Les experts en sécurité espèrent bien que non !
Depuis qu’Apple a mis sur le marché les iphones Touch ID, de plus en plus de smartphones sont dotés du scanner à empreinte digitale. Et c’est bien ce qui inquiète certains experts de la sécurité informatique.
Si votre mot de passe est piraté, vous pouvez juste le changer : si votre empreinte digitale est piratée, elle est perdue pour le reste de votre vie
explique Yulong ZHANG, chercheur chez FireEye, lors de la dernière conférence Blackhat du 5 Août à Las Vegas.
ZHANG est celui qui a révélé les vulnérabilités des Samsung et HTC, permettant à des personnes « mal intentionnées » de voler les empreintes digitales de l’utilisateur. Le HTC « One Max Device », pour ne citer que lui, stocke les images de vos empreintes sans aucun encodage. Ces images en format BMP (bitmap) peuvent donc être lues à partir de n’importe quelle application de votre smartphone, et tout particulièrement si vous avez installé une application connue pour ses failles de sécurité.
Mais le Samsung 5S ne fait pas mieux : l’accès aux empreintes est vulnérable puisque le capteur d’empreinte n’est pas isolé des autres fonctions du téléphone alors que l’accès à ces données sensibles devrait utiliser les protections de TrustZone des puces ARM des smartphones.
En effet, TrustZone permet d’isoler ces actions du système d’exploitation. Les saisies du scanner ne sont pas protégées. Il semblerait que les fabricants aient fourni des patches corrigeant ce problème.
Ainsi, il est recommandé aux utilisateurs d’ Android d’éviter de rooter leurs appareils, de les maintenir à jour, et de n’installer que des applications vérifiées par Google, par conséquent téléchargées sur Google Play.Les empreintes, comme tout identifiant biométrique, n’est pas modifiable. Une bonne chose! Vraiment ?
Vous laissez vos empreintes sur tout ce que vous touchez : elles sont publiques. Des chercheurs-hackers ont réussi à fabriquer, à partir de traces laissées sur une fenêtre, une empreinte utilisable avec un peu de plastique et de la colle. Et qu’en est-il de « Starbug », alias Jan Krissler, leader de l’organisation Chaos Computer Club, qui affirme pouvoir pirater l’empreinte du pouce du Ministre de la Défense allemand, Ursula Von Der Leyen, à partir de photographies zoomées …