Android serait plus vulnérable qu’iOS au niveau de ses lecteurs d’empreintes

Maj. le 11 avril 2016 à 22 h 55 min

En ce moment se tient la Black Hat Security Conference aux États-Unis, un événement exceptionnel réunissant des experts en sécurité œuvrant pour de grandes agences gouvernementales et industrielles mais aussi des hackers de renom, très réputés dans leur milieu. Un des thèmes de cette édition s’est porté sur les lecteurs d’empreintes, de plus en plus courant sur nos appareils mobiles.

capteur empreinte android

N’y allons pas par quatre chemins, Android présente des failles assez sévères à ce niveau. Bien évidemment vous vous en doutiez car Android n’est pas vraiment sûr, il comporte des risques vu la liberté de sa plateforme… néanmoins, les vulnérabilités décelées par les hackers méritent d’être mises en lumières vu l’ampleur que prend cette technologie dans notre quotidien.

Dans l’inconscient collectif, nous pouvons penser que nos empreintes digitales sont un moyen d’authentification sûr et si en théorie, ça l’est, il y aura toujours un petit malin pour contourner la barrière lui bloquant le passage.

Un des problèmes que pose également l’identification biométrique est que nos traits physiques sont bien moins modulables que nos mots de passe. Nos empreintes, nous les gardons toute notre vie, contrairement aux mots de passe pouvant être changés à n’importe quel instant.

Les hackers ont également réussi à contourner les contrôles imposés avant d’obtenir l’autorisation de paiements par scanner d’empreinte. Mieux, Tao Wai et Yulong Zhang sont carrément parvenus à prendre le contrôle du lecteur d’empreinte à distance avant de « s’emparer » des empreintes digitales d’une tierce personne.

Maintenant, tous les terminaux ne sont pas vulnérables à un même niveau. Le Touch ID d’Apple serait plus sûr que les lecteurs des Samsung Galaxy S5 et HTC One Max, c’est dans un sens logique étant donné que la firme de Cupertino crypte les informations rattachées à nos empreintes. Voilà qui devrait faire plaisir aux détracteurs des Samsung Pay, Android Pay et consorts.

via

 

Réagissez à cet article !
  • iAndroid

    Comme si c’était un scoop, pfff.

    Tout monde sait qu’en matière de sécurité Android est à la ramasse, faute à l’ouverture de son OS, et qu’iOS est bien meilleur puisque fermé.
    Faut savoir ce qu’on veut, soit par militantisme on choisit un OS ouvert soit on est plus terre à terre et on choisit un OS fermé si on souhaite l’utiliser pour des données sensibles.

    • leatherface

      La sécurité par obfuscation en somme …
      Un peu de lecture pour toi :
      http://www.orange-business.com/fr/blogs/securite/series/la-securite-par-lobscurite-ne-marche-pas

      Oh et puis tiens une démonstration par l’exemple :

      http://thenextweb.com/apple/2015/08/04/macs-are-no-longer-immune-to-attacks-as-a-new-self-replicating-firmware-worm-demonstrates/

    • Goopple

      Le problème n’est pas dans l’ouverture d’android, le problème est le déploiement des patchs pour corriger les différentes failles de sécurité.
      Pourquoi Google ne tape pas du poing sur la table et impose aux différents constructeurs de mettre à jour leurs devices ? C’est à eux de prendre les choses en main.
      A croire qu’il n’y a que faire du pognon sur notre dos qui les intéresse, et ça se voit de plus en plus au fil des news…

    • Technology

      Vouloir un OS ouvert n’est pas faire du militantisme. Être terre à terre ne signifie pas vouloir un OS fermé.
      Désolé de contredire ta réalité.
      Unix, plus ouvert tu peux pas. Et c’est pourtant le système le plus sécurisé.
      Et dire que certains OS fermés sont basés sur Unix, un système très ouvert. Je ne vise personne….

      • sardagariga

        Il y a un paquet d’unix et les plus gros sont tous propriétaires. Tu rêve un petit peu la non ?

        • Technology

          « Il y a un paquet d’unix et les plus gros sont tous propriétaires. Tu rêve un petit peu la non ? »
          Et donc? ça ne change rien au fait que certaines entreprises utilisent UNIX à cause de son ouverture et de son côté open source pour en faire des systèmes fermés de chez fermés. Donc en fait ça ne change rien à ce que j’ai dit et ça l’approuve même.
          Merci de faire un commentaire construit et avec du sens la prochaine fois.

          • sardagariga

            C’est n’importe quoi !

    • julius

      le problème ne vient pas de l’ouverture du système mais plutôt des priorités de dév de google. Puis à la base, android est une passoire , le temps de colmater une brèche, il y en des dizaines d’autres qui apparaissent et des centaines d’autres qui attendent d’être bouchées.

  • sardagariga

    Je pige pas trop. La Secure Enclave qu’utilise Apple est une techno ARM standard non ? Pourquoi ne pas l’utiliser dans les haut de gamme Android ?
    Pareil pour le chiffrement. Maintenant que Samsung a de la flash super rapide dans ses haut de gamme, pourquoi ne pas activer le chiffrement complet par défaut ? Tout est là pour que ça soit correctement sécurisé il me semble.

    • Goopple

      Le problème a été montré avec le chiffrage par défaut de lolipop : le système d’exploitation était devenu inutilisable avec des freezes interminables.
      Le manque d’optimistation d’android commence vraiment à se voir et pose un réel préjudice à l’experience utilisateur. Il serait temps que Google se sorte un peu les doigts et commence à inverstire dans leur système plutôt que d’investire dans l’optimisation de l’utilisation de nos donnees personnelles. Google gagne suffisement d’argent avec nos vies, ils pourraient nous renvoyer l’ascenceur en donnant une vrai sécurité à leur système d’exploitation.

      • leatherface

        Je ne suis pas loin d’être d’accord avec toi. Maintenant je pense qu’un Android stock sans surcouche et sur un Nexus est peut-être plus optimisé. Ce qui paraîtrait logique (moins de plateformes à maintenir …)

    • Technology

      Les capteurs en question sont celui du one max et du galaxy s5. A mon avis s’il n’ont pas cité le galaxy s6, le oneplus two et le meizu mx4 pro qui fonctionne tous sur la même techno logicielle et hardware, c’est qu’il n’y a pas de problème de ce côté là. En gros, comme toujours, l’auteur fait passer l’univers Android à travers deux modèles.

      • Goopple

        Tant que la technologie des lecteurs d’empreintes n’est pas écrite en dure dans l’ADN d’android, l’utilisation de ces lecteurs ne seront pas fiables.

    • julius

      par ce que apple fait bien les choses malgré les mauvaises langue … 2 ans d’avance sur la concurrence en terme de biométrie
      http://www.quora.com/What-is-Apple’s-new-Secure-Enclave-and-why-is-it-important

  • hamza

    Je vois pas du tout en quoi les empreintes digitales sont plus sûres qu’un mot de passe. Pour moi c’est plutôt l’inverse qui me semble logique.

    • iAndroid

      Oui c’est pour ça que dans de grands entreprises des employés n’accèdent à des bureaux qu’avec la lecture de leurs empreintes alors qu’il pourrait y avoir un boitier pour qu’ils tapent leur mot de passe que tout le monde connait à force…

      • Technology

        Tes empreintes si on te les pirate, la sécurité va bloquer tes empreintes au cas où le pirate veuille se connecter ou rentrer. Et toi tu fais comment ? Tu changes tes empreintes ??? Non on t’assignera un code long et complexe avec un bon cryptage bien lourd.
        Aucune méthode n’est sécurisé. Je pense que les empreintes sont plus sécurisées. Mais si elles viennent à être dérobée par n’importe quel moyen, là c’est embêtant et bien plus que lorsque tu te fais dérober un mot de passe.

        • Insomnia

          Le soucis des codes, c’est quand tu vois le palmarès des codes les plus utilisé : 0000/1234/etc et j’en passe et des meilleurs donc oui il y a plus de sécurité dans l’emprunte car l »utilisateur c’est lui la plus grosse faille

          • flo #3

            Putain mais c’est des quiches … comment on peut mettre 0000 ou 1234 comme MDP ? Mme Michu est décidément très très conne ^^

          • crachoveride

            Et pourtant en entreprise on en vois énormément (plusieurs milliers dans mon cas :-/ et pourtant c’est une entreprise sur la sécurité… cherchez l’erreur).

          • Technology

            Déjà quand tu veux protéger un truc sérieux, c’est pas quatre chiffres mais bien plus.
            De deux, celui qui met un mot de passe bidon est un abruti.

        • Teddy

          Evidemment il est tellement plus facile de pirater une empreinte que de « surprendre » un mot de passe -_- …..

  • fred

    En plus d’être totalement inutile (a mon gout) c’est en plus pas sécurisé!!!

    • Rayane

      c’est pas utile ou inutile, c’est pratique ! juste a poser le doigt et on le deverouille en moins de temps qu’il nous en faut pour entrer un mot de passe ou un code PIN. Par ccontre, si ils sont pas foutus de sécuriser tout ça, c’est problématique…

  • lemaitre

    Ce n’est pas une nouveauté

  • Teddy

    Un sujet à conflit ! Aux armes !!!!!

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
5G : Huawei atteint une vitesse de 20 Gbps, un record !

Huawei vient de battre un record de vitesse en 5G en utilisant deux relais lui permettant d’atteindre la vitesse vertigineuse de 20 Gbps. Bien que cela ne soit pas pour tout de suite dans l’hexagone, on peut dans tous les cas apprécier les efforts du constructeur pour nous permettre d’atteindre des vitesses de connexions élevées.

fb8313d729fc9b461c9151576d32dacd#####