En direct
Best of
Best Of
En direct
© Reuters
Les technologies biométriques qui ont recours aux empreintes digitales pour déverrouiller les smartphones android présentent de nombreuses failles.
Suivis à la trace
Les conseils pour protéger son empreinte digitale sous androïd et pourquoi c’est important
Publié le 13 août 2015
Loin d'être aussi sûres qu'un véritable mot de passe, les technologies biométriques qui ont recours aux empreintes digitales pour déverrouiller les smartphones android présentent de nombreuses failles. D'ici 2019, près de la moitié des téléphones devraient être équipés de ces technologies, créant un véritable risque pour l'intégrité des données personnelles des utilisateurs.
Directeur général associé du groupe ASK’M / KER-MEUR. Expert en cyber sécurité. Conférencier sur les menaces émergentes, spécialisé dans la sensibilisation auprès des entreprises.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Mouffle
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Directeur général associé du groupe ASK’M / KER-MEUR. Expert en cyber sécurité. Conférencier sur les menaces émergentes, spécialisé dans la sensibilisation auprès des entreprises.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Loin d'être aussi sûres qu'un véritable mot de passe, les technologies biométriques qui ont recours aux empreintes digitales pour déverrouiller les smartphones android présentent de nombreuses failles. D'ici 2019, près de la moitié des téléphones devraient être équipés de ces technologies, créant un véritable risque pour l'intégrité des données personnelles des utilisateurs.

Atlantico : Une étude menée par les chercheurs de FireEye (société de cybersécurité américaine) dévoile plusieurs risques concernant les derniers smartphone android : l’utilisation d’empreinte digitale pour verrouiller les données s’avèrerait autrement moins sûre qu’un mot de passe à proprement parler. Comment se protéger contre cette nouvelle forme de piratage ?

Frédéric Mouffle : Le meilleur moyen de s'en prémunir reste finalement de ne pas utiliser le déverrouillage par empreinte sur smartphone. Le hacking des données liées aux empreintes digitales n’est pas nouveau. Déjà en 2013 le groupe Chaos Computer Club avait déjà démontré la vulnérabilité de ce type d’authentification sur l'iPhone 5 en présentant un imprimé de l’empreinte sur lecteur du téléphone su subtilisant à la présentation de son doigt. D’ailleurs ils avaient à cette occasion publier une vidéo de leur exploit. Ils ont récidivé récemment en reproduisant une empreinte de ministre allemand de la défense à partir d’une image de son pouce en haute définition publiée sur internet. Alors ils ont réussi via un logiciel disponible dans le commerce, à reproduire l’empreinte intégralement.

Une fois l’empreinte volée, qu’est-il possible de faire pour se prémunir ? Quelles sont les données qui risquent le plus un piratage via l’empreinte digitale ?

Une fois l’empreinte dans les mains du pirate, la seule option est de désactiver le déverrouillage via processus et revenir à un accès via mot de passe ou bien de changer le modèle d’empreinte en utilisant un de vos neuf autres doigts. Une fois le processus de dérouillage passé, le pirate a potentiellement accès à toutes vos informations. Il peut exécuter des scripts à distance, télécharger l’intégralité de vos données, accéder à vos communication ou de générer des appels surtaxés à votre insu le tout à condition de ne pas avoir chiffré vos données ; dans le cas contraire, il sera difficile d’interpréter voir de décrypter les données ainsi protégées. Il faut avoir à l’esprit que son empreinte digitale on l’a pour la vie, ce qui signifie que si dans les années à venir, ce type d’authentification venait à se démocratiser un peu plus, ce qui dans le monde moderne intéresse forcement les entreprises car plus de cout de fabrication de clés, carte ou autre moyens de déverrouillage pouvant être utiliser pour  ( démarrage des véhicules, paiement monétique, signature officielle…) cela deviens un vrai problème car la faille si elle n’est pas exploiter dans les mois qui viennent, peut l’être dans quelques années tant que l’individu est vivant, . J’ai d’ailleurs déjà vu au même titre que des sites de vente de cartes bleue volées, des vente sur le darknet d’identités complètes emprunte digital comprise. C’est donc un problème à part entière pour lequel  les fabricants n’ont pas encore pris toute la mesure des failles dont ils sont responsables. Lorsque vous vous déverrouillez votre smartphone par ce biais, Apple, Samsung peut stocker vos informations  d’empreinte sur leur serveurs ou sur leurs cloud, ce qui nous laisse à penser, vu la complexité des attaques actuelles, que nos données vitales ne sont à l’abri nulle part et qu’aucune entreprise d’ailleurs n’est à l’abri d’une campagne de piratage massif. Rappelez-vous du piratage de la hacking team, société italienne censée être spécialisée dans la sécurité et la pénétration de n’importe quel ordinateur, elle vend ses services aux gouvernements. Cela ne l’a pas empêché de voir l’intégralité des données de cette entreprise, publier sur internet (contrat clients et échanges de mails, fichier mail, facture, compta… bref tout.

En Allemagne, des hackeurs avaient réussi à reproduire l’empreinte digitale d’Angela Merkel à partir d’une photo de sa main. Comment les pirates procèdent-ils ?

Ils n’ont fait que reproduire leur exploit de 2013, à savoir prendre ou exploiter une photo en haute définition et de procéder a la reconnaissance de son emprunte via un logiciel spécialisé payant .C’est techniquement très simple, il faut, une compétence plus importante en photographie qu’en informatique. Les pirates sont relativement fainéant, ils ne se compliquent pas la vie contrairement à ce qu’on peut imaginer, la plupart des hack dit (grand public) font plus souvent appel de l’ingéniosité individuelle que de forte compétences en mathématiques appliquée. Une fois l’emprunte modélisée, il est facile de faire un moulage en latex ou de l’imprimer avec une imprimante 3d. Les lecteurs n’étant pas capable de reconnaitre le type de support (humain ou artificiel), l’opération reste assez simple à mettre en œuvre. Sur internet, vous trouvez assez facilement tous les tutoriels pour la mise en œuvre.

D’ici 2020, la moitié des smartphones devraient être équipés de technologies biométriques. Faut-il s’attendre à une recrudescence de ce genre d’attaques ? Pourquoi ? 

 D'ici 2020 beaucoup de choses auront évolué technologiquement il est donc difficile de se prononcer sur l'avenir de ce type d'authentification mais il reste improbable qu'il soit le seul moyen de déverrouiller son smartphone. Le mot de passe fort reste la meilleure protection. Il faut avoir à l'esprit ce genre de faille reste relativement éphémère dans la durée les constructeur ayant connaissance de plus en plus tôt de ces failles, les combles et propose des correctifs. Pour conclure il faut savoir que l'interception des empreintes sur le téléphone lui-même peut s'opérer sur des smartphone roté ou jailbreaker, c’est-à-dire que via une manipulation, l’on deviens administrateur de son téléphone pouvant ainsi accéder aux fichiers système normalement protéger et y installer n’importe quelle application en dehors des stores habituels (apporte et Google play). Seul un petit nombre d'initiés réaliser cette opération ce qui rend une grande partie du public invulnérable  à l'interception logiciel de l'information contenu dans l'empreinte digitale. Il est claire que depuis plusieurs années, les chercheurs en sécurité sont assez unanime sur l’authentification lies aux empreintes digitales qui n’offre aucune garantie ni aucune sécurité. Idem pour l’authentification ayant comme support l’œil ou tout autre élément biologique propre a chacun. Nous sommes donc en présence d’une technologie plutôt en fin de vie. Les lecteurs d’emprunte sont cependant facile à utiliser, rendent impossible l’oublie de son mot de passe et facilite grandement la vie de l’utilisateur. C’est pourquoi les constructeurs ne font que répondre à une demande des consommateurs d’aller toujours plus vite et de rendre l’utilisation du smartphone la plus simple pour l’utilisateur.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Soirée arrosée en boîte : Christophe Castaner filmé en train d'embrasser une inconnue
02.
Jean Arcelin : “Une large majorité des 700 000 personnes en Ehpad mangera, pour le reste de sa vie, des repas à 1€”
03.
MBS, le prince héritier saoudien dépossédé d’une partie de ses pouvoirs par le Roi Salman
04.
La France va devenir la première puissance mondiale en moins de 5 ans
05.
Révolution, le retour : le scénario d’un vrai dérapage insurrectionnel est-il en train de devenir possible en France ?
06.
Grand Débat, la suite : petite géographie des intellectuels français que reçoit Emmanuel Macron ce lundi (ainsi que de ceux qu’il ne reçoit pas)
07.
Frédéric Dupuch et Pierre Gaudin : nouveaux limogeages à la préfecture de police de Paris après les incidents des Champs-Elysées
01.
Jean Arcelin : “Une large majorité des 700 000 personnes en Ehpad mangera, pour le reste de sa vie, des repas à 1€”
02.
Soirée arrosée en boîte : Christophe Castaner filmé en train d'embrasser une inconnue
03.
Philippe de Villiers : « Mon livre n’est pas complotiste, c’est la construction européenne qui est ontologiquement conspirationniste »
04.
Et Marine Le Pen éclata de rire…
05.
Grand Débat, la suite : petite géographie des intellectuels français que reçoit Emmanuel Macron ce lundi (ainsi que de ceux qu’il ne reçoit pas)
06.
Le voile est-il vraiment un accoutrement souhaitable pour vendre des petites culottes ?
01.
Philippe de Villiers : « Mon livre n’est pas complotiste, c’est la construction européenne qui est ontologiquement conspirationniste »
02.
Grand Débat, la suite : petite géographie des intellectuels français que reçoit Emmanuel Macron ce lundi (ainsi que de ceux qu’il ne reçoit pas)
03.
Christchurch : de la théorie du Grand Remplacement à ses travaux pratiques
04.
Grève mondiale des élèves pour le climat : 5 éléments pour déterminer s’il faut s’en réjouir ou... s’en inquiéter sérieusement
05.
Quand Nathalie Loiseau teste les nouveaux "éléments de langage" du progressisme face à Marine Le Pen sans grand succès
06.
Révolution, le retour : le scénario d’un vrai dérapage insurrectionnel est-il en train de devenir possible en France ?
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires