Seulement ce système a été vite cassé par des hackers du Chaos Computer Club (CCC), prouvant encore une fois que les systèmes d'identification biométrique sont loin d’être parfaits.
La Samsung Galaxy S est le premier smartphone haut de gamme à être livré avec la fonction de la reconnaissance de l’iris. Le constructeur de la solution biométrique est l’entreprise Princeton Identity Inc. Le système promet d'authentifier les utilisateurs de manière sécurisée en s’appuyant de façon exclusive sur l’iris humain qui est unique pour chaque personne.
Un nouveau test mené par les hackers du CCC a montré que cette promesse n’a pas été tenue. En effet, avec une simple maquette de l’œil qui est facile à réaliser, le téléphone peut être déverrouillé comme si c’était l’œil de l’utilisateur légitime. Une vidéo montre comment cette méthode est facile à exploiter par un pirate.
Pour utiliser la reconnaissance de l’iris, l’utilisateur doit fixer l’objectif d'une caméra numérique qui balaie l’iris d’une personne d’une distance de 30 à 60 cm, et acquiert directement son dessin. Elle le compare ensuite à un fichier informatisé d’identification personnelle (les systèmes de comparaison en usage aujourd’hui sont en mesure de fouiller une banque de données à la vitesse de plusieurs millions de codes iridiens par seconde).
Or, l'iris est un organe sensible, sa taille est petite et il est obscurci par les cils, les paupières ou les lentilles de contact. De plus, il est variable et les utilisateurs ont tendance à bouger. Il est donc assez difficile d'avoir une bonne image de l'iris, il faut que ce soit rapide, précis et qu'il n'y ait pas de lumière pouvant se refléter sur l’œil.
La reconnaissance de l’iris pourrait protéger le téléphone s’il tombe dans les mains de personnes étrangères. Mais si par à hasard une personne a la photo du propriétaire, il pourra facilement déverrouiller le téléphone. Les chercheurs du CCC recommandent de recourir à la protection par PIN qui est plus sécurisée si vous tenez à protéger les données présentes sur votre téléphone et aussi pour les paiements effectués depuis votre smartphone. À ce stade, la protection traditionnelle par pin reste une approche plus sûre que le fait d’utiliser vos caractéristiques physiques pour l’authentification, a dit Dirk Engling, porte-parole du CCC. Samsung a annoncé que son système de reconnaisse de l’iris pour l'authentification a été intégré avec son système de paiement Samsung Pay. Ce qui veut dire que si un attaquant arrive à déverrouiller votre téléphone, non seulement il aura accès aux données, mais aussi au portefeuille du mobile.
Le membre de CCC et le chercheur de sécurité starbug a démontré encore une fois à quel point il est facile de casser la protection biométrique comme il l’avait fait avec le lecteur d’empreintes digitales Touch ID d’Apple. Mais le risque est encore plus grand avec la reconnaissance de l’iris puisqu’elles sont exposées tout le temps et une seule image haute définition de l’internet est susceptible de contourner la protection, a dit Dirk Engling.
Starbug a été aussi en mesure de démontrer qu’une bonne caméra avec un objectif de 200 mm peut capturer parfaitement l’iris humain à une distance qui peut atteindre cinq mètres. En effet, la caméra arrive à distinguer les détails de l’iris et l’image capturée trompe le système biométrique. Selon la qualité de l’image, la luminosité et le contraste peuvent être ajustés s’il le faut. Si toutes les structures sont visibles, l’image de l’iris est imprimée avec une imprimante laser. Ce qui est ironique, c’est que les hackers du CCC ont eu les meilleurs résultats avec les imprimantes laser de Samsung. Pour émuler la courbure de la surface de l’œil, les hackers ont placé une lentille cornéenne sur l’iris imprimé.
Malgré sa faiblesse, la reconnaissance de l’iris commence à être introduite dans le marché de l’électronique grand public, pour l’accès aux systèmes de contrôle, dans les aéroports et les frontières, les téléphones mobiles, les objets connectés et même les solutions de paiement et système de réalité virtuelle sont équipés avec cette technologie. Toutefois, l’authentification biométrique, notamment la reconnaissance de l’iris ne répond pas à sa promesse de sécurité.
Source : CCC
Et vous ?
Pensez-vous que Samsung s'est précipité avec cette technologie de la reconnaissance de l'iris ? Ou bien pensez-vous qu'elle n'est pas sûre ?
Voir aussi :
Le Galaxy S8, qui figure parmi les téléphones les plus fragiles selon des tests dispose de pièces de rechange relativement peu coûteuses