Poser son doigt pour déverrouiller l’écran d’un Samsung Galaxy S5, c’est bien pratique. Mais cela peut aussi être risqué, comme l’ont montré les chercheurs en sécurité Tao Wei et Yulong Zhang, de la société FireEye. Interrogés par Forbes, ils expliquent avoir trouvé un moyen pour intercepter les empreintes digitales directement depuis le lecteur biométrique, sans avoir besoin de pirater la « zone sécurisée » (Trusted Zone) dans laquelle le smartphone stocke les données biométriques de l’utilisateur.
Les deux experts vont détailler leur hack demain matin à 9h (heure de San Francisco). Néanmoins, ils ont d’ores et déjà dévoilé que pour collecter les empreintes, tout ce que le pirate nécessite d’avoir, c’est un privilège d’accès root. Ce qui n’est pas très compliqué. « A chaque fois que vous touchez le lecteur biométrique, l’attaquant pourra voler votre empreinte. Vous obtenez toutes les données, et à partir de ces données vous pouvez générer l’image de l’empreinte », explique Yulong Zhang auprès de Forbes.
Cette vulnérabilité ne concernerait pas les appareils sous Android 5.0 ou supérieur. Pour les autres, il est conseillé de faire une mise à jour le plus rapidement possible. Samsung a été alerté par les chercheurs mais n’a pas encore publié de correctif.
Ce n’est pas la première fois que la sécurité par empreinte digitale est montrée du doigt (si l’on peut dire). En décembre dernier, le hacker Starbug avait montré comment récupérer des empreintes digitales dans des espaces publics, grâce à de simples appareils photos. En septembre 2014, la société SRLabs avait réussi à tromper le lecteur biométrique de l’iPhone 6 avec un faux doigt créé à partir de colle de bois.
Source : Forbes
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
