Le nouveau capteur d'empreintes des Galaxy S10 ne serait pas plus sûr que les précédents

Florian Innocente |

Le nouveau lecteur d'empreintes des Galaxy S10 a pu être déjoué par une empreinte reconstituée dans un bloc de résine, comme semble le démontrer cette vidéo et les explications de son auteur, darkshark.

Sur les trois Galaxy S10e, S10 et S10+, les deux derniers utilisent un capteur d'empreintes glissé sous l'écran. Samsung n'est pas le premier à le faire mais plutôt qu'un capteur optique qui a besoin que l'écran éclaire le doigt, ces S10 utilisent un modèle ultrasonique conçu par Qualcomm.

Ce capteur émet des ultrasons et il analyse le temps mis pour rebondir contre les crêtes et les sillons qui forment le relief de l'empreinte. De cela il génère une représentation en trois dimensions.

I attempted to fool the new Samsung Galaxy S10's ultrasonic fingerprint scanner by using 3d printing. I succeeded.

darkshark explique qu'il a photographié avec son téléphone son empreinte laissée de manière visible sur un verre. Dans Photoshop il en a augmenté le contraste et créé une couche alpha, importée ensuite dans 3ds Max pour obtenir une représentation en volume. Un fichier qui a été envoyé vers une imprimante 3D LCD Photon d'Anycubic de quelques centaines de dollars (dont la précision est amplement suffisante, dit-il). Au bout d'une dizaine de minutes, il en est ressorti la reproduction en 3D de son empreinte dans une mince couche de résine. Il s'y est repris à quatre fois pour obtenir le résultat escompté.

Il a posé cette pièce de résine sur la zone du lecteur d'empreinte et réussi à déverrouiller son Galaxy S10+. Dans la vidéo on le voit utiliser un gant pour éviter que le lecteur ne détecte peut-être son empreinte, mais il précise dans les commentaires que d'autres personnes ont aussi déverrouillé son Samsung avec sa vraie-fausse empreinte.

Dans un billet de février dernier, Samsung expliquait qu'il se reposait sur le machine learning pour améliorer la détection au fil du temps, et repérer ainsi les empreintes contrefaites en 3D. Qualcomm de son côté parle d'une détection des flux sanguins dans le doigt pour renforcer la sécurité et éviter qu'un hacker ne trompe son capteur avec une photo ou un moule. Une fonction à laquelle Samsung ne fait pas référence. Est-ce qu'il l'utilise aussi ?

Quoi qu'il en soit, si cette méthode est reproductible, elle démontre une nouvelle fois qu'aucun système biométrique sur les smartphones n'est complètement inviolable. Les moyens à mettre en œuvre ne sont pas forcément complexes mais les conditions pour les réunir peuvent l'être davantage… et il faut que le jeu en vaille la chandelle.


avatar debione | 

pourquoi se faire chier avec un process pareil ( bon il est classe je l’avoue) alors que le simple achat d’un boîtier permet de faire la même chose... ( et pourtant on nous serinais à l’epoque que les smartphone était inviolable, on a bien vu toute la différence entre le marketing et la réalité)

Perso, je suis pour la protection des données... Le seul moyen que j’ai trouvé c’est de ne pas payer par carte, uniquement en liquide, c’est de ne pas avoir une seule carte de fidélité, c’est de ne rien commander sur Internet...
La collecte des données tout le monde le fait, on est fiché de partout, de notre fAI à nos abonnement streaming en tout genre, de nos dépenses banquaire a l’utilisation d’un smartphone pour dimensionner au minimum les batteries, des cartes de la Fnac et de toutes les enseignes...
je pense que le combat « protection des donnees «  est perdu, et est un combat d’arriere garde... Non plus jamais je n’aurai l’anonymat que j’avais dans les annees 80... par contre, on peut se battre pour que cette utilisation ne soit pas faites n’importe comment...

avatar goodvibes | 

Sur androïd il n’y a aucun équivalent à faceid c’est quand même dingue

avatar Half | 

Ou sont ceux qui nous vantaient la sécurité du capteur d’empreinte quand on a appris qu’on déverrouillait le S10 avec une simple photo ?
Fan2elodiefregee où es tu (entre autre)

avatar debione | 

Et où sont ceux qui nous vantaient l’inviolabilite Du système Apple jusqu’a Ce que l’on découvre qu’un simple boîtier achetable sur internet en était capable? Et que Apple le savait? Et que ces boîtiers marchent toujours...

Le jour où les gens comprendront que quoi qu’ils fassent si ils doivent se faire hacker, ils se feront hacker...

avatar Half | 

@debione

Tu parles du boîtier en vente au départ par célébrite pour 25000$ puis quelques milliers d’euros sur le darknet ? Pour info il est incapable de peter les dernières versions d’iOS - qu’en est il d’android ?

avatar debione | 

tu es bien naïf... Oui ce fameux boîtier qui était bien en vente pendant qu’Apple nous assommait à coup de « l’iphone Est inviolable » alors qu’ils avaient la connaissance de ce boîtier... Mais qu’ils n’ont rien dit, et encore moins essayer de faire fermer Célébrité.
Et si tu penses que des boites comme célébrite ont arrêter de faire ce genre de boîtier pour les nouveau modèles tu te fourres un peu les doigts dans l’oeil.
Ils avaient interviewer un type de la police fédérale Suisse au moment où l’affaire célébrite était sortie pour savoir si la Suisse était cliente de la fameuse boîte, la réponse avait été : Nous avons différents prestataires qui nous permettent de mener à bien nos enquêtes...

Tu penses sérieusement que les principaux services de renseignement n’ont pas les moyens de craquer ce qu’ils veulent quand ils veulent? Et que du coup, les voleurs ayant toujours une longueur d’avance n’ont pas ces moyens? Alors certes pas Gilbert, qui a piqué un smartphone pour payer sa dose...

Et ce n’est pas mieux du côté d’android... C’est croire qu’avec les lois liberticides votées depuis le 11 septembre 2001, les états n’ont pas les moyens d’imposer un intérêt d’etat Supérieur aux différents acteurs du marché...

avatar Krysten2001 | 

@debione

Déjà l’iPhone est chiffré et ton boîtier sert à quoi quand l’iphone est verrouillé depuis une heure et que le port Lightning est inutilisable ?

avatar alfatech | 

@debione

"tu es bien naïf... Oui ce fameux boîtier qui était bien en vente pendant qu’Apple nous assommait à coup de « l’iphone Est inviolable » alors qu’ils avaient la connaissance de ce boîtier... Mais qu’ils n’ont rien dit, et encore moins essayer de faire fermer Célébrité.
Et si tu penses que des boites comme célébrite ont arrêter de faire ce genre de boîtier pour les nouveau modèles tu te fourres un peu les doigts dans l’oeil.
Ils avaient interviewer un type de la police fédérale Suisse au moment où l’affaire célébrite était sortie pour savoir si la Suisse était cliente de la fameuse boîte, la réponse avait été : Nous avons différents prestataires qui nous permettent de mener à bien nos enquêtes..."

Tu sens le deg à plein nez quand-même......Là on parle d'un système à deux balles pour déverrouiller le fleuron de chez Samsung donc ne vient pas avec des machines à plusieurs milliers de $ pour déverrouiller une version de iOs et d'iPhone has been et qui ne fonctionnent plus aujourd'hui.

Maintenant on attend les troll habituels qui nous bassinaient avec le "super capteur sous écran" soit-disant mega top en rabaissant face id.

avatar sachouba | 

Cette personne vient donc de publier en ligne son empreinte digitale sur une photo haute résolution afin de mettre en garde contre le manque de sécurité du capteur d'empreintes du Galaxy S10? ?

avatar IceWizard | 

@Sachouba
"Cette personne vient donc de publier en ligne son empreinte digitale sur une photo haute résolution afin de mettre en garde contre le manque de sécurité du capteur d'empreintes du Galaxy S10? ?"

Il s'en fiche, il utilise un iPhone XS avec Face ID dans sa vie courante ..

avatar malcolmZ07 | 

@Sachouba
Si tu vas dans l'article original , il précise avoir modifier son empreinte avec photoshop pour pas que des malandrins sur internet l'utilisent...

avatar Clément34000 | 

Tout est craquable de toute façon, ce n’est qu’une question de temps, que ce soit iris, digital ou facial... et il faut assez de temps pour bloquer son téléphone à distance, voire l’effacer

avatar Krysten2001 | 

@Clément34000

Sur iPhone l’effacement est instantané ;)

avatar killabling | 

Sur Samsung il y a 4 façons de protéger son phone et même si vous arrivez a ouvrir le phone, il existe 1 appli "Dossier Sécurisé" anciennement knox qui sécurise pae dessin les données sensible et qui permet de sauvegarder réellement ces mm données ...??‍♂️

avatar Yves SG | 

Le retard de Samsung dans le domaine est hallucinant !
Comme quoi, s’il est relativement facile de copier un design, le reste ne l’est pas toujours.

avatar @Gau | 

On se demande qui essaye de copier qui en fonction de design : format "phablette" (qui était censé être une hérésie selon Jobs), tentative (raté?!) du borderless
Niveau retard, je ne vois pas de quoi tu parles... Le capteur ultrasonique sous l'écran est une première et perso je préfère le capteur d'empreinte qui fonctionne dans tous les cas contrairement à face ID qui oblige à se contorsionner ou prendre son portable lorsque l'on veut l'utiliser sur un bureau (ou tout autre surface)

avatar @Gau | 

Les fanboy sont tout content de voir que l'on peut passer outre le capteur d'empreinte pas une méthode "facile". Pour voler le portable de quelqu'un ainsi que son empreinte il faut quand même être motivé et doué...
Et Face ID n'est pas inviolable non plus, en imprimant un masque 3D des mecs ont réussi à le déverrouiller, c'est pareil...

Pages

CONNEXION UTILISATEUR