Passer au contenu

Galaxy S5 : le capteur d’empreintes peut être contourné

Le capteur d’empreintes digitales du Galaxy S5 peut être trompé… tout comme le Touch ID de l’iPhone 5s. La démonstration en a été faite par SR…

Le capteur d’empreintes digitales du Galaxy S5 peut être trompé… tout comme le Touch ID de l’iPhone 5s. La démonstration en a été faite par SR Labs qui, armé d’une simple « photo » de l’empreinte du doigt, a déverrouillé le smartphone.

samsung-galaxy-s5-live-36

La sécurité sur smartphone d’Apple peut aussi être contournée de la même manière. Il faut cependant noter que le hacker doit posséder une copie parfaite de l’empreinte du doigt de sa victime, ce qui est moins facile que de deviner un code secret. Le porte-drapeau de Samsung se montre cependant moins sécurisé que l’iPhone 5s : après un redémarrage, le Galaxy S5 se contente de demander la lecture digitale alors que chez Apple, il faut rentrer le code de déverrouillage.

L’autre aspect embêtant de cette bidouille, c’est que Paypal est également en danger. Le capteur biométrique du Galaxy S5 permet en effet de s’authentifier sur le service de paiement en ligne. Paypal se veut néanmoins confiant : « L’identification par empreinte digitale offre un moyen simple et plus sécurisé de payer sur des appareils mobiles que les mots de passe ou les cartes de crédit ».

L’entreprise rajoute qu’elle n’a aucun accès aux informations biométriques de l’utilisateur, et elle ne les stocke pas plus.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

20 commentaires
  1. bon bon… où sont les grandes bouches (et no life) qui critiquaient la sécu apple il y a quelques mois ? Pas mieux !

  2. Ce que dit cet article est faux, touch ID ou pas, le déverrouillage du téléphone sur android est entièrement paramétrable. On peut mettre un shema, un code, un mot de passe, la reconnaissance vocale ou visuelle etc

  3. Tout à fait Damoun.

    Sinon, c’est pas nouveau, les lecteurs d’empreintes sont “facilement” contournables…

  4. Oué enfin facilement contournable…
    Désolé mais avoir une empreinte “totale” d’un utilisateur à qui on a piqué le mobile, faut quand même pas me faire croire que ça se trouve à chaque coin de rue.
    La démo qui est faite est sans intérêt vu que le mec a copié sa propre empreinte (son index qu’il a collé sur un support pour le passer avec son majeur).
    Je serais curieux de voir comment il s’en sort si on lui file un téléphone où il n’a pas enregistré sa propre empreinte (et donc où il n’a pas sa propre copie) et où on lui dit “Vas y Michel, démerde toi…”

  5. @chunnorris relevé des empreintes est très simple! C’est faisable beaucoup d’émission de vulgarisation scientifique l’on montré! Nos empreintes c’est plus facile à laisser trainer que nos clés….

  6. Le technique est simple, et est celle employée par le Chaos Computer Club : Photo d’une empreinte en 2400 dpi, nettoyage et inversion de l’image (pour obtenir un négatif), impression en 1200 dpi sur une feuille transparente. Ensuite, du lait de latex rose ou de la colle à bois est déposé sur la feuille pour venir s’insérer entre les motifs de l’empreinte. Après séchage, il faut décoller la feuille transparente, souffler de l’air chaud sur le motif pour l’humidifier (afin qu’il fasse conducteur), et l’empreinte peut être plaquée contre le capteur.

    /De rien 😀

  7. En meme temps je n’ai jamais pris ce système pour fort knox… Ca permet d’avoir un telephone verrouillé donc si je le laisse 2 min sur la table personne ne peut aller voir ce qu’il y a dessus et le deverouillage par empreinte digitale me permet de ne pas avoir de code a taper pour me servir de mon telephone. J’avoue me servir aussi du touch id pour telecharger des apps mais bon je doute qu’on me prenne mes empreintes pour acheter des applications sur mon mobile…

  8. @styx et omen77 : Oui enfin là on part du postulat que tu connais, ou sais, à qui appartient le mobile.
    Le but de ce truc c’est en cas de perte/vol, pour complexifier l’authentification et pour “empêcher” (même si je suis d’accord sur le fait que ce n’est pas totalement infalsifiable) le déverrouillage du mobile.
    Exemple : tu oublies ton smartphone dans un café. Un mec peu avenant te le gaule et veut le déverrouiller. Comment peut-il obtenir ton empreinte alors que :
    1- il ne connait pas l’utilisateur et donc risque pas de te traquer pour piquer ton empreinte sur ta porte de frigo (James Bond Inside)
    2- chopper une empreinte totale sur le smartphone lui même est franchement très très peu probable.
    Encore une fois, dans cette vidéo et dans les cas des copies d’empreintes, c’est en partant du postulat qu’on voit/connait (ou sais qui il est) l’utilisateur et qu’on peut lui piquer son empreinte (peu importe le support sur laquelle elle est récupérée).
    Ça fait pas mal d’hypothèses.

  9. @chunnorris ta démonstration vaut aussi pour le verrouillage par code il n’y a rien de différent!!!! L’empreinte ne sécurise pas plus ton portable.
    Et là je dirais moins car tu fais l’hypothèse que le hacker ne te connais pas….

  10. Faut faire attention à ce qu’on associe à notre empreinte…
    Perso, je n’ai pas mis ma CB sur l’AppStore. Donc à part pour déverrouiller le téléphone, l’empreinte ne servira à rien.
    Et puis si c’est juste pour déverrouiller l’iphone, un petit restore suffit..

  11. @styx : On est d’accord. Sauf que ce type de vidéo tend à montrer que c’est facile de falsifier une empreinte.
    Après, peu importe le système choisi par l’utilisateur, si tu le connais pas… je pense que tu l’as dans le c** si le téléphone est verrouillé (bon après on a pu voir des moyens de contourner les codes par des failles de sécurité mais bon…). Malheureusement plus de la majorité des utilisateurs ne verrouillent pas les mobiles parce que “C’est trop chiant de taper un code à chaque fois !!!”…
    Et pour ma part, je maintiendrais le verrouillage par code.

  12. J’adore lire les coms, alors deja pour l’empreinte complete tu sais ou l’avoir sur un iphone ? simple, au dos ! (testé et approuvé par un pote en criminologie) ou sinon sur un verre quelconque c’est pas extrement dur.

    Ensuite ce qui est un probleme c’est que la pomme et le coréen vendent sa comme infaillible donc les gens sont moins prudents. On dit partout “mettez un mot de passe différent selon les sites” la c’est une seule empreinte (on peux pas encore choisi un doigt par appli 😉 ) pour tout donc une fois qu’on l’a c’est un magnifique livre ouvert ^^

    Donc oui ce système est inconscient on vend une “innovation” au détriment de la sécurité biométrique des gens.

  13. @Chunnorris : “Sauf que ce type de vidéo tend à montrer que c’est facile de falsifier une empreinte.” : C’est effectivement ce qui est démontré ici. A partir d’une empreinte, on peut facilement en faire un duplicata.

    Rien ne vaut une protection par code ou par schéma. Quand on voit que les vols de portables sont souvent réalisés avec violence (et souvent à 2-3), rien n’empêcherait un voleur de te forcer à déverrouiller ton smartphone. 2 qui te tiennent, un qui pose ton doigt. Avec un code ou un shéma, ce serait beaucoup moins rapide 🙂

    Ensuite, sur un iphone, théoriquement, on peut facilement récupérer l’empreinte… sur le lecteur ! Oui, il suffit de poser le doigt, contrairement à la concurrence où le doigt glisse et l’empreinte est inexploitable. J’ai bien précisé “théoriquement”, hein 🙂

  14. @omen77 : que ça glisse ou non ton empreinte est sur le lecteur, même dans la vidéo il déverrouille le portable malgré le fait que ça “glisse”

  15. Au pire faut pas sortir de polytechnique pour savoir que à partir du moment où tu mets le code de ta carte bleue dans un téléphone (capteur biométrique ou pas) tu cours un gros risque de te la faire pirater…

    Si on a inventé les cartes cadeaux c’est pas pour faire jolie, avec ça le seul risque c’est de se faire piquer la somme prépayée…

  16. Avec l’empreinte du type, on peut dévérouiller le tel ? C’est dingue !

    Mais avec un mot de passe, si on harcèle le mec pour qu’il te le file (comme son empreinte), on peut aussi dévérouiller le tel ! MAIS OUAIS C’EST DINGUE !

    Bref, j’ai toujours trouvé ça débile…

  17. Avoir une emprunte c’est facile et il ne faut pas chercher loin : la coque du smartphone devant ou derrière. on pose nos doigts partout dessus.
    C’est miraculeux et encore plus simple que de soutirer le mot de passe au détenteur.

    En fait je ne connais pas de système de sécurité qui n’ai pas une faille. Malgré la recherche poussée dans certains cas.

  18. Parler de “détournement” du capteur en lui présentant une copie de la vraie empreinte c’est comme dire qu’une serrure peut être “détournée” en présentant une double de clé.

    (Et pour cela je pense qu’il est nécessaire de partir d’un moulage du vrai doigt, le faire à partir des traces partielles trouvés sur la coque me semble bien aléatoire)

    Le mot détournement serait plus approprié si il on avait découvert une sorte de “cheat code”

  19. @secouss : Oué enfin tu fais la même erreur que beaucoup de personne (et ton pote en criminologie aussi par la même occasion).
    Vous dites qu’il est très simple de récupérer une empreinte sur le dos d’un iphone, un verre, une lunette de chiotte.
    Admettons (bien que j’en doute très fortement).
    Mais pour le dos du téléphone, tu pars aussi du postulat que le mec a choisi son index pour enregistrer son empreinte.
    Parce que s’il a choisi son annulaire ou son auriculaire, je te mets au défi (et ton pote en crimino) de me trouver une empreinte au dos d’un téléphone.
    Ou alors on tient pas tous son téléphone de la même manière…

    Car n’oublions pas que nous avons dix doigts.
    Le mec peut être droitier, tout faire de la main droite, laisser de belles empreintes partout à qui veut les prendre, mais finalement avoir choisi son majeur gauche pour le déverrouillage.

    Et là, bah membre de RIS Police Scientifique sur TF1 ou chaudronnier pour TEFAL, t’auras l’air malin avec des empreintes totales des doigts de la mauvaise main…

  20. Si l’on me vole mon telephone proteger par une emprunte digitale est ce que le voleur aura des difficultes pour l’utiliser?

Les commentaires sont fermés.

Mode