre l'empreinte avec un peu de talc...
Le même Jojo le rigolo n'a qu'à parcourir FB, et une simple photo d'un V de la victoire lui permet de berner le système de reconnaissance d'empreintes, ou la reconnaissance de l'iris... D'une bête photo...

Mais en fait on s'en fou, car Jojo le rigolo qui vous a fauché votre ipHone, il va simplement le refourguer pour une mise à 0...

Sinon elamapi à parfaitement bien résumé la situation...

avatar trackos | 

@debione

Donc c'est aussi facile de déverrouiller un iPhone !
Le prof chinois tu me le présente ?
Je vais aussi m'acheter une imprimante 3D au simply market du coin.
Ah, j'oubliais, il fait imiter la chaleur du doigt car le capteur y serait sensible ( il me semble )
Trop facile, à côté la photo prise avec un apn en mode nuit puis imprimée avec une lentille dessus c'est du travail de pro à n'en pas douter...ma fille de 7 ans serait une pro du hacking de galaxy s8 ? On m'aurait menti ?

avatar sachouba | 

@trackos :
Tu crois qu'il est difficile de se procurer une imprimante 3D en 2017 ?

avatar loupsolitaire97 | 

Pour ma part j'ai enregistrer la "paume" de ma main qui se situe en dessous de mon pouce, bonne chance à celui qui y penseras en moins de 10 essais.

avatar bugman | 

@loupsolitaire97 :

Astucieux ! C'est fiable ?

@elamapi :

Effectivement. :)

avatar loupsolitaire97 | 

@bugman

J'ai jamais eu de soucis ^^

avatar victoireviclaux | 

On peut enlever déjà : la reconnaissance faciale et la reconnaissance par l'Iris... malheureusement le capteur d'empreintes est mal placé.
Il aurait pu la mettre en dessous du capteur photo, de façon centré. Et le flash LED/capteur cardiofréquence en haut du capteur photo, toujours centré.

CONNEXION UTILISATEUR