Des millions d'utilisateurs se servent dorénavant de leurs empreintes digitales pour débloquer leurs smartphones ou bien payer en ligne. Est-ce pour autant sécurisé ?

Une pression du doigt sur votre smartphone suffit à le déverrouiller. Une nouvelle pression et vous achetez ce que vous voulez en ligne. Cette technologie récente, de Touch ID d’Apple aux différents protocoles présents sur Android, a considérablement changé la manière de se servir de son téléphone. Seulement, une étude des universités de New York et du Michigan publiée lundi dévoile certaines brèches de sécurité que cette innovation implique.

En effet, deux professeurs, Nasir Memon et Arun Ross, accompagnés de leurs post-doctorant Aditi Roy, se sont ainsi penchés sur la question en testant différentes technologies de reconnaissance, utilisant uniquement des capteurs et des bases de données pour leurs tests. En est ressortie une certaine facilité à détourner la sécurité à l’aide de fausses empreintes. Les universitaires ont même développé un ensemble appelé MasterPrints, réunissant une série d’empreintes artificielles, se faisant passer pour des vraies près de 65 % du temps.

La raison principale de cette brèche semble être la petite taille du scanner situé dans le téléphone, ne permettant de n’enregistrer qu’une empreinte partielle, plus facilement falsifiable qu’une empreinte complète. L’étude rajoute que les utilisateurs enregistrent en général plus d’un seul doigt, favorisant ainsi les chances de validation d’une mauvaise reconnaissance : « C’est comme si vous avez 30 mots de passes et que le hacker ne devait en trouver qu’un seul », explique Nasir Memon.

Une étude à prendre avec des pincettes

Mais si cette étude mets en lumière un problème réel, il semblerait qu’elle ait aussi tendance à l’exagérer. Il est à noter d’abord que l’expérience n’a pas été réalisée avec des vrais téléphones possédés par des clients, ce qui réduirait déjà la réussite de MasterPrints. Andy Adler, professeur à l’Université de Carleton au Canada tempère légèrement : « Ce n’est très certainement pas aussi inquiétant que cela le prétend être, mais c’est tout aussi mauvais (…) Si je veux juste prendre votre téléphone et utiliser votre Apple Pay pour acheter des trucs, si j’y arrive une fois sur dix, c’est un mauvais ratio… »

Un chiffre qui descend encore si l’on écoute Apple, qui se défend en parlant d’une chance de 1 sur 50 000 de fausse reconnaissance. Ryan James, porte-parole de la compagnie, assure que le système Touch ID a été testé sous différentes conditions d’attaque pour prévenir ce genre de détournement. Google, de son côté, n’a pas commenté les résultats de cette enquête pour Android — le constructeur ne maîtrise, après tout, pas le hardware de ses partenaires.

Finalement, le risque est difficilement quantifiable d’une manière plus précise. En constante évolution, ces technologies pourraient bientôt prendre en compte la transpiration du doigt ou un examen plus approfondi des couches de peau des doigts utilisés. Mais, comme le souligne Chris Boehnen, travaillant pour le gouvernement sur ces questions de sécurité biométrique, « les compagnies qui construisent des smartphone sont plus inquiètes des clients agacés de mettre 3 fois leurs doigts sur le téléphone pour y avoir accès plutôt que de sécuriser l’accès à quelqu’un qui voudrait entrer  ».

Crédit photo de la une : iPhone 5S / randychiu

Partager sur les réseaux sociaux