Lucas
Et si le lecteur d’empreintes digitales de votre mobile n’était pas aussi sécurisé que vous le pensez ? C’est ce que ces chercheurs ont montré.
Le lecteur d’empreintes digitales de votre mobile Android n’est peut-être pas aussi sécurisé que vous le pensez. Ou, du moins, c’est ce qu’a voulu démontrer un groupe de chercheurs spécialisés en sécurité informatique, en testant les capteurs de reconnaissance d’empreintes digitales inclus dans différents modèles de smartphones.
Pour ce faire, ils ont mis au point un petit appareil dont la valeur, compte tenu des matériaux utilisés, ne s’élève pas à plus de 15 dollars. Grâce à cela, ils ont réussi à contourner le verrouillage par empreinte digitale de la grande majorité des appareils Android vérifiés en 45 minutes environ.
Les lecteurs d’empreintes digitales de la plupart des téléphones Android sont sensibles aux attaques par force brute
L’appareil en question, comme expliqué dans ArsTechnica, a été surnommé « BrutePrint » et, fondamentalement, il fonctionne en essayant des centaines de combinaisons d’empreintes digitales sur le capteur stocké dans une base de données, jusqu’à ce qu’il trouve la bonne.
Au total, dix smartphones différents ont été testés, dont le Xiaomi Mi 11 Ultra, vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10 Plus, OnePlus 5T, HUAWEI Mate 30 Pro 5G, HUAWEI P40, Apple iPhone SE et Apple iPhone 7, tous équipés de différents types de lecteur d’empreintes digitales (capacitif, optique ou ultrasonique).
Les résultats n’étaient pas vraiment encourageants : tous les appareils Android pouvaient être « piratés » à l’aide de « BritePrint », et il n’a fallu aux chercheurs qu’entre 45 minutes et 14 heures pour le faire. Dans le cas de l’iPhone, il n’était pas possible de contourner le verrouillage des empreintes digitales en utilisant cette méthode.
Avec BrutePrint, il est possible de déverrouiller pratiquement n’importe quel téléphone Android verrouillé par empreinte digitale
Les chercheurs pensent que plusieurs facteurs peuvent influencer le temps nécessaire pour découvrir la bonne empreinte digitale pour déverrouiller un appareil, comme le nombre d’empreintes digitales stockées sur l’appareil. Concernant les modèles analysés, le Samsung Galaxy S10+ a été l’un des premiers appareils à être « hacké », ne prenant qu’entre 0,73 et 2,9 heures.
Étant donné que les appareils iOS disposent d’un système de cryptage qui crypte les données d’empreintes digitales, il n’était pas possible d’utiliser BrutePrint pour déverrouiller l’iPhone avec Face ID. Pour cette raison, ils suggèrent que les fabricants d’appareils collaborent avec les entreprises en charge du développement de ce type de capteurs pour renforcer les mesures de sécurité et empêcher la propagation des attaques utilisant des techniques de ce type.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :