un outil ridiculement accessible permet de hacker les lecteurs d'empreintes
Pour 15 dollars, l'outil BrutePrint permet de forcer le lecteur d'empreintes digitales des smartphones Android.
On a tous déjà vu l’histoire dans un film ou une série… Pour contourner une porte avec lecteur d’empreintes digitales, les malfrats vont jusqu’à couper le doigt d’une personne qui y a accès ! On sait en effet que ces dactylogrammes sont un moyen de sécurisation très simple dans le sens ou il n’y a qu’une chance sur 64 milliards que deux individus aient les mêmes.
C’est notamment pour cela que la sécurisation des smartphones via ces fameuses empreintes s’est très vite démocratisée. Pourtant, des hackers ont mis au point un outil qui permet de forcer cette sécurité pour 15 dollars à peine sur les smartphones Android.
Une simple puce électronique
Comme l’indiquent les spécialistes de ArsTechnica, c’est donc un outil du nom de BrutePrint qui permet de rendre le hack du lecteur d’empreinte si simple. Des chercheurs en sécurité informatique ont en effet découvert que cette puce électronique que l’on peut trouver pour 15 dollars permet de cracker facilement les lecteurs d’empreintes.
En un temps record
Cette puce basée sur plusieurs microcontrôleurs bon marché permet de se relier à la carte mère d’un smartphone et d’un lecteur d’empreinte digitale. Elle va ensuite se servir de ce qu’on appelle le « seuil de référence » entre l’empreinte enregistrée par l’utilisateur du téléphone et l’empreinte posée sur le capteur. C’est en fait la marge d’erreur acceptée par le capteur pour déverrouiller le smartphone.
BrutePrint va donc proposer des empreintes au capteur en piochant dans une base de données en accès libre. Aussi, la puce va contourner le système de sécurité qui empêche un nombre de fausses tentatives trop élevé.
Les iPhone épargnés
Les chercheurs en sécurité ont ainsi étudié plusieurs modèles de smartphones pour voir leur degré de résistance à BrutePrint. Le moins que l’on puisse dire, c’est que les résultats sont assez « effrayants » à la vue de la complexité des empreintes digitales. Ainsi, un Samsung Galaxy S10 met au minimum 40 minutes à craquer. Le délai le plus long est de 14 heures.
Si cela paraît énorme, on peut imaginer que cette durée pourrait se réduire considérablement à mesure que l’outil s’améliorera. Il faut également prendre son faible coût en compte. Aussi, le TouchID des iPhone semble pour le moment à l’abri puisque les iPhone SE et l’iPhone 7 utilisés pour le test ne se sont pas déverrouillés. Pour se protéger, pas besoin de se jeter sur un téléphone de la marque à la pomme ! Les responsables de l’étude indiquent que les autres méthodes de déverrouillage comme la reconnaissance faciale ou l’utilisation d’un code permettent de sécuriser son appareil. Aussi, des mises à jour régulières restent une bonne arme contre les failles de sécurité.
Source: 24matins.fr
