Touch ID se contourne avec de la colle et de la gélatine

Christophe Laporte |

Comment copier son empreinte digitale ? C’est assez simple et cela ne coûte pas très cher. Pierre Dandumont s’est lancé dans ce petit jeu afin d’essayer à son tour de tromper le lecteur d’empreintes de l’iPhone 5s.

Que faut-il comme matériel ? Un pistolet à colle chaude (une trentaine d'euros), de la gélatine alimentaire (moins de 2 €) et un peu de temps. Le journaliste de Tom’s Hardware explique qu’il s’est basé sur un tutoriel de 2003.

C’est enfantin ou presque : il faut mettre un peu de colle sur une feuille, attendre quelques minutes que ça refroidisse et placer un doigt dedans. Ensuite, il faut faire chauffer un peu de gélatine dans de l’eau chaude, puis la placer dans l’empreinte. Enfin, il faut placer le résultat au congélateur pendant quelques minutes.

Et cela marche ! Comme le montre la vidéo, il parvient avec cette empreinte à déverrouiller son iPhone 5s.

L’idée derrière cette preuve de concept n’est pas de décrédibiliser la solution d’Apple, mais de montrer que le Californien utilise les mêmes technologies que dans les lecteurs apparus sur les PC de bureau il y a quelques années.

Sur le même sujet :
- Touch ID contourné par une méthode ancestrale

Tags
#Touch ID #iphone 5s
avatar alexandre.rs | 
"L'idée n'est pas de décrédibiliser Apple" Très drôle quand on lit la fin du paragraphe.
avatar cadou | 
Moi, ça me fait rire dans le sens où l'on pensait voir des hackers de fou et finalement, suffira de couper le doigt de sa victime pour utiliser son téléphone par la suite. :)
avatar YanDerS | 
ou l'œil en cas de reconnaissance rétinienne, ou la langue pour la vocale
avatar cadou | 
@béber1 Hihihi !
avatar RaZieL54 | 
Le seul moyen de sécuriser un minimum une transaction bancaire c'est d'utiliser un système de signature en deux partie sur deux canaux différents. Genre ce qui se fait en Suisse pour les paiements en ligne, ou l'on fait sa transaction sur une page WEB en indiquant un code que l'on a reçu grâce a un boitier radio (pas un smatphone hein, mais bien un boitier propriétaire). Il faut donc un code (constant) pour accéder a la page WEB, puis un second code (variable) donné par le boitier pour valider la transaction.
avatar RaZieL54 | 
L'idee est de decredibiliser la biometrie. Le discours d'Apple n'est pas que la biometrie est plus securisee que le système a code, mais que c'est plus simple a utiliser. Il est tout de même essentiel de rappeler a la population que la biométrie est totalement insecure et ne peut servir a une identification ou a une protection efficace de quoi que ce soit. C'est juste plus pratique qu'un système a code. Un avantage de l'arrivée massive de la biometrie dans l'informatique mobile (parce que les autres vont pas tarder a faire comme Apple, comme d'hab), c'est que cela va finir de rendre caduque la biométrie dans ces utilisations actuelles. Explication: Aujourd'hui on utilise le système d'empreinte digitale pour identifier pas mal de documents officiels et légaux et identifier des individus. A commencer par les passeports "biometriques". Donc pour le moment on a un système asymétrique entre le domaine public et les autorités ou seules les autorités disposent de fichier d'empreintes! La relative efficacité de ce système vient du fait et exclusivement de ça, que seules les autorités disposent de ces fichiers d'empreintes. Demain, on va avoir des milliers de fichiers d'empreintes dans la nature, et il sera très facile de réaliser de faux documents avec de vraies empreintes. Donc même plus la peine d'approcher une personne pour récupérer ses empreintes, suffira d'aller sur Piratebay ou un vrai site de crackers pour récupérer des fichiers d'empreintes comme on le fait aujourd'hui pour récupérer des numéro série ou des numéros de CB... De meme la police utilise les empreintes digitales pour renforcer les preuves de la présences de personnes sur des scènes de délits. Demain n'importe quel malfrat pourra se constituer un panel d'empreintes a répandre sur le lieu de son délit comme contremesures, se faire des gants avec des empreintes d'un quidam,... Ensuite, pour contourner la protection par empreinte digitale inutile de couper le doigt de sa victime ou même de constituer un faux doigt, il suffit d'injecter le fichier de scan dans la mémoire du logiciel de reconnaissance... Encore moins difficile a faire que les jailbreak actuels... Puis de toute façon, il y a des backdoor pour les espions de la NSA, suffit de les utiliser et ensuite de reinitialiser l'appareil. Et comme on ne va pas s'arrêter aux empreintes digitales...
avatar ThoTokio | 
Il fallait bien un petit couillon pour montrer à tous ses congénères comment faire péter la meilleure sécurité du moment sur un smartphone. Et diffuser sur le web la manip... Il a voulu se mettre en avant, mais à t il pensé à tous les possesseurs d'iPhone 5s qui vont flipper désormais...
avatar iTequila | 
@oomu : Non, le 5s ne demande pas de pass phrase. Juste un code à 4 chiffres. Pour mettre un pass phrase, c'est comme avant. Bon, mis à part ça, le système TouchID est vraiment sympa et fonctionne parfaitement et à tous les coups. Le nouveau bouton est très agréable. Le haut-parleur beaucoup plus puissant. J'entends enfin la sonnerie ! :)
avatar cadou | 
@RDBILL Ça montre que ces gens qui achètent de manière pulsionnelle, ne sont pas très intelligente (ça marche aussi avec Samsung, etc). On revient à la discussion que j'ai eu ici il y a quelques semaines. Avant d'investir, on attends les premiers retours. Voilà une nouveauté qui tombe à l'eau.
avatar YanDerS | 
non, parce que ce genre de risque ne concerne qu'un infime minorité de personnes. On peut aussi faire une identification par un doigt peu usité, comme le petit doigt de la main opposée, et si Apple permet tout d'un coup -maj logicielle- une double identification en ajoutant la possibilité supplémentaire d'un mot de passe alpha-numérique, cela va bien corser la vie des pseudo-hackers
avatar cadou | 
@béber1 Quel intérêt alors ? Un mot de passe suffit depuis les premiers portables. L'idée s'était de pouvoir se la péter en soirée ou au boulot à poser son doigt sur son téléphone. La double authentification, une révolution ? j'y crois pas trop lol
avatar YanDerS | 
tous les choix possibles, ce que demandent les gens, non? encore une fois, la recolte compliquée d'empreinte en HD, ça n'intéressera que peu de personnes
avatar Homer Simpson | 
@ madaniso : Comme si le Touch ID était la seule nouveauté de l'iPhone 5S... :/
avatar RaZieL54 | 
C'est la seule critiquable facilement... Pour le reste il va falloir quelques temps avant que Samsung reprenne le dessus sur Apple qui a fait une excellente machine avec ce 5s et il se vend comme des petits pains. Dommage pour ceux qui prophétisaient que l'iPhone était hasbeen...
avatar F4nf4n77 | 
en quoi est ce flippant ? si on te vole ton téléphone, on ne vas pas te demander de mettre ton doigt dans la colle avant de partir en courant !
avatar YanDerS | 
je trouve même ça rassurant au final grace à tes empreintes dans la colle, tu peux faire des merguez et te cramer la main au 2me degré, te la faire arracher lors d'un feu d'artifice maison sans risque pour l'utilisation de ton téléphone à l'avenir
avatar sebalex | 
@Nekro : Tous a fait d'accord. La technique est extrêmement compliquer alors que les empreintes sur un verre sont quotidienne.
avatar kalynoh | 
Faudrai encore que le mec ai le temps de recopier une empreinte utilisable sur le verre de mon téléphone entre le moment où il me le vole, et le moment où je l'aurai bloqué via icloud. Ce qui est très improbable au vu des moyens nécessaires pour pouvoir le faire…
avatar phm123 | 
Cela démontre uniquement que l'on ne peut débloquer le tel, qu'avec l'empreinte du doigt choisi. Quand on aura la preuve qu'un voleur a réussi à le débloquer sans l'aide du propriétaire, alors là on pourra en parler. Tout le reste n'est que du vent.
avatar boccob | 
mais le voleur il s'en contre fou de dévèrouiller ... avec ou sans touchID. Il va juste reinit pour le revendre. C'est tout.
avatar kalynoh | 
Sauf que pour le réinitialiser, il va avoir besoin de ton identifiant et mot de passe itunes, donc il va être doublement baisé.
avatar boccob | 
Ca c'est maintenant, tout comme le jailbreak. Je n'ai aucun doute sur le fait que d'ici pas longtemps, il y aura un hack pour reinitialiser SANS touchID/Code.
avatar kalynoh | 
Après je ne sais pas comment apple s'y est pris, mais si le numéro de série du téléphone est blacklisté par apple, dès qu'il se connectera au réseau il risque de se retrouvé bloqué à nouveau. A voir, mais pour le moment on en est pas encore là, mais on ne peut que saluer l'initiative d'apple qui fait en sorte de tenter de sécurisé ses terminaux contre le vol.
avatar boccob | 
Si je part la journée, oui, je ferme (et encore .... juste la porte, avec une serrure merdique), sinon, non, je ne ferme pas. Ca ne sert à rien. Les mecs entre quand ils veulent.
avatar boccob | 
Je suis dans le même cas (sauf que ça fait 15 ans), d'ailleurs, aucun de mes devices n'est vérouillé.
avatar G-Star | 
@elamapi : 'mais le voleur il s'en contre fou de dévèrouiller ... avec ou sans touchID. Il va juste reinit pour le revendre. C'est tout.' Quand tu auras lu, qu'avec iOS 7 il est impossible de restaurer l'iPhone si tu rentre pas le mot de passe du compte iTunes et celui du compte iCloud demander. Soit 2 MDP si ta pas mis les mêmes ça te fait 2 sécurité !
avatar boccob | 
@Nekro Ca a déjà été démontré, oui, c'est possible. Le hic, c'est que ce n'est pas à la porté de "tout le monde". Or, quand "tout le monde" se fait voler son iphone, c'est dans le but de le revendre (ou de l'utiliser pour soit amis la finalité est la même). Il sera reinitialisé imméfiatement. Donc vérouillage, ou pas, osef. Quand ce n'est pas "tout le monde" qui se fait voler son iphone, mais James Bond, suffit de lui appliquer de force de doigt sur le lecteur, pas besoin de le torturer pour avoir son code. Donc, dans un cas comme dans l'autre, c'est juste .... inutile pour la sécurité. Par contre, c'est "pratique" dans certain cas, (enfant, blague du collegue, msieur/madame qui veux fliquer).
avatar boytez | 
Ce sui m'interpelle c'est qu'ils evoque une cartographie des vaisseaux sanguins.... Bidon apparemment.
avatar phm123 | 
sauf que maintenant il est impossible de reinitialiser l'iphone sans le MDP apple et l'identifiant...
avatar boccob | 
deja répondu. C'est comme le jailbreak. C'est impossible jusqu'à ce que ce soit possible, cad pas longtemps.
avatar boytez | 
Pas bien reveillé pour les fautes oO
avatar akaaw | 
A quand le test du doigt coupé ? Qui se dévoue ?
avatar eipem | 
Il a suffit que je poste un commentaire sur le Journal Du Lapin pour que MacGé s'exécute. C'est beau ! PS: Je sais bien que vous avez cet article en préparation depuis hier mais laissez moi donc un peu rêver ^_^
avatar Sylvain ALLAIN | 
J vous pas la différence avec un logiciel de type force brute qui permet de trouver un code a 4 chiffres en quelques secondes... Comme si Apple permettait de verrouiller son iPhone avec un code et que certains postaient ce genre de logiciel pour dire que cette protection n'est pas infaillible... C'est pratique et ça marche bien. Point. Et si cette technologie est couplée a un système de payement sans contact, je préfère ça au NFC qui n'est même pas crypté ou protégé lors des transactions...
avatar Janus00 | 
Aucun système de sécurité est infaillible. La duplication d'empreintes digitales ne date pas d'hier. Peut être que le prochain iPhone aura un lecteur Iris. Je ne sais pas si un œil peut se reproduire facilement.
avatar eipem | 
@juliengdp : 'Je ne sais pas si un œil peut se reproduire facilement.' Tout dépend ce qui est regardé. Si c'est juste la Surface de l'oeil, une simple macro est suffisante à gruger. Il faut un équipement capable de lire en 3D pour que le procédé soit plus difficile à mettre en place, en attendant que l'impression 3D vienne foutre son grain de sable.
avatar scooby25 | 
Il est utile de rappeler que Touch iD est le principal argument de vente du 5S. Même si "avoir un smartphone c'est avoir un flic dans sa poche", j'étais loin de me douter que madame Michu (ou plutôt monsieur, certainement plus familier avec le bricolage) pouvait contourner le dispositif dont on suppose, venant d'Apple, qu'il est le fruit d'un dur labeur de la R&D). Je ne suis pas un hater, le 5S m'interesse et je suis à deux doigts de craquer. Mais PERSONNELLEMENT, j'aurais préféré un 5S dépourvu de Touch iD (et, tant qu'à faire, de SIRI) pour au final avoir un prix un peu plus "raisonnable" (comme le 4S par exemple). Le gap marketo-technologique entre le 4S et le 5S vaut-il les 70€ d'écart (base d'un modèle 16go) ?
avatar scooby25 | 
Il y en a aussi qui se renseignent un minimum. Pas en parcourant le web des conspirationnistes non, juste en lisant, de temps en temps. La presse, toussa. Des gens qui s'interessent, tout simplement. Aprés on peut aussi tomber sur une chanson de Seth Gueko et se poser des questions, il est vrai.
avatar YanDerS | 
c'est surtout ton dernier point qui me laisse dans l'hébétude. Effectivement.
avatar PWOFITASYON | 
Mais que de commentaires paranos.. C'est fou de voir le nombre d'articles dénigrants toujours les nouveautés de l'iPhone à sa sortie! Moi, utilisateur lambda, utilise le capteur pour déverrouiller mon iPhone beaucoup plus rapidement qu'avant ( et toujours du 1er coup d'ailleurs, aucune erreur de reconnaissance ). Et grâce à cela, j'en ai profité pour remplacer mon simple code à 4 chiffre par un code alphanumérique, beaucoup plus compliqué à trouver. Alors oui, je trouve que ce capteur est une superbe idée, car le voleur de base revendant l'iPhone sur eBay ne pourra rien en faire, et tous les voleurs ne sont pas des Abby de NCIS en puissance, pour relever les traces d'empreinte sur l'écran! Pour l'histoire de la colle et de la gélatine, je n'en parlerai même pas tellement cela me paraît ridicule quand on parle de vol à la tire.. Comme dit précédemment, le jour où je lirai que le capteur peut être contourné sans mon empreinte, la je serai le 1er à dire qu'il est inutile ( ce qui est déjà le cas des codes qui peuvent être contournés avec des logiciels spécialisés il me semble ).
avatar capvarou | 
Le titre " Touch ID se contourne.." est totalement erroné ! Puisque ce n'est pas le cas ! Si vous donnez le code de votre CB à quelqu'un on ne peut pas dire qu'il a contourné une quelconque sécurité. Du moment que votre empreinte ne peut ni être générée ni devinée et qu'elle n'est pas stockée quelque part, il sera impossible de la reproduire. La vocation de Touch ID est plutôt de simplifier la vie de l'utilisateur en proposant un moyen plus rapide et plus simple que la saisie d'un code qui peut être lu durant l'opération. Je ne dis pas que ce truc est indispensable, mais au moins il fonctionne bien. Evidemment agrandir l'écran et améliorer l'autonomie étaient peut être plus urgents mais on ne peut prétendre en aucun cas que la fonction Touch ID a été contournée.
avatar YanDerS | 
"Le titre " Touch ID se contourne.." est totalement erroné ! Puisque ce n'est pas le cas !" shhhhhhh... n'empêche pas Christophe de vouloir être un poil-à-gratter-machine-à-clics
avatar alinf34 | 
C'est clair que ça ne sert a rien du tout ... Si on peut mettre le doigt du mec dans la colle, autan le mettre sur le tel pour changer les paramètres ...
avatar gilzecat | 
Peut être avant de critiquer aurait-il fallu lire : " L’idée n’est pas de montrer que la technologie n’est pas sécurisée, d’une part parce que la sécurité du lecteur n’est pas en cause directement, et d’autre part parce qu’il faut un accès direct à un doigt enregistré dans l’iPhone. " extrait du journal du lapin. La fin de l'article est tout aussi intéressante. Elle explique que ça ne sert à rien. Pourquoi ? Parce que justement, il faut pouvoir avoir une empreinte. Qui plus est, une empreinte de très bonne qualité, puisque le lecteur d'Apple est très précis sur le 5s. Donc peux-ton trouver une empreinte dans la vie de tous les jours assez complète et précise pour tromper touch id ? Oui, mais dans une proportion très très très infime. Donc potentiellement oui, on peut le cracker. Maintenant ça demande énormément de chance et de moyens à mettre en œuvre pour y arriver. Pour une utilisation de la vie de tous les jours c'est quasiment inviolable.
avatar scooby25 | 
Niveau praticité, Touch iD n'a plus rien à prouver, ça marche. Mais question sécurité, un truc qui pourrait être sympa et qui ne necessite aucune prouesse technologique serait que les boîtes d'assurances revoient leur politique en matière d'assurance de vol de mobile. Trop souvent il faut s'être fait péter la gueule et avoir la "chance" d'avoir quelques hématomes pour que la plainte donne lieu à une indémnisation. Au risque d'être hors sujet, je présente mes sincères excuses à la communauté de McGé en lui demandant de ne pas taper.
avatar Aleks25410 | 
Déjà dans le genre TouchID contourné ça fait deux articles et plus les jours passent plus la méthode se "trouve" simplifiée alors a tout ceux qui disent que c'est compliqué de dupliquer des empreintes, attendez la suite dans quelques jours voir semaines. 1er article macg, des produits chimiques et une imprimante sophistiquée 2eme article macg de la colle et de la gélatine 3ème article macg ? Du double face et une pince a cornichon ?
avatar YanDerS | 
"Maintenant ça demande énormément de chance et de moyens à mettre en œuvre pour y arriver." sauf si tu décides de pimenter ta vie d'une double d'agent-secrêt-à-la-Expert-Miami-pour-épater-ze-fucking-Horacio-Caine

Pages

CONNEXION UTILISATEUR