Les scanners d’empreintes des smartphones seraient vulnérables aux passe-partout
publié le 12 avril 2017 à 7h00.
Une empreinte digitale. Image d'illustration.
Tout comme les serrures, les lecteurs d’empreintes des téléphones peuvent être trompés par des passe-partout. En imprimant une fausse empreinte, on pourrait tromper les scanners 65% du temps.
Les lecteurs d’empreintes sont de plus en plus présents sur le marché des smartphones et son réputés sûr car chaque utilisateur a une empreinte unique. Si l’on peut discrètement regarder quelqu’un taper son code pin, on ne peut pas saisir une empreinte sans passer par des étapes compliquées. Cependant, des chercheurs en sécurité de l’université de New York et de l’université du Michigan pensent qu’il est plus facile de passer outre les scanners d’empreintes que de craquer des codes en utilisant une empreinte passe-partout.
Une technologie facilement trompée
Les cas où le scanner d’empreinte a pu montrer des faiblesses font régulièrement couler de l’encre dans les journaux depuis la commercialisation du premier smartphone équipé. Les utilisateurs se sont amusés à essayer de passer outre et certains auraient réussi à déverrouiller leur smartphones avec les pattes de leurs mascottes ou même leur poitrine. Plus récemment, l’université du Michigan avaient scanné et imprimé des empreintes efficaces en usant seulement un papier photo et une encre conductrice.
L’étude explique ces faiblesses par le fait que les senseurs sont de petite taille et que l’image résultante est très limitée. Le système utilise alors qu’une partie de l’information qu’utiliseraient des lecteurs professionnels utilisés sur des sites sensibles. Le téléphone acquiert donc des images partielles de l’empreinte. On peut donc, selon les chercheurs, créer de fausses empreintes totalement artificielles qui auront des caractéristiques communes à beaucoup d’autres empreintes. C’est, en un mot, un passe-partout.
Un risque réel
A partir de fausses empreintes, une personne malveillante pourrait déverrouiller en un clin d’œil un téléphone et accéder à des services de paiement en ligne ou à des documents sensibles. Les résultats préliminaires des simulations montrent qu’il y a un risque réel. Utilisant plusieurs empreintes artificielles, le taux de réussite atteindrait les 65%. Cependant, les chercheurs n’ont pas encore testé la théorie sur de véritables appareils. Ce taux pourrait bien être plus bas en réalité.
Bien évidemment, les fabricants de téléphones restent très discrets sur les stratégies de défense des scanners. Il est donc difficile de quantifier les risques sans mettre à l’œuvre de réels tests. Aussi, il est possible que les fabricants développent des systèmes de protections. En attendant, on peut tout simplement retourner à l’usage d’un code et désactiver les paiements par l’intermédiaire de l’empreinte ou utiliser un téléphone à reconnaissance rétinienne tant qu’il n’y a pas encore de faille avérées.