Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des pirates pourraient voler les empreintes digitales des utilisateurs d'appareils Android à distance
D'après des chercheurs de FireEye

Le , par Michael Guilloux

0PARTAGES

1  0 
Les chercheurs Tao Wei et Zhang Yulong de FireEye ont découvert des failles dans certains appareils Android qui permettent de récupérer les empreintes digitales des utilisateurs. La menace plane sur les appareils Android dotés de capteurs d’empreintes digitales, qui souffrent du fait que les fabricants ne verrouillent pas entièrement les capteurs.

La zone de confiance (TrustZone) des appareils Android présente en effet des défauts de conception. De ce fait, malgré les efforts des fabricants de téléphones pour segmenter et chiffrer les données biométriques dans une zone sécurisée séparée, il est quand même possible de les lire directement sur le capteur à chaque fois qu’un utilisateur le touche. L’attaquant peut dès lors créer une image des empreintes digitales des utilisateurs à partir de ces données. Ce qui lui permet de récolter facilement des empreintes digitales à grande échelle et à distance.

Les empreintes digitales sont supposées protéger l’accès aux données de l’utilisateur, mais le problème avec ce moyen de sécurité est que contrairement aux mots de passe, elles permettent également d’identifier chaque utilisateur de manière unique. Il en résulte que les traces des empreintes digitales d’un individu retrouvées dans une affaire illégale peuvent permettre de l’inculper facilement, et c’est dans ce genre de situation que la collecte des données biométriques peut s’avérer une sérieuse menace pour l’utilisateur. L’attaquant pourra en faire tout ce qu’il voudra.

On pourrait donc penser que l’utilisateur est au moins à l’abri dans le cas des paiements mobiles, où le pirate doit avoir le dispositif entre ses mains pour pouvoir confirmer des opérations. Mais là encore, les chercheurs de FireEye expliquent que les défauts dans le système d’empreintes digitales des appareils Android permettent de détourner les paiements mobiles protégés par les empreintes digitales.

Les appareils Samsung Galaxy S5 ainsi que de nombreux autres dispositifs mobiles de système Android sont affectés par ce problème. Les chercheurs étaient en lice pour faire une démonstration en direct à la conférence Black Hat de cette année. Ils avaient également déjà fait état du problème en avril dernier, ce qui a donné le temps aux fournisseurs alertés de fournir des correctifs.

Tao Wei et Zhang Yulong de FireEye précisent toutefois que le problème pourrait ne pas se limiter aux appareils Android, ni à la plateforme mobile uniquement, ils pourraient aussi affecter les ordinateurs portables haut de gamme qui sont dotés de lecteurs d’empreintes digitales.

Source : Black Hat US 2015

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de miky55
Membre averti https://www.developpez.com
Le 05/04/2016 à 17:21
Citation Envoyé par secuexpert Voir le message
Tu n'utilises pas la biométrie pour identifier ta compagne, tes gosses, tes parents?

Tu n'as pas peur que leurs caractéristiques soient piratées et qu'un inconnu entre chez toi?
LOL Tu dois être en cession de trollage intensif pour aller déterrer un poste aussi vieux
4  1 
Avatar de psykokarl
Membre confirmé https://www.developpez.com
Le 06/08/2015 à 22:27
A partir du moment ou c'est numérisable, c'est copiable...
2  0 
Avatar de miky55
Membre averti https://www.developpez.com
Le 07/08/2015 à 12:40
Citation Envoyé par Le Vendangeur Masqué Voir le message
Si le lecteur est géré par une simple application dans le système, oui, à partir du moment où on peut l'espionner, tu as raison c'est pas sûr du tout. Maintenant t'as l'approche d'Apple avec l'iPhone 6: le capteur est géré directement par un programme dans une puce spécialisée. Celle-ci n'est conçu que pour renvoyer une autorisation d'usage au système, pas l'empreinte elle-même.

Ça me fait penser à la discussion d'hier sur le prix des smartphones. Car c'est justement sur ce genre de détails parmi d'autres que certains constructeurs ont dû faire des économies. Mais là c'est le client qui risque de le payer très cher ensuite…
Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...

En passant, si personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance, certain ont réussi à copier des empreintes et déverrouiller des smartphone très simplement à partir de simples photos...

Je trouve ça triste que les constructeurs de smartphones copient bêtement les modes lancés par Apple quand celles-ci sont si inutiles et contre productives...
3  1 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 06/08/2015 à 17:19
Des pirates pourraient voler les empreintes digitales des utilisateurs d'appareils Android à distance
D'après des chercheurs de FireEye
D'après moi, des pirates pourraient voler les empreintes digitales des utilisateurs de n'importe quels terminaux et de n'importe quels OS.

Je déconseille fortement d'utiliser vos empreintes comme mots de passe.
1  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 06/08/2015 à 18:32
Utiliser son corps pour s'authentifier dans un système d'information a toujours été ridicule. Qui a envie de se faire couper le doigt pour permettre au voleur de déverrouiller votre téléphone ?
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 06/08/2015 à 21:59
Tenez mon bon monsieur voici ma prothèse d’œil pour passe le scanner rétinien
1  0 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 07/08/2015 à 8:29
Citation Envoyé par nirgal76 Voir le message
Avec un système utilisant le réseau veineux, couper le doigt n'aiderait pas, mais c'est trop couteux pour utiliser sur un smartphone.
rien n’empêche de mettre le doigt sur un système d’irrigation sanguine mais c'est vrai c'est un peut chère le larcin ^^
1  0 
Avatar de
https://www.developpez.com
Le 07/08/2015 à 8:40
Depuis que je me suis rendu compte que le propriétaire du logement où je réside considère que le fait que l'adresse de domiciliation figurant au dos de ma carte d'identité, dans mon passport, dans mon permis de conduire et partout ailleurs est la sienne, puisque je suis bailleur, fait qu'il me considère comme sa propriété. Oui à partir de cette instant se type d'erreurs est possible.
1  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 07/08/2015 à 9:49
. Maintenant t'as l'approche d'Apple avec l'iPhone 6: le capteur est géré directement par un programme dans une puce spécialisée. Celle-ci n'est conçu que pour renvoyer une autorisation d'usage au système, pas l'empreinte elle-même.
Je préfère partir du principe que tous peut se pirater, même sur un Iphone, c'est pour cela que jamais je n’utilisais ce moyen d'identification.
2  1 
Avatar de TiranusKBX
Expert confirmé https://www.developpez.com
Le 07/08/2015 à 16:30
Citation Envoyé par miky55 Voir le message
Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...

En passant, si personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance, certain ont réussi à copier des empreintes et déverrouiller des smartphone très simplement à partir de simples photos...

Je trouve ça triste que les constructeurs de smartphones copient bêtement les modes lancés par Apple quand celles-ci sont si inutiles et contre productives...
il me semble que c'est Samsung qui avait ouvert le bal des smartphones déverrouillés par empreinte digitale
1  0