Les chercheurs Tao Wei et Zhang Yulong de FireEye ont découvert des failles dans certains appareils Android qui permettent de récupérer les empreintes digitales des utilisateurs. La menace plane sur les appareils Android dotés de capteurs d’empreintes digitales, qui souffrent du fait que les fabricants ne verrouillent pas entièrement les capteurs.
La zone de confiance (TrustZone) des appareils Android présente en effet des défauts de conception. De ce fait, malgré les efforts des fabricants de téléphones pour segmenter et chiffrer les données biométriques dans une zone sécurisée séparée, il est quand même possible de les lire directement sur le capteur à chaque fois qu’un utilisateur le touche. L’attaquant peut dès lors créer une image des empreintes digitales des utilisateurs à partir de ces données. Ce qui lui permet de récolter facilement des empreintes digitales à grande échelle et à distance.
Les empreintes digitales sont supposées protéger l’accès aux données de l’utilisateur, mais le problème avec ce moyen de sécurité est que contrairement aux mots de passe, elles permettent également d’identifier chaque utilisateur de manière unique. Il en résulte que les traces des empreintes digitales d’un individu retrouvées dans une affaire illégale peuvent permettre de l’inculper facilement, et c’est dans ce genre de situation que la collecte des données biométriques peut s’avérer une sérieuse menace pour l’utilisateur. L’attaquant pourra en faire tout ce qu’il voudra.
On pourrait donc penser que l’utilisateur est au moins à l’abri dans le cas des paiements mobiles, où le pirate doit avoir le dispositif entre ses mains pour pouvoir confirmer des opérations. Mais là encore, les chercheurs de FireEye expliquent que les défauts dans le système d’empreintes digitales des appareils Android permettent de détourner les paiements mobiles protégés par les empreintes digitales.
Les appareils Samsung Galaxy S5 ainsi que de nombreux autres dispositifs mobiles de système Android sont affectés par ce problème. Les chercheurs étaient en lice pour faire une démonstration en direct à la conférence Black Hat de cette année. Ils avaient également déjà fait état du problème en avril dernier, ce qui a donné le temps aux fournisseurs alertés de fournir des correctifs.
Tao Wei et Zhang Yulong de FireEye précisent toutefois que le problème pourrait ne pas se limiter aux appareils Android, ni à la plateforme mobile uniquement, ils pourraient aussi affecter les ordinateurs portables haut de gamme qui sont dotés de lecteurs d’empreintes digitales.
Source : Black Hat US 2015
Et vous ?
Qu’en pensez-vous ?
Des pirates pourraient voler les empreintes digitales des utilisateurs d'appareils Android à distance
D'après des chercheurs de FireEye
Des pirates pourraient voler les empreintes digitales des utilisateurs d'appareils Android à distance
D'après des chercheurs de FireEye
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !