Atlantico, c'est qui? c'est quoi ?
Mercredi 26 Juillet 2017 | Créer un compte | Connexion
Extra

Les conseils pour protéger son empreinte digitale sous androïd et pourquoi c’est important

Loin d'être aussi sûres qu'un véritable mot de passe, les technologies biométriques qui ont recours aux empreintes digitales pour déverrouiller les smartphones android présentent de nombreuses failles. D'ici 2019, près de la moitié des téléphones devraient être équipés de ces technologies, créant un véritable risque pour l'intégrité des données personnelles des utilisateurs.

Suivis à la trace

Publié le
Les conseils pour protéger son empreinte digitale sous androïd et pourquoi c’est important

Les technologies biométriques qui ont recours aux empreintes digitales pour déverrouiller les smartphones android présentent de nombreuses failles.  Crédit Reuters

Atlantico : Une étude menée par les chercheurs de FireEye (société de cybersécurité américaine) dévoile plusieurs risques concernant les derniers smartphone android : l’utilisation d’empreinte digitale pour verrouiller les données s’avèrerait autrement moins sûre qu’un mot de passe à proprement parler. Comment se protéger contre cette nouvelle forme de piratage ?

Frédéric Mouffle : Le meilleur moyen de s'en prémunir reste finalement de ne pas utiliser le déverrouillage par empreinte sur smartphone. Le hacking des données liées aux empreintes digitales n’est pas nouveau. Déjà en 2013 le groupe Chaos Computer Club avait déjà démontré la vulnérabilité de ce type d’authentification sur l'iPhone 5 en présentant un imprimé de l’empreinte sur lecteur du téléphone su subtilisant à la présentation de son doigt. D’ailleurs ils avaient à cette occasion publier une vidéo de leur exploit.

Ils ont récidivé récemment en reproduisant une empreinte de ministre allemand de la défense à partir d’une image de son pouce en haute définition publiée sur internet. Alors ils ont réussi via un logiciel disponible dans le commerce, à reproduire l’empreinte intégralement.

Une fois l’empreinte volée, qu’est-il possible de faire pour se prémunir ? Quelles sont les données qui risquent le plus un piratage via l’empreinte digitale ?

Une fois l’empreinte dans les mains du pirate, la seule option est de désactiver le déverrouillage via processus et revenir à un accès via mot de passe ou bien de changer le modèle d’empreinte en utilisant un de vos neuf autres doigts. Une fois le processus de dérouillage passé, le pirate a potentiellement accès à toutes vos informations. Il peut exécuter des scripts à distance, télécharger l’intégralité de vos données, accéder à vos communication ou de générer des appels surtaxés à votre insu le tout à condition de ne pas avoir chiffré vos données ; dans le cas contraire, il sera difficile d’interpréter voir de décrypter les données ainsi protégées. Il faut avoir à l’esprit que son empreinte digitale on l’a pour la vie, ce qui signifie que si dans les années à venir, ce type d’authentification venait à se démocratiser un peu plus, ce qui dans le monde moderne intéresse forcement les entreprises car plus de cout de fabrication de clés, carte ou autre moyens de déverrouillage pouvant être utiliser pour  ( démarrage des véhicules, paiement monétique, signature officielle…) cela deviens un vrai problème car la faille si elle n’est pas exploiter dans les mois qui viennent, peut l’être dans quelques années tant que l’individu est vivant, . J’ai d’ailleurs déjà vu au même titre que des sites de vente de cartes bleue volées, des vente sur le darknet d’identités complètes emprunte digital comprise. C’est donc un problème à part entière pour lequel  les fabricants n’ont pas encore pris toute la mesure des failles dont ils sont responsables. Lorsque vous vous déverrouillez votre smartphone par ce biais, Apple, Samsung peut stocker vos informations  d’empreinte sur leur serveurs ou sur leurs cloud, ce qui nous laisse à penser, vu la complexité des attaques actuelles, que nos données vitales ne sont à l’abri nulle part et qu’aucune entreprise d’ailleurs n’est à l’abri d’une campagne de piratage massif. Rappelez-vous du piratage de la hacking team, société italienne censée être spécialisée dans la sécurité et la pénétration de n’importe quel ordinateur, elle vend ses services aux gouvernements. Cela ne l’a pas empêché de voir l’intégralité des données de cette entreprise, publier sur internet (contrat clients et échanges de mails, fichier mail, facture, compta… bref tout.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Frédéric Mouffle

Directeur du pôle investigations et sûreté informatique chez Ker-Meur. Formateur et conférencier sur les menaces émergentes liées aux nouvelles technologies, il intervient notamment à l'Ecole Européenne d'Intelligence Economique de Versailles

Voir la bio en entier

Je m'abonne
à partir de 4,90€