L’une des annonces les plus importantes avec le lancement du smartphone Samsung Galaxy S10 a été le tout nouveau scanner d’empreintes digitales «intégré» pour les modèles S10 et S10 +. Le scanner intégré à l’écran n’était pas uniquement pratique, mais grâce à la sécurité supplémentaire offerte par le capteur d’empreintes digitales à ultrasons plutôt que par un lecteur optique traditionnel. Nous étions assurés que cela était capable de créer une carte 3D complexe de votre empreinte digitale, ce qui signifiait que seuls vous et vous-même pouviez déverrouiller votre téléphone. Il semble maintenant que Samsung se soit trompé en tant qu’un chercheur en sécurité a montré comment il avait dupé le lecteur d’empreintes digitales avec une copie imprimée en 3D.
Comment fonctionne l’empreinte digitale ultrasonique ?
La différence avec le lecteur d’empreintes digitales à ultrasons des smartphones Galaxy S10 et S10 + par rapport aux scanners capacitifs plus traditionnels réside dans le fait qu’il peut capturer une image 3D plutôt qu’une image 2D. En utilisant des ondes sonores ultrasonores à très haute fréquence, le scanner peut cartographier une empreinte digitale avec des détails étonnants, comprenant des arêtes et des pores ainsi que les motifs « plats » que nous sommes plus habitués à voir. Pour ce faire, il transmet une impulsion de son ultra-son contre votre doigt, puis analyse la pression de l’impulsion qui en résulte. Cela sera différent pour tout le monde, car chaque empreinte absorbera des quantités différentes de la pression des vagues, faute d’une manière plus simple de décrire le processus, une carte 3D unique sera créée. Une carte qui capture des données de profondeur sur différents points du scanner, rendant la carte résultante très détaillée dans toutes les dimensions. Jusqu’ici tout va bien. Alors, qu’est-ce qui a mal tourné ?
Comment le pirate informatique a-t-il cassé le scanner ?
La vérité est que rien n’a mal tourné en ce qui concerne le scanner, il a fait son travail comme prévu. Malheureusement, le chercheur (connu sous le nom de darkshark9) a pu utiliser une photographie de son empreinte digitale à partir d’un verre de vin et, à l’aide de Photoshop, en créer un masque alpha. Ce masque a ensuite été exporté vers le logiciel 3ds Max afin de créer un déplacement de géométrie afin d’obtenir un modèle 3D très détaillé et surélevé. Il s’agissait alors simplement d’imprimer ce modèle à partir de son imprimante à résine LCD AnyCubic Photon dont le niveau de précision atteignait 10 microns. Cela garantissait que toutes les crêtes de l’empreinte digitale étaient correctement rendues. Le temps d’impression était de 13 minutes, après quoi la fausse empreinte digitale résultante ouvrait à chaque fois le Galaxy S10. J’ai dit plus tôt que le pirate informatique avait dupé le scanner, mais en réalité, ce n’est pas le cas.
Est qu’il y a des risques réels pour les utilisateurs ?
Cela dépend vraiment de qui vous êtes, des données stockées sur votre téléphone et du nombre de personnes qui souhaitent y accéder. Bien que darkshark9 déclare qu' »il n’y a rien qui m’empêche de voler vos empreintes digitales sans que vous le sachiez » et que « si je vole le téléphone de quelqu’un, leurs empreintes digitales sont déjà dessus », la vérité est que cela exigerait un alignement parfait des circonstances. Pour certaines personnes très en vue, un tel scénario d’attaque présente en effet un risque. Cependant, pour la moyenne Jo (Anne), il n’y a pas grand-chose à craindre ici. Bien sûr, si quelqu’un volait votre téléphone, il pourrait théoriquement avoir accès non seulement à vos données personnelles, mais également à votre compte bancaire, car la plupart d’entre eux reposent désormais sur un identifiant d’empreinte digitale pour authentifier l’utilisateur sur l’application.
Devrais-je arrêter d’utiliser mon empreinte digitale ?
Non, cela ne serait pas souhaitable à mon humble avis. Il y aura toujours un compromis entre commodité et sécurité, c’est pourquoi la plupart des gens n’utilisent pas de code PIN ou de mot de passe. La plupart des experts en sécurité estiment généralement que les deux méthodes d’authentification sont plus sûres que la biométrie à empreintes digitales, mais qu’elles sont plus compliquées à mémoriser et à saisir le code. C’est la raison pour laquelle de nombreuses personnes voient leur téléphone toujours déverrouillé, ce qui n’exige aucune authentification de ce type. Les biométriques telles que la reconnaissance des visages et des empreintes digitales surmontent ce problème en étant «suffisamment sécurisées» pour la plupart des gens, sans ajouter aucun inconvénient pour l’utilisateur. « L’ensemble du mouvement d’authentification biométrique au niveau des consommateurs de l’électronique ne sera jamais très sécurisé », confirme Ian Thornton-Trump, responsable de la cybersécurité chez AmTrust Europe, en me disant « je ne suis pas un partisan de la reconnaissance faciale, de la reconnaissance vocale ou de l’authentification d’empreinte digitale, mais les consommateurs le sont et ce n’est pas une mauvaise chose. » Je recommanderais certainement toujours un appareil protégé contre les empreintes digitales à un autre sans protection. Ce conseil reste le même à la lumière du hack Galaxy S10. En fait, mêmedarkshark9 lui-même affirme que le lecteur d’empreintes digitales à ultrasons du S10 est probablement plus sûr que les capteurs optiques ou capacitifs d’autres smartphones. « Les capteurs optiques peuvent être piégés avec une simple numérisation et l’impression sur papier d’une empreinte digitale », note-t-il, « les ultrasons ne peuvent pas. » Comme nous l’ avons signalé ici à Forbes le mois dernier, le scanner d’empreintes digitales est certainement plus sécurisé que la reconnaissance faciale qui peut être vaincue par une vidéo du propriétaire placée devant le smartphone.