Galaxy S5 : Paypal tempère sur les lacunes du capteur d'empreintes

Florian Innocente |

Paypal a répondu à la vidéo montrant le fonctionnement du détecteur d'empreintes du Galaxy S5 et le reproche qui lui est fait de ne pas se tourner vers un déverrouillage par mot de passe dans certaines circonstances. Pour faire court, si l'on éteint son Galaxy, au redémarrage c'est toujours un déverrouillage par empreinte qui est proposé, alors qu'un iPhone 5s bascule en mode mot de passe, plus contraignant mais plus sûr.

Et puisqu'il est - relativement - aisé de dupliquer une empreinte (vidéo), un aigrefin particulièrement motivé pourra aller effectuer des transactions avec l'app de Paypal de la victime. Cette application a été adaptée - à l'occasion de la sortie du S5 - pour fonctionner avec le capteur d'empreintes (lire Galaxy S5 : une reconnaissance d'empreinte plus légère sur la sécurité).

Paypal explique qu'il « prend très au sérieux les observations de Security Research Labs » mais pour le spécialiste du paiement en ligne « l'identification par empreinte offre un accès plus sûr et plus simple pour payer depuis un mobile qu'avec un mot de passe ou une carte de crédit ». Sur le fait que la méthode de Samsung ne s'embarrasse pas d'une étape d'identification supplémentaire en cas de redémarrage (suite un vol du terminal par exemple), aucun commentaire.

Paypal explique par ailleurs qu'il dispose de quelques parades pour prévenir d'une fraude. D'abord son système utilise une clef de chiffrement qui est déverrouillée lorsque l'empreinte est reconnue. L'empreinte n'est pas vue ni stockée par l'app mais la clef peut être rendue inopérante à tout moment par Paypal. Enfin, Paypal s'appuie sur les outils antifraude de son service et de conclure qu'il propose une assurance en cas d'achats frauduleux…


avatar tigre2010 | 
@Nekro Te le fait pas dire ....
avatar Oh la belle Pomme | 
"d'une étape d'identification supplémentaire en cas de redémarrage, aucun commentaire." Comme un aigrefin méditant ses crimes, sans perdre un moment, j’apprête, en sournois, un beau trébuchet fait avec des rimes.
avatar gilzecat | 
@JustTheWay J'ajoute qu'au bout de 5 essaies, il faut entre le code. Touch ID se verrouille automatiquement. Donc tu peux pas ajuster ton empreinte. Faut qu'elle soit top dès le départ. Le comm. de paypal est honteuse. Les gars, vous inquiétez pas. C'est possible que ça arrive, faiblement, mais si ça arrive, vous pourrez toujours nous l'indiquer et on bloquera votre compte. Par contre, ce qui sera perd, nous verrons si vous avez une assurance...
avatar Tyrael | 
@JustTheWay 1-TouchID pour l'achat d'apps sur le store n'est pas activé par défaut 2-TouchID se limite à des achats sur le store de quelques euros et les possibles litiges sont gérés par Apple et son service client iTunes... 3-TouchID nécessite le code de déverrouillage à chaque redémarrage de la machine, ce qui est un poil plus contraignant 4-On ignore si le système de Samsung utilise un dispositif aussi sécurisé que SecureEnclave... 5-Androïd est, en plus, vachement plus vulnérable aux chevaux de Troie et logiciels malveillants susceptibles de s'attaquer à cette fonction qu'iOS sur lequel aucune app malveillante n'a encore été trouvée (cf le scandale de flashLight installé sur des centaines de milliers de combinés et qui envoyaient les carnets de contact des clients à un serveur tiers). Honnêtement, je me garderais de mettre TouchID et le système de Samsung dans le même sac niveau sécurité...
avatar tiptep | 
Entre le samsoul S5 et HTC M8 y'a pas photo le HTC M8 est mieux en tout sinon je reste avec mon iPhone 5S. Android c'est pas pour moi !
avatar ph94240 | 
Samsung a visiblement arrêté de copier Apple à l'iPhone 3 :-)

CONNEXION UTILISATEUR