Ajouter un commentaire

Par :
Marc Rogers

mer, 24/09/2014 - 14:47

L'année dernière, lorsque l'iPhone 5S est arrivé sur le marché, j'ai montré comment on pouvait pirater TouchID, son nouveau lecteur d'empreintes digitales, prétendument de pointe. Une année s’est écoulée, un nouvel iPhone est sorti, l’iPhone 6, et TouchID reste toujours aussi facile à pirater.

Lorsque l'iPhone 6 est sorti, la première chose qui a éveillé ma curiosité était de savoir si on avait apporté des améliorations au lecteur d’empreintes TouchID. Je ne croyais vraiment pas qu’on ait pu entièrement le sécuriser, mais j'espérais au moins qu’on l’avait amélioré.

J'ai me suis donc mis en tête de fabriquer de fausses empreintes digitales en utilisant la même technique que lors du piratage de TouchID sur les 5S. Une fois les empreintes digitales prêtes, je les ai testées sur les deux appareils.

Découvrez le résultat de mes tests dans notre vidéo :

Le résultat

Malheureusement, force est de constater que peu nombreuses sont les améliorations apportées  au lecteur entre ces deux appareils. Les fausses empreintes digitales manufacturées à l'aide de ma technique précédente ont pu facilement tromper les deux appareils.

En outre, il n’existe aucun paramètre supplémentaire permettant aux utilisateurs d’en renforcer la sécurité, comme la possibilité de configurer un délai après lequel il est impératif de saisir un code afin que TouchID fonctionne. En fait, il semble que l’amélioration majeure apportée au lecteur est de l’avoir rendu beaucoup plus sensible, en augmentant la résolution de balayage. Comment je le sais ? Eh bien, mes tests ont révélé beaucoup moins de « faux négatifs » avec l'iPhone 6 (les faux négatifs surviennent quand l’appareil ne reconnaît pas votre propre empreinte digitale). Cependant, il est fort probable que l'iPhone 6 scanne simplement une zone beaucoup plus importante de votre empreinte digitale pour en améliorer la fiabilité.

On constate également qu’avec cette version-ci sur l’iPhone 6, les fausses empreintes digitales de mauvaise qualité ne semblent plus tromper le lecteur comme il était possible de le faire avec l'iPhone 5S. Pour déjouer le lecteur sur l'iPhone 6 les empreintes digitales manufacturées doivent être nettes, bien proportionnées, bien positionnées et assez épaisses pour empêcher toute confusion avec votre propre empreinte digitale. Aucune de ces informations ne va entraver les efforts d’un professionnel aguerri, toutefois le petit criminel de quartier aura, lui, peut-être plus de mal à « dupliquer votre empreinte digitale » depuis la surface brillante du téléphone et à déverrouiller l'appareil.

Conclusion

Tout comme son prédécesseur - l'iPhone 5s - le lecteur TouchID de l'iPhone 6 peut être piraté. Toutefois, la manœuvre ne se fait pas si facilement. Les pirates doivent être compétents, faire preuve de patience et être capables de réaliser une très bonne copie de l'empreinte digitale du propriétaire de l’appareil égaré ou volé. Une empreinte très approximative ne fonctionnera pas. En outre, le processus de transformation de cette empreinte en une copie utilisable est suffisamment complexe pour que le piratage n’aboutisse  probablement pas, à moins que vous ne soyez la victime d’une attaque préméditée par un individu talentueux. Je me permets toutefois de réitérer l’analogie faite lors de mon dernier blog sur TouchID : nous verrouillons nos portes pour empêcher les criminels d’entrer, non pas parce que ces verrous sont inviolables, mais parce qu'ils sont à la fois pratiques et assez efficaces pour déjouer les efforts d’un criminel commun.

Le fait qu’Apple ait modifié, même légèrement, le lecteur TouchID signifie qu'ils consacrent du temps à son amélioration, même si les modifications apportées sont principalement axées sur une plus grande facilité d’utilisation. Tel qu'il est, TouchID reste une fonctionnalité de sécurité efficace, plus que suffisante pour son objectif principal : le déverrouillage de votre téléphone.

Cela dit, je ne peux m'empêcher d'être un peu déçu qu’Apple n'ait pas saisi cette chance de vraiment renforcer la sécurité de TouchID. Surtout quand on considère leur intention d'élargir son utilisation au-delà du simple déverrouillage de votre téléphone en vous proposant de vous en servir à effectuer des paiements. Certes, être en mesure d’authentifier quelqu’un facilement peut se révéler pratique et un atout en termes de sécurité et d’expérience utilisateur améliorée. Cependant, les personnes cherchant à exploiter ces failles lors des transactions sont sur le qui-vive et de plus en plus motivées à réussir. Si Apple ne fait pas attention, ils pourraient résoudre un problème tout en en créant un autre.

A propos de l'auteur

Marc Rogers
Expert en sécurité chez Lookout

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
  GGG   W     W  U   U      J  Y   Y 
G W W U U J Y Y
G GG W W W U U J Y
G G W W W U U J J Y
GGG W W UUU JJJ Y