Biométrie: la reconnaissance d’Iris du Galaxy S8 trompée par une photo
Le groupe de hackers du Chaos Computer Club a une nouvelle fois mis en évidence que les systèmes biométriques, soit disant ultra sécurisés, pouvaient se faire leurrer par une simple photo. Cette fois, c’est la reconnaissance d’iris du Galaxy S8 qui est visée.
En 2013, le Chaos Computer Club avait mis la protection ID Touch de l’iPhone à l’amende, en la piratant avec une photocopie d’une empreinte digitale. En 2014, les hackers avaient pu extraire l’empreinte digitale d’un doigt de la ministre allemande Ursula von der Leyen, à partir d’une photo publiée dans la presse. Cette fois, les hackers ont réussi à rendre obsolète le système de reconnaissance d’iris du nouveau Galaxy S8, avec la simple photo d’un œil !
La reconnaissance d’iris du Galaxy S8 déjà piraté
La photo a été prise en mode nuit avec un simple appareil photo numérique, à une distance de moins de 5 mètres. Il a ensuite fallu imprimer une image de l’œil avec une imprimante laser, coller une lentille devant l’œil pour obtenir une courbure et présenter l’ensemble devant le Galaxy S8, qui s’est débloqué sans problème… Un coup dur pour un système réputé quasi inviolable et choisi par Samsung comme système d’authentification pour son service de transferts d’argent Samsung Pay…
Ce piratage est tellement enfantin qu’il en est presque inquiétant, car de nombreux smartphones, objets connectés, systèmes de surveillance, verrouillages de portes, etc. ont recourt à la reconnaissance d’iris jugée plus sûre que la reconnaissance d’empreintes. Le Chaos Computer Club a donc démontré une fois de plus, que la biométrie est un système de protection trop risqué pour sécuriser des biens ou des données.
Combien de photos de nous se trouvent sur la toile, avec une résolution suffisante pour en extraire une image d’un doigt ou d’un œil ? Des cyber délinquants pourraient envisager s’attaquer à ces nouveaux dispositifs de sécurité, en collectant des masses d’images afin de concevoir des empreintes ou des iris et les tester une par une, comme ils le font avec les mots de passe ou tout simplement pour mettre au point des empreintes passe-partout.
Le plus grave étant qu’en cas de vol d’une image de l’iris, associée à l’identité exacte d’une personne (mail, téléphone, adresse, etc.), cela reviendrait à dire que l’utilisateur utilise le même mot de passe pour tous les produits actuels et futurs… Ce qui va à l’encontre des recommandations de sécurité de base, de ne jamais avoir un mot de passe pour tous ses services.