BrutePrint est un circuit imprimé d’à peine 15 dollars capable du pire. Ce composant permet de déverrouiller les smartphones Android en contournant le lecteur d’empreintes. Il semblerait en revanche que l’iPhone soit épargné. Voici comment ce hack fonctionne.
Les capteurs d’empreintes équipent une majorité des smartphones. Même le milieu de gamme profite de cette technologie censée protéger vos données privées. Sauf que certains chercheurs ont découvert que les appareils sous Android peuvent être déverrouillés en imitant l’empreintes de l’utilisateur via un circuit imprimé à 15 dollars ! Quant à l’iPhone, il est à l’abri.
Comment fonctionne ce hack à 15 dollars ?
Pour 15 dollars (et beaucoup de connaissances), un circuit imprimé à 15 dollars surnommé BrutePrint suffit à déverrouiller un smartphone Android (ou tout autre appareil comme une tablette).
BrutePrint est composé d’un microcontrôleur STM32F412 de STMicroelectronics, d’un commutateur analogique bidirectionnel à deux canaux RS2117, d’une carte SD avec 8 Go de stockage et d’un connecteur entre la carte mère d’un smartphone Android jusqu’à un capteur d’empreintes. Grâce à ce hack, BrutePrint teste des empreintes en illimité en les reproduisant jusqu’à trouver une correspondance suffisamment proche dans la base de données pour accéder à l’appareil.
Les chercheurs ont testé plusieurs smartphones Android haut de gamme, avec une version du système d’exploitation qui a plusieurs années, dont un iPhone 7 et iPhone SE.
À noter que la durée du hack varie d’un smartphone à l’autre. Pour le Samsung Galaxy S10 Plus, comptez entre 0,73 et 2,9 heures. Le Xiaomi Mi 11 Ultra demande entre 2,78 et 13,89 heures ! L’ensemble des données est à retrouver ci-dessus.
À lire > Le malware Guerrilla est préinstallé sur près de 9 millions d’appareils Android dans le monde
Comment protéger mon smartphone contre ce hack ?
À noter que si vous avez un iPhone, bonne nouvelle, BrutePrint ne fonctionne pas sur les smartphones (testés) d’Apple. Ce piratage n’est pas accessible à tous et il faut que le pirate ait un accès physique à votre smartphone Android qui n’a pas été mis à jour depuis des années, ce qui complique la tâche même si le risque zéro n’existe pas.
Les chercheurs à l’origine de cette découverte estiment que cette faille peut facilement être corrigée dans un effort collectif des constructeurs. Reste à ce que BrutePrint arrive jusqu’aux oreilles des firmes qui pourront proposer une solution. Il est tout de même inquiétant que l’iPhone ne soit pas concerné car son chiffrement suffisamment robuste contrairement aux modèles sous Android qui n’ont pourtant rien à envier à ceux d’Apple !
