Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

iPhone 5S : Touch ID déjà hacké et une faille sur iOS 7 permet de contourner l'écran de verrouillage
Pour accéder aux courriels de la victiime

Le , par Stéphane le calme, Chroniqueur Actualités
Mise à jour du 23/09/2013

Le concours IsTouchIDhackedyet qui récompensera le premier hacker à réussir à apporter la preuve formelle par vidéo d'un hack de Touch ID pourrait avoir un gagnant allemand : Chaos Computer Club (CCC).

Le principe qu'ils ont utilisé est relativement simple, bien que hors de portée du premier venu : le CCC s'est basé sur une méthode pour contourner les protections de ce type qu'ils ont présentée le 26 octobre 2004. La première étape consiste à récupérer les empreintes de la victime et d'en fabriquer un masque armé de colle et de latex. La manipulation nécessite une impression laser en 1 200 ppp sur une feuille transparente. Cette photo est ensuite utilisée pour façonner l'empreinte digitale qui servira à déverrouiller le téléphone de la victime. Autant dire qu'elle sera difficile à reproduire dans la vie réelle. Ci-dessous une vidéo du résultat.


CCC conclut en disant que cette protection est « inadéquate comme méthode de contrôle d'accès et devrait être évitée. ». Il faut savoir qu'en théorie, l'article « iPhone 5S: About Touch ID security » établit que la probabilité qu'une empreinte corresponde à celle du propriétaire est de 1 sur 50 000, contre 1 sur 10 000 pour l'utilisation du code à quatre chiffres. Il serait donc plus difficile de mettre à mal la sécurité avec Touch ID. Toutefois, avec la méthode décrite par CCC, les rôles pourraient être inversés.

Pour l'instant, les organisateurs du concours n'ont pas décidé si CCC est bien parvenu à un hack, puisqu'à la question « Is Touch ID Hacked Yet? » ils ont répondu « Maybe! ».

De plus, jeudi 19 septembre, un utilisateur du nom de Jose Rodriguez a mis en ligne une vidéo exposant une faille de sécurité sur la nouvelle version du système d'exploitation d'Apple. En effet, il est actuellement possible d'avoir accès à toutes les photos d'un utilisateur, ses contacts et ses réseaux sociaux même si celui-ci a mis un code d'accès sur son écran de verrouillage.

Pour cela, il suffit d'aller dans le nouveau centre de notifications (accessible sans avoir à déverrouiller le téléphone), puis dans le menu alarme. Ensuite, il faut maintenir son doigt sur le bouton de veille, comme pour éteindre l'iPhone. Il faut sélectionner « annuler », puis double cliquer sur le bouton principal afin d'ouvrir le menu « multitâche », qui regroupe les applications déjà lancées.


Apple y est allé de son commentaire en assurant à Forbes « prendre la sécurité très au sérieux et être au courant de ce problème » tout en précisant qu'une mise à jour pour remédier au problème serait bientôt disponible. Avant la disponibilité du correctif, rendez-vous à l'option « Centre de contrôle » dans le menu réglages pour désactiver « accès sur écran verrouillé ».

Sources : Is Touched ID Hacked Yet? , Chaos Computer Club, Iphone 5S: About Touch ID security, Forbes

Et vous ?

Qu'en pensez-vous ? CCC a-t-il réussi le hack de Touch ID selon vous ?

De Touch ID ou du mot de passe, lequel de ces moyens de protection des données vous semble-t-il le plus sécuritaire ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Marwindows Marwindows - Membre confirmé http://www.developpez.com
le 23/09/2013 à 9:46
C'est marrant j'aurais pu me faire 16000 €
Cf mon message posté avant la mise en ligne de cette vidéo ^^
Avatar de Bebel Bebel - Membre éprouvé http://www.developpez.com
le 23/09/2013 à 9:49
Il y a plus simple, un petit coup de couteau et le tour est réglé
Avatar de Mr_Exal Mr_Exal - Membre expert http://www.developpez.com
le 23/09/2013 à 10:13
Citation Envoyé par Marwindows  Voir le message
L'empreinte de detenteur de l'iphone est sur ce fameux bouton ...
Pour ce faire il suffit d'extirper l'empreinte et de la réutiliser :
http://arsouyes.org/index.php?id=931
Fin de la manoeuvre

J'y ai pensé (comme tous ceux qui ont vu bienvenue à Gattaca je pense )
Avatar de Marwindows Marwindows - Membre confirmé http://www.developpez.com
le 23/09/2013 à 10:33
Citation Envoyé par Zweet  Voir le message
J'y ai pensé (comme tous ceux qui ont vu bienvenue à Gattaca je pense )

Ou ceux qui aiment le lockpicking et les dérivés moderne
Avatar de Mr_Exal Mr_Exal - Membre expert http://www.developpez.com
le 23/09/2013 à 10:39
Citation Envoyé par Marwindows  Voir le message
Ou ceux qui aiment le lockpicking et les dérivés moderne

C'est vrai D'ailleurs si tu as des sources à ces sujets je suis preneur !
Avatar de pmithrandir pmithrandir - Membre expert http://www.developpez.com
le 23/09/2013 à 10:54
Franchement... je doute que la technique soit si difficile a reproduire que cela...

Déjà, les empreintes sont partout sur le téléphone(c'est beau le tactile) donc la voleur n'a que l'embarra du choix.

Ensuite, une impression laser a 1200 dpi... c'est pareil, pas très dur a trouver...

Reste a le modeler, mais je suis sur qu'avec un poil de temps, on pourra passer cette étape... Dans le style d'un trompe l'oeil par exemple.

Après, quid d'un mec qui comme moi il y a 2 semaines, se prend un coup de cutter sur le pouce en bricolant... cette mini balafre m’empêche d'utiliser mon mobile pendant 10 jours le temps que ca cicatrise ?
Avatar de Marwindows Marwindows - Membre confirmé http://www.developpez.com
le 23/09/2013 à 10:57
Citation Envoyé par Zweet  Voir le message
C'est vrai D'ailleurs si tu as des sources à ces sujets je suis preneur !



Par rapport au lockpicking ? (parce que les techniques moderne c'est rien de plus que de la sécu, et pour en parler faudrait plus qu'un post
Ya des bouquin de mille page consacré juste à une seule parcelle de ce domaine ^^ )

En tout cas pour le lockpicks je t'apprendrais pas grands choses sinon :
Les bases :
lockpickingfrance

Un peu d'approfondi :
Youtube Lockpicking

Puis une bonne boutique :
http://www.sparrowslockpicks.com

Mais bon y a pas de secret c'est la curiosité, qui fait l'apprentissage
Avatar de Mr_Exal Mr_Exal - Membre expert http://www.developpez.com
le 23/09/2013 à 11:20
Ouaip pour le lockpicking ! En fait ça m'intéresse mais j'ai jamais pris le temps de m'y consacrer

Merci pour les liens !
Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 23/09/2013 à 17:11
Citation:
Envoyé par Zweet Voir le message
C'est vrai D'ailleurs si tu as des sources à ces sujets je suis preneur !

Par rapport au lockpicking ? (parce que les techniques moderne c'est rien de plus que de la sécu, et pour en parler faudrait plus qu'un post
Ya des bouquin de mille page consacré juste à une seule parcelle de ce domaine ^^ )

En tout cas pour le lockpicks je t'apprendrais pas grands choses sinon :
Les bases :
lockpickingfrance

Un peu d'approfondi :
Youtube Lockpicking

Puis une bonne boutique :
http://www.sparrowslockpicks.com

Mais bon y a pas de secret c'est la curiosité, qui fait l'apprentissage

Si besoin est n'hésite pas à me contacter. Je fais du loockpicking depuis tout petit. Entre neiman / bupkey / pickgun / crochet etc... Je peux t'affirmer une chose, rien n'est infaillible !
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior http://www.developpez.com
le 23/09/2013 à 18:31
Citation Envoyé par Shuty  Voir le message
Si besoin est n'hésite pas à me contacter. Je fais du loockpicking depuis tout petit. Entre neiman / bupkey / pickgun / crochet etc... Je peux t'affirmer une chose, rien n'est infaillible !

un petit coup de perceuse...
Avatar de NahMean NahMean - Membre averti http://www.developpez.com
le 24/09/2013 à 16:25
De Touch ID ou du mot de passe, lequel de ces moyens de protection des données vous semble-t-il le plus sécuritaire ?

Sans aucun doute possible c'est le mot de passe qui me semble le plus sécuritaire pour une raison très simple, si quelqu'un trouve mon mot de passe, je peux toujours le changer, si quelqu'un hack mon "Touch ID" qui est stockée dans ce smartphone mais pas accessible (eheh j'en rigole encore ...) et bien je ne peux plus rien faire et ceci à vie !

L'utilisation du passe biométrique ne devrait que se faire pour des données sensibles voir vitales, pas pour déverrouiller son téléphone !

Apple joue très gros avec ce gadget, j'espère pour eux que personne ne va s'amuser a trouver le moyen de récupérer ces données biométriques ... vue qu'en ce moment la mode est au découverte d'espionnage grandeur nature
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités http://www.developpez.com
le 30/09/2013 à 9:10
iOS 7.0.2 : Apple colmate les failles dans la sécurité de l'écran de verrouillage,
une nouvelle voit le jour

Il y a quelques jours, Apple a confirmé la présence de deux bugs dans iOS 7. Le premier, mis en lumière par un internaute, permettait de contourner l’écran de verrouillage et d’accéder à différentes données de l’utilisateur au prix d'une manipulation relativement complexe. Le second a été révélé par un entrepreneur palestinien qui avait découvert un moyen de lancer des appels téléphoniques vers n’importe quel numéro depuis l’écran de verrouillage d’un iPhone sous iOS7. L'entreprise qui a expliqué à Forbes « prendre la sécurité très au sérieux. » a publié la mise à jour iOS 7.0.2 jeudi dernier.


Comme Apple le précise dans le descriptif de la mise à jour, un correctif aux failles qui permettent de contourner la sécurité de l’écran de verrouillage est apporté. Notons au passage que Apple réintroduit également en option l’utilisation du clavier grec pour la saisie du code.

Cette mise à jour de 21 Mo est compatible avec l’iPhone (à partir de l’iPhone 4), l’iPad (à partir de l’iPad 2), l’iPad mini et l’iPod touch de 5e génération. Elle se télécharge directement depuis l’appareil sous iOS (via Réglage/Général/Mise à jour logicielle) ou depuis la dernière version d’iTunes 11.1 disponible sous Mac OSX et sous Windows.

Malgré cette mise à jour, une nouvelle vulnérabilité impliquant un appel Facetime pour accéder aux contacts, messages et même aux photos est apparue. Ci-dessous une vidéo explicative.


Source : Forbes

Et vous ?

Qu'en pensez-vous ?
Offres d'emploi IT
Développeur C# WPF Confirmé H/F
MCNEXT - Ile de France - Paris (75002)
Lead développeur python django angular h/f
HR TEAM - Ile de France - Paris (75000)
Consultant technico-fonctionnel h/f
BULL FR - Rhône Alpes - Grenoble (38000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil