Thomas P.
Vous conviendrez peut-être avec moi que les scanners d’empreintes digitales ont gagné en popularité parmi la plupart des propriétaires de smartphones Android. Presque tous les smartphones Android sont équipés d’un lecteur d’empreintes digitales. Dans la plupart des cas, vous trouverez des scanners d’empreintes digitales à trois endroits différents des smartphones Android. Nous avons des scanners d’empreintes digitales montés sur le côté, des scanners d’empreintes digitales montés à l’arrière et sous l’écran. Indépendamment de leur emplacement, ils ont tous un objectif principal, à savoir la sécurité.
Étant donné que chaque être humain sur terre a une empreinte digitale différente, il est indéniable que les scanners d’empreintes digitales sur smartphone devraient être l’un des moyens les plus sécurisés de garder les données privées à l’abri d’un troisième œil. Dans la mesure où cette affirmation est valable, est-ce vraiment le cas ? Les scanners d’empreintes digitales sur les smartphones offrent-ils la meilleure forme de sécurité ?
Eh bien, la réponse à cela peut dépendre de la manière dont vous souhaitez déverrouiller le téléphone protégé par empreintes digitales. Si vous essayez de déverrouiller avec une empreinte digitale différente qui n’est pas enregistrée sur le smartphone, vous disposez certainement de la meilleure forme de protection. Et si vous essayez de déverrouiller avec un outil de piratage ? Cela devrait être assez difficile à faire, n’est-ce pas ? Même si c’est possible, cet outil devrait coûter une fortune. Assez cher pour que les agences de sécurité gouvernementales comme le FBI et les autres puissent se permettre à des fins d’enquête.
Le fait est qu’il existe un nouvel outil qui peut percer la protection des empreintes digitales de l’appareil Android mais qui ne coûte pas une fortune. C’est un outil de 15 $ qui fait toute la magie.
Un outil de 15 $ casse la protection des scanners d’empreintes digitales des smartphones 
De nouvelles recherches menées par Yu Chen de Tencent et Yiling He de l’Université du Zhejiang ont indiqué qu’il existe deux vulnérabilités inconnues dans presque tous les smartphones. Ces vulnérabilités sont situées dans le système d’authentification par empreintes digitales et sont appelées vulnérabilités zero-day. En tirant parti de ces vulnérabilités, ils peuvent lancer une attaque appelée attaque BrutePrint pour déverrouiller presque tous les scanners d’empreintes digitales des smartphones.
Pour ce faire, ils ont utilisé une carte de circuit imprimé à 15 $ avec un microcontrôleur, un Switch analogique, une carte flash SD et un connecteur carte à carte. Tout ce dont les attaquants ont besoin, c’est de passer 45 minutes avec le téléphone de la victime et bien sûr, la base de données des empreintes digitales.
Les scanners d’empreintes digitales des smartphones Android ont été piratés en 45 minutes
Le chercheur a testé huit smartphones Android différents et deux iPhones. Les téléphones Android incluent Xiaomi Mi 11 Ultra, Vivo X60 Pro, OnePlus 7 Pro, OPPO Reno Ace, Samsung Galaxy S10+, OnePlus 5T, Huawei Mate30 Pro 5G et Huawei P40. Les iPhones incluent également l’iPhone SE et l’iPhone 7.
Toutes les protections contre les empreintes digitales des smartphones ont un nombre limité de tentatives, mais l’attaque BrutePrint peut contourner cette limitation. En réalité, les authentificateurs d’empreintes digitales n’ont pas besoin de la correspondance exacte entre l’entrée et les données d’empreintes digitales stockées pour fonctionner. Au lieu de cela, il utilise le seuil pour déterminer si l’entrée est suffisamment proche pour être une correspondance. Cela indique que tout système malveillant peut en profiter et essayer de faire correspondre les données d’empreintes digitales stockées. Tout ce qu’ils ont à faire est de pouvoir contourner la limite imposée aux tentatives d’empreintes digitales.
Comment les chercheurs ont utilisé l’outil de 15 $ pour déverrouiller les scanners d’empreintes digitales sur les smartphones 
Pour déverrouiller les smartphones, tout ce que les chercheurs avaient à faire était de retirer la coque arrière des smartphones et de fixer le circuit imprimé à 15 $. Dès que l’attaque commence, il ne faut que moins d’une heure pour déverrouiller chaque appareil. Une fois l’appareil déverrouillé, ils peuvent également l’utiliser pour autoriser les paiements.
Le temps nécessaire pour déverrouiller chaque téléphone variait d’un téléphone à l’autre. Alors que l’Oppo, par exemple, a pris environ 40 minutes pour se déverrouiller, le Samsung Galaxy S10+ a pris environ 73 minutes à 2,9 heures pour se déverrouiller. Le smartphone Android le plus difficile à débloquer était le Mi 11 Ultra. Selon les chercheurs, il a fallu environ 2,78 à 13,89 heures pour le déverrouiller.
L’iPhone est tout à fait sûr
En tentant de déverrouiller l’iPhone, les chercheurs n’ont pas pu atteindre leur objectif. Cela n’indique pas vraiment que les empreintes digitales d’Android sont plus faibles que celles de l’iPhone. C’est principalement parce qu’Apple crypte les données des utilisateurs sur l’iPhone. Avec des données cryptées, l’attaque BrutePrint ne peut pas accéder à la base de données d’empreintes digitales sur l’iPhone. Pour cette raison, il est impossible que cette forme d’attaque puisse déverrouiller les empreintes digitales de l’iPhone.
Comment les utilisateurs de smartphones Android peuvent-ils assurer la sécurité de leurs données personnelles ? 
En tant qu’utilisateur final, vous ne pouvez pas faire grand-chose à part utiliser des mots de passe et d’autres formes de protection. Cependant, il appartient aux développeurs Android de prendre des mesures supplémentaires pour assurer la sécurité des données des utilisateurs. Compte tenu de cela, les chercheurs, Yu Chen et Yiling ont fait quelques recommandations. Ils ont suggéré que l’équipe de développement limitera les tentatives de contournement. Ils ont également exhorté Google à crypter toutes les données envoyées entre le lecteur d’empreintes digitales et le chipset.
Conclusion
Vous avez pu remarquer que les chercheurs ont utilisé de vieux smartphones pour cette soi-disant attaque BrutePrint. En effet, les smartphones Android modernes sont plus sécurisés avec des autorisations d’application et des données de sécurité des applications plus strictes. À en juger par la méthode utilisée par ces chercheurs, il sera très difficile pour l’attaque BrutePrint de pouvoir pénétrer la sécurité Android moderne.
Security Boulevard a également assuré aux utilisateurs des derniers smartphones Android de ne pas s’inquiéter. En effet, l’attaque BrutePrint peut ne pas fonctionner sur les smartphones Android qui suivent les dernières normes de Google.
Actualité mobile de notre partenaire de la semaine
