Le Chaos Computer Club fait son marketing

L’organisation allemande s’est fendu d’un communiqué de presse pour annoncer que, en quelques instants, l’un de ses membres a craqué le système biométrique Touche ID du nouvel iPhone.

Le CCC nous a déjà habitué à ses démonstrations qui, fort heureusement, n’ont pas cassé le marché de la carte à puce, à contact et sans contact ou de la biométrie.

De quoi s’agit-il ?

Le 10 septembre, Apple annonce la reconnaissance par empreintes digitales de l’utilisateur du dernier né de la gamme : le iPhone 5S. Cet appareil comprend un lecteur biométrique « Touch ID ».

Onze jours plus tard, le CCC commet un communiqué de presse où il explique comment il a pu casser la sécurité de Touch ID.

Comment ont-ils fait ? L’empreinte digitale du possesseur de l’iPhone est photographiée avec un appareil offrant une résoluiton de 2 400 dpi. L’image de cette empreinte est nettoyée et, inversée et imprimée au laser avec une résolution de 1200 dpi. Puis, on crée une feuille de latex très mince avec l’empreinte du possesseur de l’iPhone.

Cette démonstration avait déjà été faite par le CCC quelques années auparavant dans le même but de montrer la fragilité de la biométrie, selon eux.

Ceci appelle plusieurs remarques :

– Tout d’abord, la qualité du système biométrique utilisé. On peut le ranger dans la gamme des « biométries de confort ». Rien à voir avec le degré de sécurité exigée pour les institutions gouvernementales. À ce propos, seul le Français Morpho a obtenu les certificats de sécurité exigée par la rigoureuse Allemagne.

On pouvait attendre de la part d’Apple à plus de rigueur dans le choix du système biométrique. Cela dit, il faut s’intéresser à l’usage qui en est fait. Par mesure de sécurité, l’iPhone se bloque dès qu’on ne l’utilise pas pendant un certain temps. Il faut retaper le code confidentiel pour le mettre de nouveau en action. C’est fastidieux, c’est pourquoi l’utilisateur dévérouille cette fonction sécuritaire. En cas de vol ou de perte, l’appareil en marche sera utilisé par le voleur. Pour faciliter cette remise en marche, avec Touch ID il suffit de placer son doigt placée en bas de l’écran. C’est l’unique fonction de ce dispositif biométrique. Il ne s’agit donc pas de sécuriser des transactions qui demande une grande sécurité.

– Ensuite, pour « copier » l’empreinte du possesseur de l’iPhone, il faut l’avoir en sa possession —autrement dit en l’ayant volé— et avoir à faire à un utilisateur peu soignant qui ne nettoie jamais son écran. Sinon, impossible de récupérer l’empreinte. IL est peu probable qu’un voleur passe son temps à essayer de reproduire une empreinte, ce qui n’est pas si simple, pour récupérer un téléphone ?

– Enfin, l’empreinte est stockée dans une zone protégée du téléphone mobile. Il lui sera difficile de la modifier pour y stocker celle de la personne à qui il veut vendre le téléphone. Et, faut-il le répéter, copier une empreinte n’est pas une opération si simple à réaliser.

Poster un commentaire

Classé dans Identité électronique, Industrie

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s