L'iPhone 5s propose une nouvelle méthode pour verrouiller son téléphone, basée sur les empreintes digitales du propriétaire. Apple assure que cette fonctionnalité est sûre. Un concours de hack a été lancé pour le vérifier.

La semaine dernière, Apple a présenté l'iPhone 5s. Au cours de la conférence, le lecteur biométrique intégré au bouton principal est apparu comme la grande évolution du smartphone. Baptisé Touch ID, ce système donne la possibilité au propriétaire d'utiliser ses empreintes digitales pour déverrouiller son mobile. Cette fonctionnalité n'est pas obligatoire ; elle s'ajoute aux autres modes de sécurité (code PIN, etc.).

L'arrivée d'un dispositif biométrique soulève toutefois des questions légitimes. Est-ce un moyen sûr de protéger le contenu d'un terminal ? Les empreintes sont-elles correctement protégées de toute utilisation frauduleuse ? Que se passe-t-il si elles sont finalement compromises ? Lors de sa keynote, Apple s'est voulu rassurant en indiquant par exemple que les données biométriques sont chiffrées dans la puce A7.

Constatant que l'inquiétude à l'égard de Touch ID peine à se dissiper, Apple a fourni des précisions sur ce mécanisme. "Touch ID n'héberge aucune image de votre empreinte digitale. Il stocke uniquement une représentation mathématique de votre empreinte digitale. Il n'est pas possible de retrouver votre image d'empreinte digitale depuis sa représentation mathématique par ingénierie inversée".

Un concours

Le lecteur biométrique représente en tout cas un obstacle que certains aimeraient bien franchir, ne serait-ce que par défi et goût de l'exploit. Ainsi, le site "Is Touch ID hacked yet ?" ("est-ce que Touch ID a été contourné ?") propose aux bidouilleurs, experts en sécurité et informaticiens un concours : si quelqu'un parvient le premier à trouver un moyen fiable et exploitable dans le temps pour casser Touch ID, il sera récompensé.

La récompense est d'abord pécuniaire ; toutefois, les lots – fournis par des volontaires – regroupent aussi des bouteilles d'alcool, un magazine pornographique, un iPhone 5c et des crédits Bitcoin. Les initiateurs de ce concours, qui semble d'abord fondé sur le fun que sur un réel objectif de hack, précisent que n'importe qui peut participer… ou contribuer à la récompense.

Manifestement, le concours de hack pose une condition : il faut que la méthode soit relativement simple, par exemple en récupérant des empreintes digitales laissées sur une surface quelconque. Pas question, par exemple, de sectionner une phalange pour accéder au contenu d'un iPhone. D'ailleurs, mutiler le propriétaire d'un iPhone n'est pas un gage de réussite : en fait, ce serait inefficace.

Au-delà du concours lui-même, nul doute que des hackers cherchent d'ores et déjà un moyen technique pour surclasser le Touch ID. Y parviendront-ils ? Et surtout, arriveront-ils à élaborer une technique relativement simple, c'est-à-dire qui représente une réelle menace de sécurité ? Aux bidouilleurs d'y répondre.

D'ici là, les craintes ne cesseront pas, en témoigne la frilosité de la CNIL allemande et le courrier (.pdf) adressé à Tim Cook, le PDG d'Apple, par le sénateur démocrate Al Franken et actuel président de la sous-commission "Vie privée, Technologie et Droit".


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.