LES EMPREINTES  : VONT-ELLES REMPLACER LES MOTS DE PASSE ?
LES EMPREINTES  : VONT-ELLES REMPLACER LES MOTS DE PASSE ?

LES EMPREINTES : VONT-ELLES REMPLACER LES MOTS DE PASSE ?

Les experts en sécurité espèrent bien que non !

Depuis qu’Apple a mis sur le marché les  iphones Touch ID, de plus en plus de smartphones sont dotés du scanner à empreinte digitale. Et c’est bien ce qui inquiète certains experts de la sécurité informatique.

 Yulong ZHANG, chercheur chez FireEye
Yulong ZHANG, chercheur chez FireEye

Si votre mot de passe est piraté, vous pouvez juste le changer : si votre empreinte digitale est piratée, elle est perdue pour le reste de votre vie

explique Yulong ZHANG, chercheur chez FireEye, lors de la dernière conférence Blackhat du 5 Août à Las Vegas.

ZHANG est celui qui a révélé les vulnérabilités des Samsung et HTC, permettant à des personnes « mal intentionnées » de voler les empreintes digitales de l’utilisateur. Le HTC « One Max Device », pour ne citer que lui, stocke les images de vos empreintes sans aucun encodage. Ces images en format BMP (bitmap) peuvent donc être lues à partir de n’importe quelle application de votre smartphone, et tout particulièrement si vous avez installé une application connue pour ses failles de sécurité.

Puce ARM
Puce ARM

Mais le Samsung 5S ne fait pas mieux : l’accès aux empreintes est vulnérable puisque le capteur d’empreinte n’est pas isolé des autres fonctions du téléphone  alors que l’accès à ces données sensibles devrait utiliser les protections de TrustZone des puces ARM des smartphones.

En effet, TrustZone permet d’isoler ces actions du système d’exploitation.  Les saisies du scanner ne sont pas protégées. Il semblerait que les fabricants aient fourni des patches corrigeant ce problème.

Fonctionnement de TrustZone
Fonctionnement de TrustZone
Ainsi, il est recommandé aux utilisateurs d’ Android d’éviter de rooter leurs appareils, de les maintenir à jour, et de n’installer que des applications vérifiées par Google, par conséquent téléchargées sur Google Play.

Les empreintes, comme tout identifiant biométrique, n’est pas modifiable. Une bonne chose! Vraiment ?

Vous laissez vos empreintes sur tout ce que vous touchez : elles sont publiques. Des chercheurs-hackers ont réussi à fabriquer, à partir de traces laissées sur une fenêtre, une empreinte utilisable avec un peu de plastique et de la colle.  Et qu’en est-il de « Starbug », alias Jan Krissler,   leader de l’organisation Chaos Computer Club, qui affirme pouvoir  pirater l’empreinte du pouce du Ministre de la Défense allemand, Ursula Von Der Leyen, à partir de photographies  zoomées …

Les empreintes du Ministre de la Défense présentées à la CCConference
Les empreintes du Ministre de la Défense présentées à la CCConference

 

Post source : http://arstechnica.com/security/2015/08/severe-weaknesses-in-android-handsets-could-leak-user-fingerprints/ http://thehackernews.com/2014/12/hacker-clone-fingerprint-scanner.html http://money.cnn.com/2014/12/30/technology/security/fingerprint-hack/ https://www.washingtonpost.com/news/the-switch/wp/2015/08/11/are-fingerprints-the-new-passwords-security-experts-sure-hope-not/?tid=sm_fb https://www.blackhat.com/docs/us-15/materials/us-15-Zhang-Fingerprints-On-Mobile-Devices-Abusing-And-Leaking-wp.pdf http://www.arm.com/products/processors/technologies/trustzone/index.php http://www.macplus.net/depeche-84635-touchid-serait-le-capteur-biometrique-le-plus-fiable-sur-smartphone https://www.blackhat.com/us-15/briefings.html#fingerprints-on-mobile-devices-abusing-and-leaking Credits photos http://www.rsaconference.com/writable/speakers/photo/520x520centertop/v3rLobKcXmuL4caIrezjtyqo8ZwAfY.jpg http://nfctimes.com/sites/default/files/imagecache/poster/300x319xtrustzone_graphic.png.pagespeed.ic.RYJtPI0d8P.jpg http://www.techwireasia.com/wp-content/uploads/2012/06/ARM-Cortex-Chip.jpg http://img1.mydrivers.com/img/20120814/a70dbf2c377b4811aad047c60da0fcd6.jpg https://consumeraffairs.global.ssl.fastly.net/files/cache/news/Fingerprint_scan_security_ktsdesign_Fotolia_large.jpg

Related posts

Leave a Reply