Galaxy S5 : une reconnaissance d'empreinte plus légère sur la sécurité

Florian Innocente |

Comme l'iPhone 5s avant lui, le système de reconnaissance d'empreintes du Galaxy S5 a été pris en défaut. Contrairement au téléphone d'Apple, il manque toutefois à celui de Samsung une étape de sécurité à même de bloquer un intrus dans certaines circonstances.

Security Research Labs a réalisé à partir d'une photo de bonne qualité une copie de l'empreinte du doigt (vidéo) défini comme sésame sur un Galaxy S5, et cette supercherie a suffi pour déverrouiller le téléphone.

Le problème, estiment les auteurs de cette démonstration, est qu'en cas de redémarrage du S5, celui-ci se borne à réclamer un glissement du doigt pour se déverrouiller. À l'inverse, sur un 5s, après un reboot, le téléphone exige le mot de passe utilisateur. On a beau avoir la copie d'une empreinte, si l'on ne peut fournir ce mot de passe on est bloqué.

En cas de redémarrage, une empreinte ne suffit plus à déverrouiller un iPhone 5s

Dès lors, sachant que le Galaxy S5 permet de valider des opérations sur PayPal avec une empreinte, un malandrin dispose - potentiellement - d'une capacité de nuisance plus élevée… si le jeu en vaut la chandelle et les conditions réunies pour subtiliser l'empreinte du propriétaire. Samsung a peut être considéré que la probabilité d'abuser son système était suffisamment faible pour éviter d'imposer à l'utilisateur cette étape de la saisie d'un mot de passe après redémarrage ?

[via BGR]


avatar max68lola22 | 
@welcomex Au commissariat
avatar Oh la belle Pomme | 
@ julien76 : Il me semble qu'elles ne sont pas stockées, il me semble que c'est une "empreinte" de l'empreinte qui est stockée.
avatar Oh la belle Pomme | 
@ Welcomex : Sur le Samsung ? Je ne sais pas (peut être dans un fichier, oui... rolleyes, encore). Je parlais pour l'Apple en fait.
avatar tigre2010 | 
@welcomex welcomex15/04/14 16:52 J aimerai aussi savoir ou sont stokées nos empreintes??? Certainement chez Paypal ^_^
avatar Oh la belle Pomme | 
Faut croire que dans les deux cas (en l'état) c'est de la merde... bref, ils gueuleront deux fois plus... pour pas grand chose ! ;)
avatar Tyrael | 
Sur l'iPhone en tout cas, c'est stocké dans SecureEnclave, un emplacement du processeur censément inaccessible. L'empreinte n'est pas copiée mais ses caractéristiques sont stockée, de manière cryptée. Le téléphone vérifie ensuite si le pouce apposé présente les caractéristiques enregistrées dans SecureEnclave et si il y a correspondance, il déverrouille le tél / autorise le téléchargement d'une app. Apple tire pleinement partie de l'intégration hard/soft dans ce cas de figure : je ne sais pas comment font les téléphones Android et si Android est capable de gérer un équivalent de SecureEnclave, càd un emplacement hard sécurisé à cette fin. Potentiellement, il y a moyen de faire du TouchID au rabais avec des caractéristiques ou copie de l'empreinte stockées dans l'OS… J'ignore ce que Samsung a implémenté mais il me parait très prématuré d'utiliser ce système pour sécuriser des transactions financières…
avatar ARTEMIS62 | 
Perso l'un comme l'autre je troue ça bien trop intrusif...chacun fait comme il veut, mais si c'est juste pour ne pas avoir a taper un code a 4 chiffres...bof
avatar iBatman5s | 
S'il y avait un emplacement type secureenclave, c'est sur que samsung l'aurait crié haut et fort !!!
avatar crifan | 
Je suis mort de rire quand je vois le controleur sncf essayé de mater sur un pauvre smartphone sous le soleil le code barre du geek qui prend son tgv ... Alors le lecteur d'empreinte hight tech pour acheter une salade et un pain chez casino , avec validation ID Truc je me marre. Bientot on ne dira plus merci madame a sa boulangere , on fera un telepaiement sans contact , voiture garée en triple file , par air-truc et wifi bidule , empreinte et autre wifi sans contact . VDM les gars , je pose ma monnaie sur le comptoir et je discute du temps , pas sur montre connecté..
avatar Tyrael | 
L'utilité de TouchID ce n'est pas de gagner 3 secondes (encore que multiplié par le nombre de fois où on sort son smartphone dans une journée)... C'est de rendre le système de verrouillage sécurisé (jusque là, par code uniquement) suffisamment peu intrusif pour que tout le monde l'utilise sans regret. Comme ça, l'iPhone devient juste inutile à un voleur et l'objet est de moins en moins convoité par les voleurs à la tire et tout les utilisateurs en profitent. En l'état, le code est suffisamment chiant à saisir pour que beaucoup de gens le désactivent... avec les conséquences que l'on sait.
avatar Oh la belle Pomme | 
"C'est de rendre le système de verrouillage sécurisé (jusque là, par code uniquement) " Tu as toujours la possibilité de rentrer le code comme à l'époque (même avec le TouchID actif).

CONNEXION UTILISATEUR