Les hackers du Chaos Computer Club viennent de publier la démonstration d'un piratage du système d'identification par lecture de l'iris du smartphone Galaxy S8 de Samsung. Une simple photo d'un œil et une lentille de contact ont suffi.

au sommaire


    Samsung Electronics a annoncé mercredi qu'il tentait de vérifier les dires de hackers allemands affirmant être parvenus à tromper le système de reconnaissance de l'irisiris du nouveau Galaxy S8. En lançant ce smartphone dernier cri, le géant sud-coréen espérait bien dépasser définitivement une des pires séquences de son histoire, marquée notamment par l'humiliant rappel planétaire du Galaxy Note 7, en raison de risques d'explosion de cet appareil.

    Mais des chercheurs du Chaos Computer Club (CCC), un groupe allemand fondé en 1981, ont posté une vidéo semblant montrer que le Galaxy S8 se déverrouille quand on lui présente -non pas l'iris de son propriétaire- mais une photo de l'œil de ce dernier surmontée d'une lentillelentille pour reproduire la courbure du globe oculaireglobe oculaire.

    « Une photo haute résolution téléchargée sur Internet est suffisante pour récupérer un iris », explique Dirk Engling, porteporte-parole du CCC. « Ce qui est ironique, c'est que nous avons obtenu les meilleurs résultats sur des imprimantes laser SamsungSamsung. » Il a ajouté que le traditionnel code PIN assurait une protection bien meilleure du smartphone.


    Dans cette vidéo publiée par le groupe de hackers du Chaos Computer Club, on découvre la méthode employée pour tromper le lecteur d’iris du Galaxy S8. Tout commence avec une photo des yeux d’une personne (qui a préalablement enregistré ses iris dans l’application Samsung) prise en mode infrarouge qui est ensuite imprimée sur une imprimante Samsung. Une lentille de contact est ensuite apposée sur l’image afin de simuler la courbure du globe oculaire. Il ne reste plus qu’à présenter l’image face à l’objectif de l’appareil photo frontal du S8 et le tour est joué. © Chaos Computer Club

    Le système de reconnaissance facile du Galaxy S8 avait déjà été leurré

    Une porte-parole de Samsung a affirmé que le géant sud-coréen avait ouvert une enquête. La technologie de reconnaissance de l'iris a été « développée après des tests rigoureux », a affirmé Samsung dans un communiqué. « S'il y a une vulnérabilité, ou une nouvelle méthode qui mette en péril nos efforts pour assurer la sécurité, nous y répondrons le plus vite possible. »

    Le rappel planétaire du Note 7 avait coûté des milliards de dollars de bénéfices perdus à Samsung, et sapé la crédibilité du géant sud-coréen, obligé de présenter des excuses et de différer le lancement du S8. Pour autant, ce dernier appareil a été très bien accueilli lors de sa sortie en avril avec plus de cinq millions d'exemplaires vendus en un mois.

    Le CCC avait déjà affirmé en 2013 être parvenu à pirater le système de reconnaissance biométrique des iPhone 5s d'AppleApple. « L'empreinte de l'utilisateur du téléphone, photographiée sur une surface en verre, a été suffisante pour créer une fausse empreinte digitaleempreinte digitale permettant de débloquer l'iPhone 5s », avait détaillé le Chaos Computer Club, vidéo à l'appui. Un porte-parole de l'association avait expliqué à l'AFP qu'il était « plutôt facile » de le faire, même pour un amateur, en relevant l'empreinte digitale de quelqu'un sur un verre ou une bouteille. Il avait estimé qu'il était « complètement stupide d'utiliser (pour assurer la sécurité d'un appareil) quelque chose que vous ne pouvez pas modifier et que vous laissez partout chaque jour ».

    Rappelons également qu'au moment de la sortie du Galaxy S8, son système de reconnaissance faciale avait déjà été leurré par une simple photo. À l'époque, la firme coréenne avait minimisé la portée de ce hack, estimant qu'il ne s'agissait pas d'un outil biométrique aussi sécurisé que le lecteur d'empreintes et le scanner d'iris du S8... « Il est pratiquement impossible de reproduire les motifs uniques de votre iris. Cela fait de la reconnaissance d'iris l'un des moyens d'authentification les plus fiables pour sécuriser le contenu de votre téléphone », peut-on lire sur la page « sécurité » de présentation du Galaxy S8.


    Samsung Galaxy S8 : la reconnaissance faciale trompée par une simple photo

    Article initial de Marc ZaffagniMarc Zaffagni, paru le 03/04/2017

    Le tout dernier smartphone de Samsung, le Galaxy S8, fait beaucoup parler de lui et pas seulement en bien... En effet, son système de reconnaissance faciale vient d'être leurré par une simple photographiephotographie prise depuis un autre smartphone. Pour autant, le géant coréen ne semble pas vraiment embarrassé.

    La semaine dernière, Samsung a dévoilé son nouveau smartphone haut de gamme, le Galaxy S8 et le S8 Plus, sa version géante avec un écran de 6,2 pouces. Difficile d'échapper au battage médiatique digne de celui que provoque Apple au moment de la présentation annuelleannuelle de son iPhone. Il faut dire que pour Samsung, le lancement de ce nouveau téléphone mobile est assez crucial suite au fiasco retentissant qu'il a subi avec le Galaxy Note 7.

    Pour le géant sud-coréen, le Galaxy S8 doit absolument faire oublier ce faux pas et redorer son image. Si l'accueil initial semble globalement positif en attendant les premiers essais complets du smartphone, un couac gênant vient de se produire... Parmi les nouveautés, Samsung vante la présence d'une fonction de reconnaissance faciale grâce à laquelle les utilisateurs peuvent déverrouiller leur mobile avec leur visage. Or, il se trouve qu'un petit malin a déjà réussi à contourner le système en se servant d'une simple photo.

    Pour Samsung, la reconnaissance faciale n’est pas un système de sécurité

    Dans une vidéo postée par iDeviceHelp (un site d'aide dédié à l'iPhone...), on peut voir comment un Galaxy S8 est déverrouillé à l'aide d'un autoportrait affiché en plein écran sur un autre smartphone présenté en face de la caméra frontale. De quoi décrédibiliser sérieusement cette option. Néanmoins, Samsung ne semble pas vraiment gêné par cette affaire.

    En effet, dans une déclaration transmise au site Gizmodo, le constructeur souligne que cette fonction de reconnaissance faciale n'est en aucun cas un outil de biométrie pour sécuriser l'accès à un système de paiement sans contact ou des contenus placés dans un dossier protégé. Pour cela, le Galaxy S8 dispose d'un lecteur d'empreintes digitales ainsi que d'un scanner d'iris. Quant à l'accès au smartphone lui-même, mieux vaut opter pour un autre moyen : code PIN, mot de passemot de passe ou dessin. Reste que s'il veut sauver la face, Samsung aura tout intérêt à rendre son système un peu plus fiable.

    Code Promo Cdiscount Samsung Galaxy