Passer au contenu

Galaxy S8 : des hackers parviennent à duper le capteur d’iris à l’aide d’une simple photo et d’une lentille

Le capteur d’iris du Galaxy S8 est l’une des fonctionnalités de sécurité les plus mises en avant par Samsung pour vanter la sécurité de son téléphone. Las, le hacker Jan Krissler a déjà réussi à le contourner avec des moyens relativement simples et peu onéreux.

Si vous avez bien lu notre test du Galaxy S8, vous savez déjà que le téléphone de Samsung souffre d’un problème majeur : son capteur d’empreinte digitale est affreusement mal placé dans le dos du téléphone. Samsung a répondu à cette critique en affirmant que le capteur d’iris – capable de détecter l’identité de son utilisateur grâce à l’iris de ses yeux – pouvait aisément le remplacer. Oui, mais la sécurité n’est visiblement pas aussi élevée.

Une photo avec un fort contrastre, une lentille de contact et le tour est joué

Le hacker Jan Krissler a démontré dans un rapport et dans une vidéo que l’on pouvait très facilement le duper. Pour cela, il suffit tout simplement de se munir d’un appareil photo doté d’un mode nuit et de prendre une photo du visage de l’utilisateur à une distance de 5 mètres. Le mode nuit de l’appareil photo permet en effet d’améliorer le contraste et la luminosité de la photo prise.

Cette photo, justement, est ensuite rognée de façon à afficher un oeil et imprimée sur une imprimante classique. Pour duper le capteur d’iris, il ne reste plus qu’à poser une lentille de contact sur la photo afin de lui donner l’apparence d’un véritable oeil humain. Comme le montre la vidéo ci-dessous, le Galaxy S8 n’hésite pas une seconde à débloquer le téléphone.

Évidemment, la manipulation n’est pas particulièrement simple et demande du temps et de la motivation. Mais des pirates réellement intéressés par les données de votre téléphone pourraient parfaitement utiliser ce genre de méthode pour bluffer le téléphone.

Un hacker qui n’en est pas à son coup d’essai

Notons également que Jan Krissler n’en est pas à son coup d’essai concernant le contournement des sécurités des téléphones. C’est lui, par exemple, qui a été le premier à démontrer que l’on pouvait recréer facilement une empreinte digitale (d’un haut dirigeant, par exemple), à partir d’une photo en haute résolution et c’est lui qui a démontré que l’on pouvait très facilement contourner les capteurs d’empreintes digitales à l’aide d’un moule en silicone.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

8 commentaires
  1. Un peu obscur tout ça, à en croire la vidéo, on dirait qu’il faut la photo du propriétaire du téléphone et pas de n’importe qui. Il faudra lui demander gentiment de prendre une photo de lui en mode nuit…

    1. Evidemment c’est une photo du propriétaire qu’il faut avoir. Imagine que tu veux accéder au téléphone d’une célébrité, rien de plus simple si elle utilise le capteur d’iris pour dévérouiller l’appareil. Leurs photos sont partout.

      Sinon pour monsieur tout le monde, quand tu vois l’appareil photo basique qu’ils utilisent, je pense qu’avec un gros zoom x50 tu peux facilement, très facilement prendre une photo du visage de quiconque sans qu’ils s’en rendent compte.
      Bien sur, comme l’article dit, “Évidemment, la manipulation n’est pas particulièrement simple et demande du temps et de la motivation.”.

      1. Oui mais du coup ce n’est pas vraiment un hack, ça me paraît même plutôt logique. Le vrai hack ça aurait été de le faire une photo de n’importe qui.
        à la place d’un voleur, ce hack ne va pas beaucoup l’aider en tout cas. À mon sens la sécurité du téléphone n’est pas compromise 🙂

        (et non je ne suis pas un pro Samsung haha)

        1. Je crois que tu n’as pas bien compris où est le risque…
          Normalement le capteur ne dévérouille le téléphone seulement si c’est un vrai oeil qui est devant le capteur. Mais en fait, le chercheur a trouvé que tu peux facilement duper le capteur en y mettant une photo de l’oeil, au lieu d’un vrai oeil.
          Ca veut dire que le téléphone va se dévérouiller alors que potentiellement c’est pas du tout son propriétaire qui est devant. Tu vois le risque ou pas?

          1. Ah oui d’accord, et bien du coup attendons de voir s’ils sont capables dans un futur proche de le faire avec une photo du non-propriétaire 🙂

          2. pas tout à fait! c’est une photo haute résolution de l’œil en infrarouge surmonté d’une lentille afin de recréer la profondeur de l’iris. En fait il reconstitue l’œil (presque en 3D). c’est pas une simple “photo”.

  2. Des tests avaient été faits sur le scanner d’iris des Lumia avec Windows Hello, et ni la photo, ni même l’utilisation de jumeaux n’avait pu déverrouiller le Lumia 950.
    La photo des yeux est faite avec la caméra Infrarouge mais il me semble que des points de repère du visage sont aussi cryptés. Mais Microsoft ne divulgue pas d’information précise sur le processus.
    Concernant le capteur d’empreinte, c’est de notoriété publique que ce n’est pas fiable. Même le système biométrique de Safran a été bypassé.

Les commentaires sont fermés.

Mode