Le lecteur d'empreintes de l'iPhone 5s assez facilement contourné
Un lecteur d'empreintes digitales est-il vraiment une sécurité, sur un téléphone à écran tactile comme l'iPhone 5s où figurent forcément les empreintes digitales du propriétaire ? Non, démontre le Chaos Computer Club, qui explique comment créer une copie fonctionnelle des empreintes retrouvées sur un smartphone d'Apple pour accéder aux données qu'il contient.
Pour peu qu'il dispose de quelques moyens technologiques à bas coût à sa disposition, le voleur d'un iPhone 5s verrouillé par le lecteur d'empreintes digitales pourra accéder au contenu du téléphone.
La technique n'est pas nouvelle puisqu'elle avait déjà été utilisée pour contourner d'autres lecteurs biométriques. "En réalité, le capteur d'Apple a simplement une résolution plus importante comparée aux autres capteurs jusqu'à présent. Donc il a juste fallu augmenter la résolution de notre faux", a expliqué Starbug, le hacker à l'origine de la démonstration. "Comme nous le disons depuis de nombreuses années, les empreintes ne devraient pas être utilisées pour sécuriser quoi que ce soit. Vous les laissez partout, et il beaucoup trop facile de réaliser de fausses empreintes à partir des empreintes relevées".
Pour réaliser la copie de l'empreinte, il faut simplement photographier l'empreinte à une résolution de 2400 dpi, nettoyer l'image captée pour ne garder que l'empreinte, inverser l'image (puisqu'il faut un "miroir"), et l'imprimer avec une imprimante laser avec un réglage de toner épais sur une feuille transparente, à une résolution de 1200 dpi. Ensuite, du lait de latex rose ou de la colle à bois est déposé sur la feuille pour venir s'insérer entre les motifs de l'empreinte. Après séchage, il faut décoller la feuille transparente, souffler de l'air chaud sur le motif pour l'humidifier (afin qu'il fasse conducteur), et l'empreinte peut être plaquée contre le capteur.
Une simplicité enfantine, qui démontre que la nouvelle technique de sécurisation de l'iPhone 5s n'est surtout qu'un confort potentiellement redoutable pour les libertés publiques, comme l'a regretté un représentant de la CNIL allemande.
De plus, le Chaos Computer Club recommande de ne pas utiliser de sécurisation par empreintes pour ne jamais avoir à être contraint de mettre son doigt sur le capteur pour déverrouiller les données, en particulier par la police. "Vous forcer à livrer votre mot de passe est beaucoup plus dur dans la plupart des juridictions, que de faire glisser votre téléphone sur vos mains menottées", fait remarquer le CCC. Il fallait y penser.