Empreintes digitales : de nombreuses failles dans les smartphones

Sorti en 2013, le HTC One Max était déjà doté d'un capteur d'empreintes digitalesSorti en 2013, le HTC One Max était déjà doté d'un capteur d'empreintes digitales

Alors que Google prévoit d’intégrer cette fonctionnalité dans tous les appareils à partir de la prochaine version d’Android, une entreprise de sécurité a découvert des failles dans les systèmes de capteurs d’empreintes digitales d’anciens smartphones comme le Samsung Galaxy S5 ou le HTC One Max.

Les lecteurs d’empreintes sous Android peuvent être piratés

Dans les mois à venir, les smartphones Android équipés de capteurs d’empreintes digitales devraient se multiplier. La prochaine version d’Android, Android M, intégrera en effet d’office la gestion de ces capteurs dans le système. Pourtant, plusieurs smartphones dotés de capteurs d’empreintes sont déjà sortis par le passé, chacun avec sa propre idée de la façon dont devaient être gérées les empreintes digitales. C’était notamment le cas des Samsung Galaxy S5, Huawei Mate 7, iPhone 5 ou HTC One Max.Des smartphones qui font aujourd’hui l’objet d’une analyse de la part de l’entreprise de sécurité FireEye Labs.

A l’occasion de la conférence BlackHat, l’entreprise a publié une étude visant en effet les capteurs d’empreintes digitales de ces différents appareils. Elle a ainsi pu tomber sur plusieurs éléments inquiétants, à commencer par le stockage de ces empreintes digitales dans l’appareil. Dans le cas du HTC One Max par exemple, l’empreinte est stockée directement dans l’appareil via un fichier lisible par de nombreuses applications. Plus inquiétant encore, le fichier est actualité à chaque fois que le capteur d’empreinte est utilisé. Ainsi, en accédant à ce fichier par une application vérolée par exemple, un hacker peut avoir accès aux empreintes digitales du possesseur du smartphone : « L’attaquant peut s’installer et collecter l’image de l’empreinte digitale de chaque glissement de doigt de la victime ».

Un autre souci révélé par FireEye Labs réside dans les demandes d’empreintes digitales. Un hacker peut en effet concevoir une application qui fait croire à l’utilisateur qu’il a besoin de son empreinte pour se connecter alors qu’elle servira par exemple à transférer de l’argent. Une faille qui réside dans la confusion entre « autorisation » et « authentification » sur les systèmes des constructeurs.

Enfin, la plupart des constructeurs ne passeraient pas par une fonction pourtant intégrée d’office dans le système pour protéger les empreintes digitales. Alors qu’il est possible de stocker certaines données dans la « TrustZone » de l’architecture ARM, d’où elles ne sont pas censées sortir, les empreintes digitales ne feraient pas partie de ces données. Repérée notamment sur les HTC One Max et Samsung Galaxy S5, cette vulnérabilité a cependant été corrigée par les constructeurs une fois avertis par FireEye Labs.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire