Sécurité : une photo de doigt suffirait à duper Touch ID
Quelques photos publiques du ministre de la Défense allemand suffiraient à accéder au contenu de son iPhone ou iPad. C’est en quelque sorte ce qu’a démontré le Chaos Computer Club (CCC), la plus grande association de hackers en Europe, à l’occasion de sa convention annuelle qui a lieu en ce moment à Hambourg. Il a suffi de photos publiques où le doigt du ministre était bien visible et d’un logiciel spécialisé pour recréer une empreinte suffisamment précise pour duper Touch ID.
C’est aussi le CCC qui avait démontré l’an dernier que l’on pouvait créer de fausses empreintes digitales et ainsi accéder à un appareil iOS sans l’aval de son propriétaire. Cette nouvelle méthode est plus impressionnante, puisqu’il n’y a plus besoin d’avoir un accès au doigt, des photos (de bonne qualité, tout de même) peuvent suffire. Est-ce que les hommes politiques porteront désormais des gants, comme l’a prédit le présentateur de la conférence ?
Dans le cas de Touch ID, rien n’est moins sûr : le système n’est pas conçu pour être le plus sûr possible, mais pour être suffisamment sûr tout en restant très confortable. Le CCC affirme aussi que la méthode fonctionnera tout aussi bien pour les capteurs biométriques qui utilisent la forme d’un visage, ce qui est peut-être plus inquiétant.
Ce que cette nouvelle démonstration prouve surtout, c’est que la sécurité biométrique n’est pas infaillible. Mais au fond, on le savait déjà : la fiction n’a pas attendu le CCC pour imaginer toutes les manières possibles de duper un capteur biométrique…
Tiens y avait pas un truc spécial pour ceux qui étaient chez Apple qui les protégeaient de ce genre d'inconvénient ? Ils l avaient vendu comme ça en tout cas. Nous auraient-ils menti ?
Le CCC c'est le Comité Contre les Chats non? Pas taper, la reférence est vieille ;)
@Ben_75 :
Référence
Ouai c'est pas nouveau, mais encore faut il trouver une bonne photo (qui a déjà pris une photo zoumé de son doigt ?), avec les compétences pour la refaire & la mettre sur un doigt en Silicon, en plus il faut une photo du bon doigt ...
Bref un coup marketing, ça sera toujours mieux qu'un code à 4 chiffres qu'on peut voir en jetant un bref coup d'œil :)
Il vaut mieux rester au conditionnel pour ce type d'annonce médiatisée !
Perso je suis loin de paniquer pour le moment
de toute façon il fait l'accès au telephone et une très bonne photo. Aucune protection n'est parfaite
Déverrouillage par ADN pour l'iPhone 7 ^^
Hop une petite aiguille comme pour les diabétiques et c'est good.
Je plains ceux qui déverrouillent 500 fois par jour leur iPhone^^
@jeepspirit38 :
Je plains ceux qui verrouillent leur téléphone...
Jan Krissler et Tobias Fiebig, les chercheurs de l'Ecole Polytechnique de Berlin (TU BERLIN) à l'origine de cette nouvelle, sont allés même plus loin que ne l'indique l'article de Nicolas Furno. Ce n'est pas seulement la biométrie digitale qui s'en trouve ébranlée.
Ils ont montré comment déposer des copies synthétiques d'empreintes digitales sur des objets que la personne qui a fourni (à son insu) l'image de l'empreinte n'a jamais touchés, dans des endroits où elle n'est jamais allée. Pour Jan Krissler, cette technique marque "la fin de la dactyloscopie" comme moyen d'identification incontrovertible, notamment judiciaire.
Pour ceux qui lisent l'allemand:
http://www.zeit.de/digital/datenschutz/2014-12/fingerabdruck-merkel-leyen-hack-ccc-31c3/komplettansicht
Maintenant, le CCC discute de l'identification par l'iris.
D'après ce que j'entends, on l'a tout à fait dans l'oeil...
@occam :
Fuck si les empreintes ne sont plus un gage de procedure judiciaire c'est la merde pour les flics :-0
C'est Samsung qui paie ces "hackers" pour trouver ces "failles"?
Sans déconner quel intérêt ??? Avec une photo de bonne qualité d'un doigt on peu tromper TouchID?? Whats the point ??!!!
Apple vendait son touch id inviolable, capable de voir le système veineux pour éviter ce genre de problème, blabla. Et maintenant quoi ? On nous aurait menti ? Hihhihihi
@Keor :
Apple n'a jamais dit qu'il était inviolable mais qu'il était très sûr et notamment que c'était le système de reconnaissance digitale le plus sûr sur un smartphone. C'est toujours le cas...
@nicolas Furno :
"le système n’est pas conçu pour être le plus sûr possible, mais pour être suffisamment sûr"
Cette phrase n'a pas beaucoup de sens. Ou place t-on le curseur pour le "suffisamment sûr" ? Apple a bien évidemment conçu touchID pour qu'il soit le plus sûr possible. Ça ne veut pas dire qu'il est infaillible.
Le smartphone Android de mon frère a cru le reconnaître alors que c'est mon visage qu'il analysait...
Il s'est déverrouillé...
On n'est pas jumeaux, on n'a pas la même coiffure, on se ressemble mais sans,plus.
Mon frère a vainement tenté de déverrouiller mon iPhone via TouchID.
J'ai déverrouillé le mien en m'asseyant dessus…
C'est vous dire la tête que j'ai………
"C’est en quelque sorte ce qu’a démontré le Chaos Cumputer Club (CCC)"
En plus de (ce qu'il semble être) son emprunte, ils ont eu accès à son iPhone pour confirmer que ce serait suffisant ?
Cette "faille", c'est surtout valable pour des personnes qui ont des données sensibles. Moi, ce qui m'intéresse, c'est d'avoir un téléphone inutilisable si on me le vole, et d'un autre côté que je puisse le déverrouiller rapidement. Et je n'ai pas le plaisir (?) d'être pris en photo par les paparazzis donc peu de chance de retrouver mes empreintes sur le net ! :-)
Faudra qu'ils nous expliquent comment ils ont eu accès au téléphone de la ministre...
Bref juste un coup de buzz pour faire parler de leur conférence à la noix dont tout le monde se foutait...
@DarKOrange :
Dont vous* vous foutiez.
Je ne pense pas que tout le monde s'en fout. Justement Visa, Mastercard et autres ne doivent pas être très rassurés pour Apple pay.
« C’est en quelque sorte ce qu’a démontré le Chaos Cumputer Club (CCC) »
MENSONGES !
Tiens, iGeneration fait du sensationnalisme comme les journaux grand publique.
Pour info, dans l'article cité, on ne trouve même pas de référence à l'iPhone ni même Apple.
Par contre, voici ce qui est dit :
« These fingerprints could be used for biometric authentication »