L’on a tout entendu au sujet de la protection biométrique de l’iPhone 5s. Tout, mais surtout hélas les élucubrations des « anti », dont l’aveuglement est inversement proportionnel à leur connaissance du sujet. Pour eux, reprenons :

La biométrie n’est qu’un facteur d’authentification supplémentaire. Son rôle n’est pas d’être le verrou définitif mais, au choix : d’augmenter la solidité des processus d’authentification existants pour ceux qui en ont (le code PIN, par exemple – bien que sur l’iPhone il semble que ce soit l’un ou l’autre) ou offrir un niveau de sécurité de base, simple et pratique, aux inconscients qui n’en n’ont pas (50% des utilisateurs de smartphone ne verrouillent pas leur terminal).

De tout temps, les protections biométriques ont pu être compromises. On en parlait d’ailleurs déjà ici même en 2002. Et pourtant la biométrie continue à être utilisée pour ce qu’elle apporte. L’important est d’en connaître les limites et la choisir en connaissance de cause.

Pour que TouchID soit réellement « piraté », il faudrait qu’un attaquant parvienne par exemple à extraire les informations d’empreintes de la zone protégée du processeur afin de les remplacer par les siennes. Ou qu’il trouve le moyen de modifier le code chargé d’autoriser l’accès au terminal pour que celui-ci accepte n’importe quelle empreinte. Nul doute que des hackers brillants y travaillent en ce moment même, et nous sommes impatients à l’idée de découvrir leurs techniques. Mais jusqu’à présent ce n’est pas arrivé et TouchID n’a pas été piraté. Seules des empreintes ont été copiées.

Vous n’arriverez pas à contourner TouchID. Les pirates qui sont parvenus à copier une empreinte pour déverrouiller un iPhone l’ont dit eux-même : ce n’était pas simple. Il leur a fallu du temps, du matériel, et beaucoup d’essais infructueux. Il s’agit donc d’un effort significatif qui exige un budget, une expertise spécifique et de la motivation. Il est inutile d’espérer contourner la protection biométrique sur l’iPhone d’un ami en le lui empruntant lors d’une soirée, par exemple (contrairement à la fonction de reconnaissance faciale d’Android qui pouvait être trompée en présentant la photo du propriétaire du téléphone). D’ailleurs le CCC, à l’origine de l’exploit, explique bien qu’ils ne font que démontrer qu’il est idiot de se reposer uniquement sur une protection biométrique, quelle qu’elle soit. Et nous sommes parfaitement d’accord…

A lire également : notre article consacré à l’usage de l’iPhone 5s comme token d’authentification forte universel.