Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Non, la biométrie ne fait pas tout. Et non, elle n’a pas été piratée sur l’iPhone 5s

auteur de l'article Jerome Saiz , dans la rubrique Marché

L’on a tout entendu au sujet de la protection biométrique de l’iPhone 5s. Tout, mais surtout hélas les élucubrations des « anti », dont l’aveuglement est inversement proportionnel à leur connaissance du sujet. Pour eux, reprenons :

La biométrie n’est qu’un facteur d’authentification supplémentaire. Son rôle n’est pas d’être le verrou définitif mais, au choix : d’augmenter la solidité des processus d’authentification existants pour ceux qui en ont (le code PIN, par exemple – bien que sur l’iPhone il semble que ce soit l’un ou l’autre) ou offrir un niveau de sécurité de base, simple et pratique, aux inconscients qui n’en n’ont pas (50% des utilisateurs de smartphone ne verrouillent pas leur terminal).

De tout temps, les protections biométriques ont pu être compromises. On en parlait d’ailleurs déjà ici même en 2002. Et pourtant la biométrie continue à être utilisée pour ce qu’elle apporte. L’important est d’en connaître les limites et la choisir en connaissance de cause.

Pour que TouchID soit réellement « piraté », il faudrait qu’un attaquant parvienne par exemple à extraire les informations d’empreintes de la zone protégée du processeur afin de les remplacer par les siennes. Ou qu’il trouve le moyen de modifier le code chargé d’autoriser l’accès au terminal pour que celui-ci accepte n’importe quelle empreinte. Nul doute que des hackers brillants y travaillent en ce moment même, et nous sommes impatients à l’idée de découvrir leurs techniques. Mais jusqu’à présent ce n’est pas arrivé et TouchID n’a pas été piraté. Seules des empreintes ont été copiées.

Vous n’arriverez pas à contourner TouchID. Les pirates qui sont parvenus à copier une empreinte pour déverrouiller un iPhone l’ont dit eux-même : ce n’était pas simple. Il leur a fallu du temps, du matériel, et beaucoup d’essais infructueux. Il s’agit donc d’un effort significatif qui exige un budget, une expertise spécifique et de la motivation. Il est inutile d’espérer contourner la protection biométrique sur l’iPhone d’un ami en le lui empruntant lors d’une soirée, par exemple (contrairement à la fonction de reconnaissance faciale d’Android qui pouvait être trompée en présentant la photo du propriétaire du téléphone). D’ailleurs le CCC, à l’origine de l’exploit, explique bien qu’ils ne font que démontrer qu’il est idiot de se reposer uniquement sur une protection biométrique, quelle qu’elle soit. Et nous sommes parfaitement d’accord…

A lire également : notre article consacré à l’usage de l’iPhone 5s comme token d’authentification forte universel.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Non, la biométrie ne fait pas tout. Et non, elle n’a pas été piratée sur l’iPhone 5s

  1. Daniel dit :

    Si je ne m’abuse, après trois essais infructueux, l’iPhone 5S propose d’entrer le code PIN. Donc pour la sécurité supplémentaire, on repassera.

    En revanche, l’authentification simplifiée (et la coolitude) peuvent pousser plus de gens à verrouiller leur téléphone. Ce qui n’est pas une mauvaise chose !

    Finalement, c’est surtout une question de temps perdu à s’identifier toutes les 5 minutes…

    • C’est bien la réserve que l’on émet : la biométrie doit être associée au code PIN (en même temps, durant la même authentification et à chaque fois), ce qui n’est pas encore le cas de l’iPhone 5s. Sinon en effet c’est déjà un progrès pour les utilisateurs qui ne verrouillaient pas leur téléphone 🙂

  2. jonas dit :

    Bonjour,

    Parfaitement d’accord.
    Parfois les média s’emballent et utilisent des raccourcis saisissants.

    Il y a déjà plusieurs années que le CCC avait démontré que les systèmes de reconnaissance d’empreintes pouvaient être contournés, mais la méthode utilisée nécessite les talents de McGiver et beaucoup de patience.
    Pourtant les médias font semble de le découvrir maintenant.

    Jonas

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.