Le groupe de hackers du Chaos Computer Club a été le premier à trouver un moyen de leurrer le lecteur d’empreintes digitales qui équipe l’iPhone 5S. Ils se sont servis d’une technique déjà connue qui consiste à réaliser une copie en latex d’une empreinte de doigt. Les auteurs de ce piratage ont voulu démontrer les limites de cette technologie biométrique comme outil de sécurité.
au sommaire
Sur cette capture issue de la vidéo de démonstration publiée par un hacker du Chaos Computer Club, la personne déverrouille le lecteur Touch ID de l’iPhone 5S en se servant d’une copie d’empreinte digitale réalisée en latex. © Starbug
Le jour même de la commercialisation de l'iPhone 5S, un concours était lancé par deux experts en sécurité pour récompenser en monnaie sonnante et trébuchante la ou les premières personnes qui parviendraient à contourner son système de reconnaissance d'empreintes digitalesempreintes digitales, Touch ID. Un défi qui n'aura mis que 24 heures à être relevé. Le Chaos Computer Club (CCC), célèbre groupe européen de hackers, a publié dès samedi dernier une vidéo dévoilant comment il est possible de tromper le lecteur Touch ID de l'iPhone 5S à partir de la copie d'une empreinte digitale.
Le hacker à l'origine de cette performance, surnommé Starbug, a utilisé des moyens simples « que l'on peut trouver dans presque tous les foyers ». Première étape : révéler une empreinte digitale sur une surface en utilisant la poudre dont se servent les experts en médecine légalemédecine légale, ou bien du cyanoacrylatecyanoacrylate. Il faut ensuite prendre en photo l'empreinte avec une résolution de 2.400 points par pouce, qui correspond à celle à laquelle fonctionne le capteurcapteur Touch ID. Puis l'image est « nettoyée » à l'aide d'un logiciel et inversée pour être imprimée sur une feuille de papier transparente en 1.200 points par pouce, à l'aide d'une imprimante laser dont le toner est réglé pour produire une impression épaisse. Cela permet d'obtenir un moule, dans lequel on coule du latexlatex rose ou de la colle à boisbois pour fabriquer une copie de l'empreinte digitale. Après séchage, celle-ci est décollée, légèrement humidifiée et peut alors être utilisée pour déverrouiller le capteur Touch ID.
La reconnaissance d’empreintes digitales est l’une des fonctions de l’iPhone 5S. Un système de sécurité déjà contourné par certains… © Frettie, Wikimedia Commons, GNU 1.2
Limites de la biométrie sur l'iPhone 5S
« Nous espérons que cela mettra fin à l'illusion que les gens ont au sujet de la biométrie par empreinte digitale. Il est totalement stupide d'utiliser comme moyen de sécurité quelque chose que l'on ne peut pas changer et que l'on laisse toute la journée derrière soi », déclare Frank Rieger, le porteporte-parole du CCC. Et d'ajouter que « le public ne doit plus être trompé par l'industrie biométrique et ses fausses déclarations. La biométrie est fondamentalement une technologie conçue pour l'oppression et le contrôle, pas pour sécuriser nos périphériques quotidiens ».
Cette méthode de contournement des lecteurs d'empreintes digitales n'est pas nouvelle. En 2004 déjà, Starbug publiait une technique similaire à celle employée contre l'iPhone 5S. « En réalité, le capteur d'AppleApple a simplement une résolution supérieure à celle des capteurs utilisés jusqu'à présent. Il nous a suffi d'augmenter la résolution de notre leurre », explique-t-il. Le propos militant du Chaos Computer Club soulève des questions pertinentes sur la fiabilité du système biométrique par empreintes digitales. Apple est la première marque à intégrer cette technologie dans un produit grand public diffusé à des millions d'exemplaires, et il est assez probable que d'autres pirates moins bien intentionnés que ceux du CCC seront tentés de faire de même. Après tout, quel meilleur endroit pour relever des empreintes digitales que sur un iPhone.