iPhone 6:ToucheID reste vulnérable

Une fausse empreinte digitale permet toujours de leurrer le lecteur biométrique du smartphone. Mais l'éditeur de sécurité indique que la procédure est plus compliquée.

Grande nouveauté de l'iPhone 5, TouchID, le lecteur d'empreinte digitale permettant entre autres de déverrouiller le terminal, avait très vite montré ses limites. Plusieurs spécialistes de la sécurité avaient facilement contourné la protection, notamment en créant de toutes pièces une fausse empreinte à partir d'une photo en très haute définition de l'empreinte originale.

Depuis, la question était de savoir si Apple allait renforcer la sécurité de son dispositif, une sécurité d'autant plus prégnante que TouchID permet désormais de valider des paiements en NFC avec Apple Pay sur l'iPhone 6.

Malheureusement, la réponse est mitigée. Oui, Apple a apporté des améliorations mais elles ne semblent pas être suffisantes pour empêcher tout contournement, selon Marc Rogers de Lookout (qui rappelons-le vend des solutions de protection pour les smartphones).

"Malgré les vulnérabilités prouvées du TouchID lors du lancement de l’iPhone 5, Apple n’a pas pris de mesures supplémentaires pour combler ce manque de sécurité", souligne-t-il.

Démonstration à l'appui, l'expert a à nouveau fabriqué "de fausses empreintes digitales en utilisant la même technique que lors du piratage de TouchID sur les 5S. Une fois les empreintes digitales prêtes, je les ai testées sur les deux appareils".

Et de poursuivre : "Malheureusement, force est de constater que peu nombreuses sont les améliorations apportées au lecteur entre ces deux appareils. Les fausses empreintes digitales manufacturées à l'aide de ma technique précédente ont pu facilement tromper les deux appareils. En outre, il n’existe aucun paramètre supplémentaire permettant aux utilisateurs d’en renforcer la sécurité, comme la possibilité de configurer un délai après lequel il est impératif de saisir un code afin que TouchID fonctionne".

Néanmoins, leurrer TouchID n'est pas aussi aisé qu'auparavant. "Il semble que l’amélioration majeure apportée au lecteur est de l’avoir rendu beaucoup plus sensible, en augmentant la résolution de balayage", explique Marc Rogers.

"Les fausses empreintes digitales de mauvaise qualité ne semblent plus tromper le lecteur comme il était possible de le faire avec l'iPhone 5S. Pour déjouer le lecteur sur l'iPhone 6 les empreintes digitales manufacturées doivent être nettes, bien proportionnées, bien positionnées et assez épaisses pour empêcher toute confusion avec votre propre empreinte digitale. Aucune de ces informations ne va entraver les efforts d’un professionnel aguerri, toutefois le petit criminel de quartier aura, lui, peut-être plus de mal à « dupliquer votre empreinte digitale » (pour) déverrouiller l'appareil".

Source: zdnet(fr)

et zdnet (eng)

Comments

[Alex Martin]

Ik completey eens met uw verklaring . Ik heb met behulp van dit apparaat voor meer dan een jaar heb ik dit sitaution een keer gezien hebben . Bovendien , ik weet niet of ze dit probleem hebben verwijderd iPhone 6 .