Il n?aura fallu que quelques jours aux Allemands du Chaos Computer Club (CCC) pour contourner facilement la protection du lecteur d?empreinte embarqu?e dans l?iPhone 5s. L?enjeu ? D?montrer ??encore une fois que les donn?es biom?triques pour emp?cher les acc?s non autoris?s sont inadapt?es ?.?
Une image haute r?solution pour tromper le capteur biom?trique?
L?iPhone 5S est la nouvelle star d?Apple pour prendre le relai de l?iPhone 5. Plus v?loce, il se veut ?galement plus pratique et plus s?curis?. Le bouton d?accueil comprend en effet un capteur biom?trique ? m?me de prendre plusieurs images d?une empreinte digitale pour pouvoir d?verrouiller le smartphone ou valider des achats sur l?App Store et iTunes. Apple avait rapidement enchain? dans sa pr?sentation sur la s?curit? de sa technologie, baptis?e TouchID, pr?cisant que ces empreintes ?taient enregistr?es en local uniquement (dans la puce A7) et n??taient jamais envoy?es aux serveurs.
?
Pour mener ? bien ce hacking, les Allemands du CCC ont recouru ? une man?uvre relativement simple : l?empreinte digitale du propri?taire de l?iPhone 5s a ?t? photographi?e en 2400 dpi. La photo a ensuite ?t? invers?e sur ordinateur puis imprim?e sur un film transparent, avant d??tre appliqu?e sur le capteur. R?sultat?: l?iPhone 5s a bien reconnu les empreintes digitales, permettant le d?verrouillage et l?achat d?applications et de contenus.
Rappeler la dangerosit? des empreintes digitales?
Pour le CCC, il n?y a pas vraiment de surprise dans la m?thode utilis?e. Il s?agit toujours de tromper la vigilance d?une protection, mais avec une r?solution plus ?lev?e, en l?occurrence 2400 dpi. La fausse empreinte est cr?e avec un mat?riau souple et mall?able, tel que le lait de latex ou la colle ? bois. Le mat?riau est d?pos? sur le film transparent pour en ??absorber?? les empreintes. Comme le montre la vid?o, l?ensemble est ensuite appliqu? contre le capteur, qui n?y voit alors que du feu.
?
?
Le CCC ne cache pas son opinion sur la technologie TouchID et la biom?trie en g?n?ral?: ??On peut esp?rer que cela ?liminera enfin les derni?res illusions que les gens entretiennent au sujet des syst?mes de s?curit? biom?triques. [?] Le grand public ne doit plus ?tre manipul? par les fausses d?clarations de l?industrie de la biom?trie?? a ainsi estim? Franck Rieger, pr?sident du Chaos Computer Club. Pour le hacker, cela ??d?montre encore une fois que les donn?es biom?triques pour emp?cher les acc?s non autoris?s sont inadapt?es et qu?elles devraient ?tre ?vit?es.??
Hack ou pas hack ??
Mais la question de ce piratage peut faire d?bat. Il est bien classifi? comme tel, puisque le but est d?obtenir une information ou un acc?s de mani?re frauduleuse, sans ?tre le d?tenteur l?gitime d?un compte ou d?une cl?. Cependant, peut-on parler stricto sensu de br?che dans la technologie TouchID?? La question fait d?bat car il ne s?agit pas de percer les d?fenses, mais plut?t de les contourner en leur donnant exactement ce qu?elles demandent.
?
En outre, donner au capteur les informations attendues n?a rien de si facile. M?me si le CCC indique que la technique employ?e peut ?tre r?alis?e avec des mat?riaux trouvables tr?s facilement, il est n?cessaire de r?ussir deux actions pr?alables?: voler l?iPhone, ce qui peut ?tre simple, mais surtout obtenir une image en 2400 dpi de l?empreinte souhait?e. Il faudra donc soit forcer la personne, soit l?obtenir par des moyens d?tourn?s. Il est en outre important de signaler que si l?iPhone n?a pas ?t? d?verrouill? depuis au moins 48 heures, le code PIN sera ?galement demand?.
Une r?compense ? la cl??
?
Le CCC devra toutefois r?aliser d?autres d?monstrations pour prouver que la technique s?apparente v?ritablement ? un hack, notamment pour remporter un prix de presque 20?000 dollars. C?est la somme accumul?e par l?initiative ??Is TouchID Hacked Yet???? mise en place par le chercheur en s?curit? Nick DePetrillo. Sur le site associ?, on peut ainsi lire que le CCC s?est peut-?tre qualifi? pour remporter le prix, mais que d?autres preuves sont attendues, notamment sur la mani?re de r?cup?rer une empreinte (sur un verre par exemple) et sur son exploitation r?elle dans le cadre d?un scanner pr?cis.
?
En d?finitive, la technique utilis?e par les Allemands du CCC rappelle un point essentiel?: il n?existe pas de s?curit? ultime. L?empreinte digitale est une donn?e biom?trique qu?il est impossible de ??deviner??, contrairement ? un mot de passe. Cependant, chaque fois que vous touchez un verre, une barre de soutien dans le m?tro ou une brosse ? cheveux, vous laissez une chance ? des personnes malintentionn?es de r?cup?rer votre empreinte.
?
La question de l?am?lioration de TouchID est donc d?j? sur le tapis. CNet a d?ailleurs pos? la question ? Apple, mais la firme n?a pour le moment pas souhait? r?pondre.
Vincent Hermann
R?dacteur/journaliste sp?cialis? dans le logiciel et en particulier les syst?mes d'exploitation. Ne se d?place jamais sans son ?p?e.
NBA draft 2012 alicia sacramone Don Grady ann curry euro 2012 Colorado Springs Nora Ephron
No comments:
Post a Comment
Note: Only a member of this blog may post a comment.