Recevez chaque jour toute l'actualité du numérique

x

Les smartphones Android ne sécurisent pas assez leurs lecteurs d'empreintes digitales

Lors de la conférence Black Hat USA 2015, des experts en cybersécurité ont dévoilé plusieurs failles sérieuses dans les lecteurs d'empreintes digitales de smartphones Android.
Twitter Facebook Linkedin Flipboard Email
×

Les smartphones Android ne sécurisent pas assez leurs lecteurs d'empreintes digitales
Les smartphones Android ne sécurisent pas assez leurs lecteurs d'empreintes digitales © Bcymet - Flickr - C.C.

L'authentification biométrique est à la mode : Touch ID, Windows Hello, l'alliance FIDO sur le web... Toute l'industrie semble prête à sauter le pas. Les travaux des chercheurs en cybersécurité Yulong Zhang et Tao Wei rappellent cependant que remplacer un mot de passe par une information biométrique ne suffit pas à sécuriser un appareil.

 

Lors d'une présentation à la conférence Black Hat USA 2015, qui se déroule à Las Vegas du 1er au 6 août, ils ont en effet démontré plusieurs failles de sécurité dans l'infrastructure logicielle dédiée au lecteur d'empreintes digitales du système d'exploitation Android. Non content de pouvoir allègrement passer outre la vérification des empreintes lors de paiements et autres déverrouillages, ils sont aussi parvenus à récupérer les empreintes elles-mêmes directement du téléphone.

 

Une problématique amenée à prendre de l'ampleur

 

Les tests ont été effectués sur le Samsung Galaxy S5 et le HTC One Max (les fabricants ont été notifiés, et ont déjà publié des patchs correctifs), mais tous les téléphones utilisant Android sont potentiellement concernés. Et d'après ZDnet, les ordinateurs portables disposant de lecteurs d'empreintes sont également susceptibles d'être vulnérables. Le système Touch ID utilisé par les appareils Apple n'est en revanche pas concerné, l'accès à ces données requérant une clé cryptée. 

 

Ce type de faille, qui compromet les données biométriques elles-mêmes (utilisées notamment pour les passeports), est d'autant plus grave qu'elles ne peuvent pas être modifiées, contrairement à un mot de passe classique. Il est probable à mesure que leur utilisation va s'accroître que leur sécurisation devienne rapidement un sujet de réflexion majeur pour l'industrie.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media