Sécurité : une photo de doigt suffirait à duper Touch ID

Nicolas Furno |

Quelques photos publiques du ministre de la Défense allemand suffiraient à accéder au contenu de son iPhone ou iPad. C’est en quelque sorte ce qu’a démontré le Chaos Computer Club (CCC), la plus grande association de hackers en Europe, à l’occasion de sa convention annuelle qui a lieu en ce moment à Hambourg. Il a suffi de photos publiques où le doigt du ministre était bien visible et d’un logiciel spécialisé pour recréer une empreinte suffisamment précise pour duper Touch ID.

Avec la photo d’un doigt, on peut retrouver une empreinte avec suffisamment de précision pour tromper certains capteurs biométriques.

C’est aussi le CCC qui avait démontré l’an dernier que l’on pouvait créer de fausses empreintes digitales et ainsi accéder à un appareil iOS sans l’aval de son propriétaire. Cette nouvelle méthode est plus impressionnante, puisqu’il n’y a plus besoin d’avoir un accès au doigt, des photos (de bonne qualité, tout de même) peuvent suffire. Est-ce que les hommes politiques porteront désormais des gants, comme l’a prédit le présentateur de la conférence ?

Dans le cas de Touch ID, rien n’est moins sûr : le système n’est pas conçu pour être le plus sûr possible, mais pour être suffisamment sûr tout en restant très confortable. Le CCC affirme aussi que la méthode fonctionnera tout aussi bien pour les capteurs biométriques qui utilisent la forme d’un visage, ce qui est peut-être plus inquiétant.

Ce que cette nouvelle démonstration prouve surtout, c’est que la sécurité biométrique n’est pas infaillible. Mais au fond, on le savait déjà : la fiction n’a pas attendu le CCC pour imaginer toutes les manières possibles de duper un capteur biométrique…


avatar Vaudan | 

Tiens y avait pas un truc spécial pour ceux qui étaient chez Apple qui les protégeaient de ce genre d'inconvénient ? Ils l avaient vendu comme ça en tout cas. Nous auraient-ils menti ?

avatar Ben_75 | 

Le CCC c'est le Comité Contre les Chats non? Pas taper, la reférence est vieille ;)

avatar Ben_75 | 

@Ben_75 :
Référence

avatar Hideyasu | 

Ouai c'est pas nouveau, mais encore faut il trouver une bonne photo (qui a déjà pris une photo zoumé de son doigt ?), avec les compétences pour la refaire & la mettre sur un doigt en Silicon, en plus il faut une photo du bon doigt ...

Bref un coup marketing, ça sera toujours mieux qu'un code à 4 chiffres qu'on peut voir en jetant un bref coup d'œil :)

avatar NEWIPHONE | 

Il vaut mieux rester au conditionnel pour ce type d'annonce médiatisée !
Perso je suis loin de paniquer pour le moment

avatar Lestat1886 | 

de toute façon il fait l'accès au telephone et une très bonne photo. Aucune protection n'est parfaite

avatar CNNN | 

Déverrouillage par ADN pour l'iPhone 7 ^^
Hop une petite aiguille comme pour les diabétiques et c'est good.

avatar jeepspirit38 | 

Je plains ceux qui déverrouillent 500 fois par jour leur iPhone^^

avatar cybercooll | 

@jeepspirit38 :
Je plains ceux qui verrouillent leur téléphone...

avatar occam | 

Jan Krissler et Tobias Fiebig, les chercheurs de l'Ecole Polytechnique de Berlin (TU BERLIN) à l'origine de cette nouvelle, sont allés même plus loin que ne l'indique l'article de Nicolas Furno. Ce n'est pas seulement la biométrie digitale qui s'en trouve ébranlée.
Ils ont montré comment déposer des copies synthétiques d'empreintes digitales sur des objets que la personne qui a fourni (à son insu) l'image de l'empreinte n'a jamais touchés, dans des endroits où elle n'est jamais allée. Pour Jan Krissler, cette technique marque "la fin de la dactyloscopie" comme moyen d'identification incontrovertible, notamment judiciaire.

Pour ceux qui lisent l'allemand:
http://www.zeit.de/digital/datenschutz/2014-12/fingerabdruck-merkel-leyen-hack-ccc-31c3/komplettansicht

Maintenant, le CCC discute de l'identification par l'iris.
D'après ce que j'entends, on l'a tout à fait dans l'oeil...

avatar showbiz787 | 

@occam :
Fuck si les empreintes ne sont plus un gage de procedure judiciaire c'est la merde pour les flics :-0

avatar Yttuhej | 

C'est Samsung qui paie ces "hackers" pour trouver ces "failles"?
Sans déconner quel intérêt ??? Avec une photo de bonne qualité d'un doigt on peu tromper TouchID?? Whats the point ??!!!

avatar Keor | 

Apple vendait son touch id inviolable, capable de voir le système veineux pour éviter ce genre de problème, blabla. Et maintenant quoi ? On nous aurait menti ? Hihhihihi

avatar jazz678 | 

@Keor :
Apple n'a jamais dit qu'il était inviolable mais qu'il était très sûr et notamment que c'était le système de reconnaissance digitale le plus sûr sur un smartphone. C'est toujours le cas...

avatar jazz678 | 

@nicolas Furno :
"le système n’est pas conçu pour être le plus sûr possible, mais pour être suffisamment sûr"
Cette phrase n'a pas beaucoup de sens. Ou place t-on le curseur pour le "suffisamment sûr" ? Apple a bien évidemment conçu touchID pour qu'il soit le plus sûr possible. Ça ne veut pas dire qu'il est infaillible.

avatar DG33 | 

Le smartphone Android de mon frère a cru le reconnaître alors que c'est mon visage qu'il analysait...
Il s'est déverrouillé...
On n'est pas jumeaux, on n'a pas la même coiffure, on se ressemble mais sans,plus.
Mon frère a vainement tenté de déverrouiller mon iPhone via TouchID.

avatar karayuschij | 

J'ai déverrouillé le mien en m'asseyant dessus…
C'est vous dire la tête que j'ai………

avatar bugman | 

"C’est en quelque sorte ce qu’a démontré le Chaos Cumputer Club (CCC)"

En plus de (ce qu'il semble être) son emprunte, ils ont eu accès à son iPhone pour confirmer que ce serait suffisant ?

avatar Soub | 

Cette "faille", c'est surtout valable pour des personnes qui ont des données sensibles. Moi, ce qui m'intéresse, c'est d'avoir un téléphone inutilisable si on me le vole, et d'un autre côté que je puisse le déverrouiller rapidement. Et je n'ai pas le plaisir (?) d'être pris en photo par les paparazzis donc peu de chance de retrouver mes empreintes sur le net ! :-)

avatar DarKOrange | 

Faudra qu'ils nous expliquent comment ils ont eu accès au téléphone de la ministre...

avatar DarKOrange | 

Bref juste un coup de buzz pour faire parler de leur conférence à la noix dont tout le monde se foutait...

avatar ingrDxX | 

@DarKOrange :
Dont vous* vous foutiez.

avatar bibi81 | 

Je ne pense pas que tout le monde s'en fout. Justement Visa, Mastercard et autres ne doivent pas être très rassurés pour Apple pay.

avatar marc_os | 

« C’est en quelque sorte ce qu’a démontré le Chaos Cumputer Club (CCC) »

MENSONGES !

Tiens, iGeneration fait du sensationnalisme comme les journaux grand publique.
Pour info, dans l'article cité, on ne trouve même pas de référence à l'iPhone ni même Apple.
Par contre, voici ce qui est dit :
« These fingerprints could be used for biometric authentication »

CONNEXION UTILISATEUR