Alors que les fabricants de smartphone mettent en avant les capteurs biométriques pour l’authentification des utilisateurs, des chercheurs ont démontré que le contournement est très simple, via de fausse empreintes digitales “passe-partout”.
Le scanner de reconnaissance facial a déjà atteint ses limites très rapidement après sa commercialisation. Mais le scanner d’empreinte digitale continue d’équiper de nombreux smartphones haut de gamme. Pourtant, ce n’est pas plus fiable selon des chercheurs en sécurité des universités de New York et du Michigan. Ces derniers ont en effet réussi à créer de fausses empreinte “passe-partout” permettant d’outrepasser la protection d’un smartphone (et donc de tout ce qu’il renferme : mails, informations sensibles et privées, paiement en ligne, accès aux données chiffrées, etc).
Par ailleurs, les constructeurs de smartphones savent pertinemment que les capteurs utilisés ne sont pas invulnérables, comme peuvent l’être ceux de haute-sécurité. Même Apple a avoué que son capteur avait une chance sur 50 000 d valider les empreintes d’une autre personne.
Les chercheurs (deux professeurs, Nasir Memon et Arun Ross, accompagnés de leurs post-doctorant Aditi Roy) sont allé très loin dans l’étude du contournement du système de scanner d’empreinte : leur but n’était pas d’outrepasser la sécurité d’un appareil en copiant les empreintes d’une personne mais de créer une sorte de “passe-partout” permettant d’accéder à n’importe quel smartphone du marché !
Pour l’instant, les chercheurs en question n’en sont qu’aux simulations avant de passer aux expériences pratiques de déblocage. Les universitaires ont ainsi développé un ensemble appelé MasterPrints, réunissant une série d’empreintes artificielles, se faisant passer pour des vraies près de 65 % du temps.
Mais ils avertissent des risques de piratage bien réels des systèmes biométriques embarqués sur les smartphones. Difficile actuellement de réellement quantifier le risque réel de tout cela…