Capteurs d’empreintes digitales mobiles : sécurisés ou non ?

27 Jan 2016

Presque tous les smartphones les plus importants ont été équipés de scanners d’empreintes digitales à la mode. Les fabricants affirment que les capteurs biométriques améliorent l’expérience d’utilisation et la sécurité des appareils mobiles. Mais est-ce que c’est vrai ?

 

fingerprints-featured

 

Pas exactement. Pour commencer, les capteurs ne sont pas infaillibles. Les anciens scanners capacitatifs ont du mal à reconnaître les empreintes digitales mouillées, et dans tous les cas, ils ne fonctionnent pas toujours à la première tentative. Donc, si vos mains transpirent en été ou pendant un entraînement, votre smartphone pourrait se braquer et ne pas vous reconnaître. Les cicatrices, griffures ou autres altérations de la peau peuvent également amoindrir la qualité de reconnaissance. De plus, de nombreux capteurs sont incapables de distinguer un vrai doigt d’un moulage, et c’est une faille importante en termes de sécurité.

 

Certains de ces problèmes seront résolus quand Qualcomm sortira le capteur ultrasonique qui utilise des ultrasons pour scanner une image 3D de votre doigt. Il sera impossible de le tromper avec un moulage du doigt. De plus, le nouveau capteur ultrasonique fonctionne même si votre doigt est sale ou humide. Mais il reste d’autres menaces.

 

 

Les nouvelles technologies sont toujours vulnérables, justement parce qu’elles sont nouvelles. Trouver une innovation n’est pas suffisant : il faut que celle-ci soit implantée d’une manière sécurisée, et tous les fabricants ne sont pas capables de le faire. Et même s’ils se chargent de cette tâche, elle ne sera certainement pas bien réalisée pour la toute première version. En août 2015, une nouvelle manière de voler des empreintes digitales à distance et à grande échelle a été découverte.

 

Des experts de sécurité ont découvert que les smartphones HTC One Max et Samsung Galaxy S5 stockaient les images d’empreintes digitales dans un fichier .bmp non chiffré pouvant être lu par n’importe quelle application, comme une image bitmap normale. Tout logiciel ayant accès aux images de l’utilisateur et à Internet peut les voler. Les développeurs ont émis un correctif rapidement après la découverte, mais qui peut nous garantir qu’ils ne feront pas la même erreur avec les nouveaux téléphones et les nouvelles versions OS ?

 

De plus, de nombreux smartphones ont des capteurs mal protégés qui laissent les maliciels prendre des photos directement depuis les scanners d’empreintes digitales. Il est intéressant de noter que les smartphones Apple sont plutôt sûrs étant donné que les données des empreintes digitales du scanner sont chiffrées.

 

 

Certains fabricants (comme Hawei, par exemple) utilisent la technologie ARM TrustZone pour protéger les données de leurs appareils. Elle fonctionne avec des images d’empreintes digitales dans un monde virtuel  » dédié « , qui n’est pas accessible pour l’OS principal. Par conséquent, des données cruciales (comme les empreintes d’identité) ne peuvent pas être divulguées par des applications tierces. Malheureusement, cette technologie peut aussi être défaillante. Cela dépend du modèle d’implantation.

 

Quand on dit que les empreintes digitales ne sont pas un mot de passe et que leurs propriétaires ne peuvent pas les partager avec d’autres personnes, les oublier ou même les montrer à d’autres, ne le croyez pas ! Cette année, des chercheurs ont démontré à quel point il est facile de voler une empreinte digitale, à distance, sans même qu’il y ait contact face à face avec la personne. Il est possible de le faire à l’aide d’une photo de bonne qualité des doigts de la victime. Un appareil photo réflex avec un bon zoom ou même une photo de magazine imprimée en haute résolution suffisent. D’ailleurs, la même méthode peut être utilisée pour reproduire un iris.

 

Lorsqu’un mot de passe est divulgué, il est possible de le changer en quelques minutes, mais les empreintes digitales sont à vie. Que se passe-t-il si elles sont volées ? C’est pour cette raison que vous ne devez pas croire aveuglément toutes les promesses de marketing des fabricants populaires. Si vous possédez un téléphone avec un capteur d’empreintes digitales intégré, nous vous recommandons de suivre ces trois règles simples.

Scanners pour  #empreintesdigitales : #sécurité supplémentaire ou vulnérabilité supplémentaire ?

 

  1. Malgré les promesses des entreprises, n’utilisez pas votre scanner d’empreintes digitales pour authentifier sur PayPal ou d’autres services financiers. Cela n’est pas sûr. Aujourd’hui, vous avez votre téléphone entre les mains, mais demain, il peut être volé. Un voleur peut facilement copier vos empreintes depuis la surface du téléphone elle-même et les utiliser pour acheter quelque chose. Il est plus difficile de compromettre les mots de passe, mais uniquement si vous les utilisez correctement.

 

 

  1. Les index et les pouces sont les doigts les plus fréquemment choisis pour la connexion biométrique. C’est pratique, mais ce n’est pas une bonne idée parce qu’il s’agit des doigts que nous utilisons le plus fréquemment lorsque nous faisons quelque chose sur notre téléphone. Il est donc possible de trouver une trace intacte de ces doigts sur n’importe quel téléphone et de faire de fausses empreintes pour passer outre la protection, et il existe de nombreux manuels qui expliquent comment faire sur Internet. Il faut donc mieux utiliser l’annulaire ou l’auriculaire de la main gauche pour les droitiers, et inversement.

 

  1. Un scanner d’empreintes digitales n’est pas suffisant pour protéger vos données personnelles. Si la confidentialité de vos données vous inquiète, songez à utiliser une application spéciale. Kaspersky Internet Security pour Android, par exemple, a des fonctionnalités antivols et de contacts personnels intégrées. Il peut vous aider à tracer un téléphone volé, effacer toutes les données de l’appareil à distance ou cacher votre historique SMS ou votre liste de contacts aux curieux.

 

 

De manière générale, les scanners d’empreintes digitales sont une grande innovation, plus utile que nocive. Cependant, nous vous y fiez pas trop ; utilisez cette nouvelle technologie de manière intelligente et ne négligez pas les mots de passe, l’authentification à deux facteurs et les autres mesures de sécurité.