Android : les lecteurs d’empreintes digitales peuvent être piratés

La Black Hat Security Conference 2015 se déroule en ce moment même à Las Vegas. Comme chaque année, elle a attiré des centaines de hackers et d’experts en sécurité. Certains d’entre eux se sont penchés sur les lecteurs d’empreintes digitales intégrés à nos smartphones et ils ont même découvert des failles importantes sur… Android.

Ce n’est un secret pour personnes mais ces lecteurs se sont considérablement démocratisés au fil de ces dernières années.

Empreintes digitales BlackHat

Ne faisons-nous un peu trop confiance à nos empreintes digitales ?

Beaucoup de terminaux haut de gamme en proposent et cela vaut autant pour les iPhone que pour les téléphones produits par Samsung ou par certains constructeurs chinois.

Android serait plus vulnérable que iOS sur ce point

Il reste tout de même une question en suspens : sont-ils vraiment aussi sécurisés que nous le pensons ? Malheureusement pour nous, il semblerait que cela ne soit pas le cas.

Des hackers ont effectivement trouvé plusieurs failles de sécurité sur ces lecteurs. Et attention car ces vulnérabilités sont loin d’être sans danger. Ce n’est même rien de le dire car nos bidouilleurs sont même parvenus à outrepasser les contrôles mis en place pour la validation des paiements par empreinte digitale.

Oui, mais le pire reste à venir car deux experts en sécurités, Tao Wai et Yulong Zhang, sont aussi parvenus à voler les empreintes d’un utilisateur en prenant le contrôle du lecteur à distance. Je vous laisse imaginer les répercussions que cela pourrait avoir.

Une empreinte n’est pas aussi flexible qu’un mot de passe et il est pour le moment impossible d’en changer.

Il y a un détail intéressant cependant. Toutes les plateformes ne sont pas sur un même pied d’égalité question sécurité. Le lecteur Touch ID intégré aux iPhone serait même plus sécurisé que les lecteurs intégrés au HTC One Max ou même au Samsung Galaxy S5.

Et c’est assez logique en fin de compte puisque Apple a pris l’habitude de chiffrer toutes les données relatives à nos empreintes.

Quoi qu’il en soit, ces découvertes devraient faire plaisir à tous ceux qui ne croient pas au paiement mobile. Après tout, nos empreintes jouent un rôle capital dans les procédures mises en place par nos constructeurs, non ?

Via