Des millions de personnes utilisent le capteur d’empreinte de leur smartphone pour le débloquer ou payer en ligne. Une étude des universités de New York et du Michigan publiée lundi remet en cause la sécurité de ce système innovant.
Le déverrouillage par empreinte digitale s’est démocratisé sur les smartphones et ordinateurs ces dernières années. En plus d’apporter un gain de temps, c’est un réel confort d’utilisation supplémentaire au quotidien.
C’est une vraie alternative aux mots de passe et gestures classiques qui se répand sur quasiment tous les smartphones moyens et haut de gamme. Mais pouvons-nous avoir une confiance aveugle en ce dispositif censé nous garantir une sécurité optimale ?
Jamais à l’abri d’une faille
Les capteurs biométriques améliorent grandement l’expérience utilisateur. Selon les fabricants, ce mécanisme améliore également la sécurité des mobiles, que ce soit du Touch ID aux différents protocoles disponibles sous Android.
Même si ce mode de sécurité s’est démocratisé, il n’en est pas pour autant infaillible, selon cette étude américaine parue lundi. Deux professeurs ont réalisé des essais sur les différentes technologies du marché, en utilisant uniquement des capteurs et des bases de données. Les résultats ont révélé une facilité à contourner la sécurité à l’aide de fausses empreintes.
Les professeurs ont même fabriqué un ensemble appelé Masterprints, composé d’une série d’empreintes artificielles, qui a déjoué la sécurité sur plus de 65% des tests effectués. Elle démontre l’importance de la taille du capteur pour une reconnaissance plus précise des empreintes. La faille proviendrait donc selon eux de capteurs trop petits, incapables d’enregistrer précisément une empreinte complète, mais seulement une empreinte partielle.
Risque accru par la multiplication des enregistrements effectués par les utilisateurs, qui ajoutent plusieurs doigts sur leur mobile, ce qui accentue les possibilités d’une mauvaise reconnaissance.
Peu de chances d’être touché selon Apple
Un résultat effrayant à prendre avec du recul puisque les essais n’ont pas été réalisé sur de vrais smartphones. Attendons de voir des tests en conditions réelles.
En attendant, ça laisse à réfléchir face à la confiance absolue donnée à ces dispositifs dès leur arrivée sur le marché. Ils paraissent plus sûrs, mais ils ne sont pas dispensés de toute faiblesse.
Les constructeurs se veulent pour leurs parts rassurants. Apple annonce 1 chance sur 50 000 de se faire pirater via une fausse empreinte. Le système est souvent mis à jour et gagne en efficacité, notamment en efficacité de reconnaissance. Car au début, il était fréquent de devoir appuyer plusieurs fois pour réussir à déverrouiller son téléphone.
D’un autre côté, il est vrai que les fabricants sont plus enjoués à présenter le gain de temps et le confort apporté par le dispositif à chaque nouvelle version plutôt que d’aborder réellement l’aspect de la sécurité, un sujet à remous plus sensible…