Le lecteur d’empreintes digitales du Galaxy S5 déjà piraté, Paypal répond ! (MàJ)

Maj. le 9 mars 2015 à 12 h 52 min

[Mise à Jour]

Le Samsung Galaxy S5 n’est disponible sur nos étalages que depuis quelques jours et pourtant, le lecteur d’empreintes a déjà été piraté et ce, par une société allemande spécialisée dans la sécurité (Security Research Labs). Les critiques et inquiétudes ne se sont pas fait attendre, rien de plus légitime dans la mesure où ceci permettrait à une personne malintentionnée d’effectuer des paiements en ligne via Paypal. Conscient de cela, Paypal s’est fendu d’un communiqué quelques heures après la publication de cette vidéo :

Bien que nous prenions très au sérieux les observations de Security Research Labs, nous continuons de penser que l’identification par empreinte digitale offre un accès plus sûr et plus simple pour payer depuis un mobile qu’avec un mot de passe ou une carte de crédit.

paypal-samsung-paiement-sans-contact

Le porte-parole de Paypal poursuit en expliquant que sa société ne conserve pas les empreintes et n’y aurait même pas accès avant d’ajouter qu’elle dispose d’outils sophistiqués pour prévenir des fraudes avant qu’elles n’aient lieu. Son système utilise une clef de chiffrement qui est déverrouillée lorsque l’empreinte est reconnue, empreinte qui peut être désactivée à tout moment par Paypal. Si jamais fraude il y avait, Paypal explique que ses clients sont couverts. Suffisant pour vous rassurer ? Etes-vous séduit par les lecteurs d’empreintes ?


 

Si le lecteur d’empreintes digitales embarqué par le Galaxy S5 est susceptible d’apporter un certain confort à l’utilisateur, malheureusement, pour ce qui est de la sécurité, il semblerait que la technologie soit à revoir, celui-ci ayant déjà été piraté. Spécialisée dans la sécurité, la société allemande SRLabs vient, en effet, de poster sur son blog et sur YouTube une vidéo montrant comment tromper le capteur biométrique du dernier haut de gamme de Samsung.

Une méthode de piratage assez simple qui n’aura pris que quelques minutes puisque celle-ci consiste à créer une empreinte factice à l’aide d’un matériau malléable puis de l’utiliser pour tromper le lecteur d’empreintes digitales du Galaxy S5.

galaxy-s5

Comme pourrez le constater dans la vidéo, la méthode employée est exactement la même que celle utilisée pour hacker le lecteur d’empreintes digitales de l’iPhone 5S. Sauf que dans le cas du Galaxy S5, les choses se compliquent car si les utilisateurs du dernier iPhone doivent tout d’abord saisir un mot de passe avant d’enregistrer une nouvelle empreinte digitale, le Galaxy S5 ne demande aucun code. Par conséquent, les risques liés à la sécurité sont bien plus grands.

Autre élément mis en avant par SRLabs, si un simple glissement de doigt permet de déverrouiller l’appareil, une fois cette opération effectuée, plus aucun autre mode d’identification ne vous est demandé. Par conséquent, une fois que le Galaxy S5 en question a été déverrouillé, il est tout à fait possible d’effectuer des paiements en ligne via Paypal dés lors que l’application a été configurée pour l’authentification par l’empreinte digitale.

A voir également le comparatif des lecteurs d’empreintes du Galaxy S5 et de l’iPhone 5S. N’hésitez pas à réagir sur cette vidéo dans les commentaires ou sur le forum Galaxy S5.

Via

Réagissez à cet article !
  • avocatdudiable

    Que ce soit sur iOS, Android ou les PC, j’ai toujours trouvé que le lecteur d’empreinte est une option bidon… tout comme la reconnaissance rétinienne. Ces options en version « grand public » ne sont que des gadgets trop limités en terme de sécurisation (rien à voir avec ce qu’on peut trouver dans les milieux type militaire, beaucoup plus élaboré)

    Rien ne vaut un bon vieux mot de passe alphanumérique bien travaillé !

    De toute façon, il y a une règle élementaire dans le domaine de la sécurité informatique : tout ce qui est créé par un programme informatique, peut être défait par un programme informatique… A partir de là, tout dépend du niveau de sécurisation que l’on souhaite obtenir. C’est un peu comme les portes blindées, la question n’est pas de savoir si elle résistera à un voleur, mais combien de temps résistera t’elle…

    Un peu comme les sociétés qui créer des softs de sécurité et qui les font craquer par des hackers pro, le temps qu’il faut pour les craquer détermine son niveau de sécurité et le prix auquel il sera vendu !

    • Jean-Louis Pétrod

      Bison ou tout simplement pas assez au point pour être distribuée au grand public ?

    • BabaTheBeast

      Bien dit ;)

    • Goundy

      J’aurai pas mieux résumé. Bravo.

  • filaos

    La capacité de Samsung à copier en faisant moins bien est incroyable.
    Le pire, c’est que ce n’est pas le capteur qui est en cause (tous sont faillibles si on y met le temps et les moyens), mais l’implémentation logicielle bien trop laxiste.
    Des nuls.

    • iPad Air

      Et ça c’est encore Samsung???

      http://www.lefigaro.fr/societes/2013/09/24/20005-20130924ARTFIG00581-le-lecteur-d-empreintes-digitales-de-l-iphone-5s-hacke.php

      Tu es un hater Samsung depuis la nuit des temps alors en plus d’avoir été ridicule concernant le Sujet big.LITTLE en affirmant que c’était un échec (alors qu’au contraire tout le monde y compris Qualcomm va y passer) tu passes maintenant pour un Con puisque le lecteur d’empreinte de l’iPhone s’est fait lui aussi pirater en moins de 48h.

    • R-Type

      Tu disais?

      http://www.lefigaro.fr/societes/2013/09/24/20005-20130924ARTFIG00581-le-lecteur-d-empreintes-digitales-de-l-iphone-5s-hacke.php

    • Stef80

       » mais l’implémentation logicielle bien trop laxiste. Des nuls. »

      La même chez ta marque fétiche xD

      • filaos

        Euh… non, précisément pas. Il suffit de lire la source.
        Sur iOS, l’utilisation des empreintes est TRÈS encadré :
        – impossible au reboot (mdp obligatoire)
        – limité à 5 tentatives
        – achat limité au compte iTunes, et seulement si autorisé au boot (avec demande du mdp du tel ET du compte)
        – accessible à AUCUNE app tierce.

        Renseigne toi Stef.

        Si tu piques un 5S, tu auras EN TOUT ET POUR TOUT 5 essais de ton moulage. Au delà, c’est FINI.

  • R-Type

    Déjà faudrait laisser une empreinte parfaite sur un matériaux spécifique ensuite faudrait avoir l’adresse Mail du propriétaire vu qu’il aura un message de confirmation délivré par PayPal.
    Sinon faudrait que le type laisse une empreinte parfaite et son Galaxy S5 traîner…
    Heuuuuu autant récupérer sa Carte Bancaire directement –‘

  • next

    Je me demandais combien de temps sa allait prendre a la sortie du s5 et bien chapeaux pas du tout au point sur la securite,et il ose dire a leurs clients qu’ils peuvent payer par PayPal en toute sécurité sa ma plié en 2 XD

    • MichelSardou

      TOUS les capteurs sont leurrables de cette maniere. Tu n’a juste pas compris qu’il ne s’agit pas d’un piratage. Too bad low….

    • Stef80

      Le Chaos Computer Club a déjà démontré, depuis de nombreuses années, que les systèmes d’authentification biométriques sont facilement contournables (on ne peut pas parler de hack).
      Des empreintes, tu en laisses partout. Et une empreinte propre, c’est assez facile à trouver, tu en laisses partout… sur le lecteur d’empreinte :)
      Le système le plus compliqué à contourner, c’est la reconnaissance rétinienne. De par sa conception, on doit photographier le fond de l’œil… Va faire ça avec un appareil photo :)

      EDIT : Voici comment ça fonctionne :
      http://www.maprotection.com/retine.html

  • jejemc jejemc

    je l’avais dit avant même qu’il sorte que cela allé être facilement détourné comme sur l’iphone heureusement que cela est pas un critère de choix dans l’achat d’un mobile .

  • Sam

    Bravo Samsung, la meilleure marque de téléphone du monde.

    • Goundy

      C’est de l’ironie j’espère… :)

      • Sam

        Oui :-)

        • Goundy

          Merci d’avoir confirmé parce que j’avais le doigt sur la gâchette… :)

  • wozsam

    Sans avoir copié mon empreinte digitale, sera t il possible de déverouiller le smartphone?
    Dans ce cas présent, on trompe le lecteur d’empreinte, je pense pas qu’on puis parler de piratage.
    Moi quand je lis piratage, c’est qu’on est arrivé à déverouiller le smartphone avec tout sauf une copie de l’empreinte en question…

    • 22labecane

      +1 j’allais tout juste ecrire que ce n’est pas trop pirater …

  • Arnaud

    Depuis le début je trouve ça inutile le lecteur d’empreintes … D’autre diront que non … ;)

    • filaos

      Depuis trois mois, je déverrouille mon iphone 50 fois par jour sans faire de mot de passe. C’est utile. Aucun doute.

      • MichelSardou

        Sachant que ton iPhone est collé à tes couilles dans ta poche H24 tu auras même la possibilité de virer tout il serai encore plus rapide à ouvrir.

        • filaos

          Tes commentaires sont passionnants.

  • pheuzy

    je trouve que ce procédé reste très difficile à réaliser car il faut une copie conforme de l’empreinte du propriétaire sauf qu’il est plus facile de voir un mot de passe que de voler un empreinte digital en tout cas à mon avis

    • Arnaud

      Attention tu va te faire voler ton téléphone et aussi tes doigts maintenant mdr

    • Stef80

      Il n’est pas si difficile à réaliser. Un APN avec une résolution de 2400 dpi. Inversion de l’image pour obtenir un négatif. Impression en 1200 dpi (n’importe quelle imprimante laser peut le faire), avec un gros débit, sur une feuille transparente. On coule du lait de latex ou de la colle à bois dessus, on sèche, on souffle dessus pour légèrement humidifier, ça fonctionne.

  • MichelSardou

    Comme l’ensemble des capteurs d’empreintes en fait donc… Titre naze, article vide… C’est bien les gars continuez…

  • red131

    Le vol de smartphone s’accompagnera bientôt d’un sectionnage de doigt au sécateur =)

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !