Samsung travaille sur un patch pour régler une défaillance de son capteur d’empreintes digitales sur le Galaxy S10. Un banal film protecteur est susceptible de perturber son fonctionnement, permettant ainsi à tort à un tiers de déverrouiller le smartphone.

La biométrie, avenir de l’authentification dans la tech ? Encore faut-il qu’elle soit au point ! Or avec le Samsung Galaxy S10, l’expérience n’est pour ainsi dire pas au top niveau. Lors de notre test du modèle S10+, nous avions jugé que le capteur d’empreintes digitales intégré à l’écran n’est ni fiable ni rapide, au point de devoir procéder à plusieurs essais avant de déverrouiller enfin le smartphone.

Mais ce n’est pas là le pire : en avril, il est apparu que le dispositif pouvait être berné avec une empreinte digitale imprimée en 3D (certes, un minimum de logistique est requis pour récupérer ladite empreinte : il faut la photographier, la retravailler sur le PC, la modéliser et l’imprimer, sans oublier dérober le smartphone de sa cible). Puis en octobre, c’est un autre souci qui a éclaté au grand jour.

Un capteur perturbé par un film de protection

En apposant un banal film protecteur sur l’écran du Samsung Galaxy S10, le capteur d’empreintes digitales n’est plus capable de distinguer une demande de déverrouillage légitime de celle d’un tiers. En clair, si un certain type d’écran est recouvert d’une protection destinée à le préserver des chocs et des salissures, une autre personne peut être en mesure d’accéder au contenu du smartphone. C’est l’expérience qui a été faite par une utilisatrice anglaise qui a également enregistré son empreinte avec ce type de filtre.

Il s’agit d’un problème autrement plus critique que la première méthode, puisque cette technique est encore plus simple à mettre en œuvre : il suffit de coller un film protecteur sur l’écran — il n’est toutefois pas précisé si cette méthode marche à tous les coups ou si elle nécessite plusieurs essais. Ces protections étant courantes, il n’est peut-être même pas nécessaire d’en coller une.

La bonne nouvelle, malgré tout, c’est que Samsung est au courant du problème et qu’il travaille sur un correctif logiciel qui sera prochainement déployé auprès du public. En attendant, il peut être judicieux de se passer du capteur d’empreintes digitales, en optant pour le code de déverrouillage (vous pouvez aussi utiliser un film de protection officiel).

La biométrie doit être une option

En principe, l’authentification par empreinte digitale doit être proposée à condition que le système « résiste à des tentatives de piratage classique, notamment, l’utilisation d’une empreinte imprimée à plat », explique la CNIL. Il faut aussi que soit clairement indiquée la nature du stockage du gabarit de l’empreinte : localement ou à distance. La préférence de la CNIL va à la première solution.

Par ailleurs, même si la tendance est à la biométrie (reconnaissance faciale ou bien prise des empreintes digitales) et qu’on lui prête toutes sortes de mérites, il est nécessaire de ne pas l’imposer : une « alternative à la méthode d’authentification non-biométrique » doit être proposée aux personnes qui ne veulent pas mêler leurs caractères physiques, biologiques ou comportementaux dans l’accès au smartphone

En clair, il faut laisser des alternatives (comme le code PIN, le mot de passe ou le schéma à tracer ), « sans contrainte additionnelle », pour ne pas orienter le choix de la méthode à utiliser.

Source : Numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !