Passer au contenu

Ils imitent une empreinte digitale pour déverouiller un smartphone en 15 minutes

Une photo d’empreinte digitale, une imprimante à encre, de l’encre spéciale et du papier, et hop ! Le tour est joué : votre mobile est déverrouillé….

Une photo d’empreinte digitale, une imprimante à encre, de l’encre spéciale et du papier, et hop ! Le tour est joué : votre mobile est déverrouillé. C’est l’expérience qu’ont réalisé les chercheurs de la Michigan State University (MSU).

huawei-7-honor

Aujourd’hui, prendre des photos de bonne qualité d’empreintes digitales est plutôt facile. Déjà en 2013, l’iPhone 5S a subi un traitement similaire. Les scientifiques de la MSU sont parvenus à appliquer le principe aux appareils Samsung et Huawei.

Bien sûr, n’importe quelle encre ne fera pas l’affaire. Il leur a fallu employer de l’encre Agic. Celle-ci est à base d’argent donc, conductrice. Combinée avec un papier Agic, il est possible de reproduire des circuits imprimés et dans ce cas précis, des empreintes digitales. Ces deux matériaux proviennent d’un fabricant japonais du même nom.

Les chercheurs Anil Jain et Kai Cao de la MSU ont testé quatre téléphones : un Samsung Galaxy S6, un Huawei Honor 7, un iPhone 5s, et un Meizu MX4 Pro. Pour le mobile Huawei, il aurait fallu appliquer plusieurs fois l’empreinte pour que le système marche. Mais en quelques secondes, l’affaire est pliée. Le Samsung quant à lui, s’est ouvert plus facilement encore.

Le processus n’a cependant pas marché pour le Meizu. L’iPhone quant à lui se serait laissé ouvrir la première fois, mais pas lorsque Kai Cao a voulu reproduire l’expérience pour écrire le rapport. Le chercheur se demande encore pourquoi. Certaines compagnies affirment avoir des technologies qui permettront d’empêcher ce genre de “piratage”. Goodix par exemple, dit posséder des senseurs qui peuvent détecter le flux sanguin de l’utilisateur.
En attendant, utilisateurs de Samsung, Huawei et même d’iPhone, restez prudents.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

13 commentaires
  1. De nombreux reportages ont montrés les limites de la sécurité par empreinte digitale. Et on ne parle pas seulement d’Apple ou de Samsung, mais de système plus sensible comme celui de Safran.
    Une reconnaissance d’empreinte seule n’est pas suffisant, il faut y adjoindre d’autres sécurités (biométriques ou électroniques) pour améliorer la fiabilité du système entier.

  2. Faudrait peut-être le dire aux incapables du FBI !… ( Franchement, c’est normal que Mulder et Scully aient fini par divorcer de ces abrutis !…)

  3. Marc91 c’est bien tu as gobé toutes les conneries de cash investigation, sauf qu’ils se sont complètement planté sur leur analyse
    d’ailleurs dans le reportage ils précisent bien que le capteur n’a jamais validé l’empreinte après plus de 20 essai mais que les portes se sont ouvertes ce qui montre une défaillance au niveau de l’ouverture des porte et non de la sécurité du capteur.

    de plus j’aimerais bien savoir comment ils ont récupéré leur “photos” d’empreintes parce que une fois que tu as l’image numérisé c’est un jeu d’enfant de fabriquer un faux doit ce qui est vraiment compliqué c’est de numériser les empreintes d’une personne sans son consentement et sans qu’elle s’en aperçoive.

    en plus quand vous regardez la taille des capteurs utiliser sur les téléphones la zone de capture est minuscule et il récupérer que très peu de caractéristiques biometrique 6 ou 8 maximum.
    en France il faut 18 caractéristiques pour identifier formellement une personne (12 aux us)

    1. “de plus j’aimerais bien savoir comment ils ont récupéré leur “photos” d’empreintes”
      Je pense que le matos actuel suffit amplement pour ça.
      http://www.dailymotion.com/video/x2o0u10

      Si une simple emprunte suffit , alors devient carrément facile vu qu’on en laisse partout.

      Fait intéressant , saviez vous que les forces de l’ordre peuvent vous contraindre à apposer votre doigt sur ce genre de dispositif, alors qu’un mot de passe… c’est déjà plus compliqué 🙂

  4. Autant le S7 n’est pas encore sorti, autant le 5S a deux ans, et les nouveaux capteurs ne sont pas les même. J’aimerais bien revoir l’expérience avec un 6S (non pas que j’affirme que ce soit impossible, mais ça me semble louche qu’ils tentent avec un aussi “vieux” terminal).

    Après leur truc c’est comme à chaque fois. Faire une copie de l’empreinte d’une personne consentante dans le cadre d’une expérience c’est une chose. Faire la même chose avec une personne non consentante, voir carrément avec un terminal trouvé/volé, c’est complètement différent…

    1. il n’y a pas 36000 modèles de capteurs biométriques, normal que plusieurs marques soient impactées et ce n’est pas en changeant un 5 par un 6 que ça va changer quelque chose…

      “Après leur truc c’est comme à chaque fois. Faire une copie de l’empreinte d’une personne consentante dans le cadre d’une expérience c’est une chose. Faire la même chose avec une personne non consentante, voir carrément avec un terminal trouvé/volé, c’est complètement différent… ”

      Ou pas…
      1ère étape tu relèves les empreintes sur le smartphone avant d’y mettre tes vilaines empreintes partout (avec le tactile vaut mieux ne pas porter de gants donc t’as de grandes chances sur le smartphone de quelqu’un d’y trouver tout un tas d’empreintes 😉 )
      Ensuite y’a plus qu’à faire ton “montage”; pas besoin de “consentement” dans ce cas la par exemple…

      1. “ce n’est pas en changeant un 5 par un 6 que ça va changer quelque chose…”
        Le fait est que le capteur du 6S est bien plus performant que celui du 5S. Les technologies évoluent, même chez les capteurs d’empreinte… Le fait est que pour les autres ils ont choisis des terminaux récents, mais bizarrement pour l’iphone il ont préféré un modèle plus ancien, allez savoir pourquoi…

        “1ère étape tu relèves les empreintes sur le smartphone”
        Au détail près qu’ici on est pas dans une série télé, et que dans la vrai vie, il ne suffit pas de prendre en photo un quart d’empreinte sur une barre de fer rouillée pour réussi à la reconstituer et en faire une modélisation 3D haute définition… Dans tous les tests de ce genre les gars partent toujours directement du doigt du propriétaire, jamais d’empreintes récupérés directement sur le terminal. Là encore, j’ai du mal à croire que ce soit un simple hasard…

        1. Bon, j’vais couper court à cette discussion rapidement, coté sécurité le 6s n’est pas forcément mieux que le 5s (là je parle biométrie uniquement hein 😉 )
          Si tu fais une petite recherche tu trouveras plusieurs liens; par exemple: http://www.cnetfrance.fr/news/le-touch-id-de-l-iphone-6-aussi-vulnerable-que-celui-de-l-iphone-5s-39806875.htm

          “Le fait est que pour les autres ils ont choisis des terminaux récents, mais bizarrement pour l’iphone il ont préféré un modèle plus ancien, allez savoir pourquoi…”

          Il était peut être trop cher pour leur budget? lol (j’en sais rien, à creuser de ce côté là)
          Perso, je ne jouerai pas à Mme Irma ^^’

          Pour ton 2eme argument fais juste une recherche “comment relever des empreintes digitales” tu verras y’a pleins de moyens possibles et qui ne requièrent pas des équipements dignes des Experts… :p

          1. Mouai, le coup du budget j’ai du mal à y croire, étant donné que même sans devoir en acheter un, c’est pas bien compliqué de trouver quelqu’un qui en a un qui peut le prêter pour le test. Là encore je ne dis pas que c’est pas impossible, je trouve juste ça louche.

            Quant aux techniques pour relever les empreintes, là encore c’est facile sur le papier, mais je trouve ça louche que tous ceux qui testent choisissent la facilité, plutôt que de montrer que c’est faisable. Rien ne garanti que ça permette de récupérer une empreinte suffisamment “propre” pour fonctionner avec un lecteur. (là encore je n’affirme rien, je dis juste que si c’était si simple, ils nous montreraient dans leur vidéo à quel point c’est facile de passer outre ces sécurités, mais ils ne le font pas…)

          2. Tu notera également que, dans l’article que tu cite, la technique n’est pas la même que celle dans l’article présent. Est ce que ça joue, je ne sais pas, mais les faits restent les mêmes.

          3. Après encore une fois je ne dis pas que c’est impossible, mais j’ai toujours été perplexe face à ce genre de trucs. J’entend souvent dire que les lcapteurs d’empreinte c’est de la merde car ce n’est pas sécurisé, que n’importe qui peut récupérer ton empreinte n’importe où, en faire une copie et s’en servir pour pirater ton téléphone, mais dans la pratique, à chaque fois que je le vois faire, c’est limite dans des conditions de laboratoire, avec des mecs qui déposent des empreintes bien propres et qui utilisent du matériel spécifique pour les reproduire (genre moulage en latex où comme ici encre et papier spécial).

            Mais encore, soit, une personne peut récupérer mon empreinte sale sur mon téléphone et en faire une copie suffisamment propre pour que ça marche. Faudrait encore qu’il me vole mon téléphone, qu’il rentre chez lui, qui réussisse à prélever une empreinte suffisamment bonne, que celle ci soit du bon doigt, qu’il la reproduise, tout ça pouvant éventuellement ne pas marcher du premier coup donc il devra peut être faire plusieurs essais, etc…
            Tout ça sans que je n’ai eu le temps d’avoir accès à une connexion internet pour bloquer mon téléphone… Et comme je vis dans un endroit relativement civilisé, ça ne prendra surement pas plus de quelques minutes.

            Bref, autant sur le papier c’est peut être réalisable, autant dans la pratique il y a quand même peu de chances pour que je sois vraiment mis en danger par cette faille. Le seul moyen à la rigueur, c’est que des personnes aient déjà prévu leur coup et aient d’avance mes empreintes, mais je ne suis pas assez important pour que des gens s’intéressent en particulier au contenu de mon téléphone…

          4. @scer: quand je disais qu’il fallait creuser je parlais du “pourquoi du comment” ils ont utilisés un 5s au lieu du 6s… le coup du budget c’était la petite blaguounette ou le pti troll habituel sur apple; fallait pas le prendre au serieux non plus! ^^’
            Comme je le disais je vais pas jouer à Mme Irma si je ne sais pas. 🙂
            En ce qui concerne l’article que j’ai cité, c’était le 1er lien dans la recherche, il y a plein de techniques plus ou moins utilisables pour l’utilisateur lambda, j’ai pas cherché plus loin.
            Et en ce qui concerne la pratique “labo” je suis d’accord avec toi ce n’est pas un test en condition réel mais je te rappelerais juste que tes empreintes t’en laisse partout, rien n’empeche quelqu’un de récupérer tes empreintes sur un pc, smartphone, verre que t’as utilisé peut importe du moment qu’il s’agit du surface lisse tes empreintes peuvent être exploitables.
            J’ai déjà vu des flics relever des empreintes chez moi suite à un cambriolage, le gars avait une mallette ridicule et avec 3 fois rien dedans il a pu relever des empreintes exploitables.

            ps: je ne cible en rien apple, car le problème est commun sur plein de smartphones

Les commentaires sont fermés.

Mode