Les failles des sécurités biométriques
Les vulnérabilités découvertes sur des lecteurs d’empreintes digitales intégrés aux smartphones sous Android attirent l’attention des chercheurs en cybersécurité.
La sécurité des systèmes d’identification biométrique n’est pas il faut le reconnaître vraiment infaillible. C’est ce qu’a démontré en tout cas la démonstration fais par les trois chercheurs qui se sont penchés sur le cas des lecteurs d’empreintes digitales. Ces derniers ont pratiqué leurs tests sur plusieurs smartphones assez populaire – et en ont finis par faire cette conclusion : l’implémentation du dispositif était défaillant à plusieurs niveaux.
Cet article va vous intéresser : Systèmes de sécurité à données biométriques, pour ou contre ?
Le tout premier constat concerne certains logiciels. En effet, ces programmes ne font pas, d’un point d’approche logique, la distinction entre autoriser (cest à dire donner accès à des ressources) et authentifier (donc vérifier l’identité d’un usager). De façon pratique, ce defaut de distinction pourrait permettre à une personne malveillante de donner à transaction, une autre tournure – par exemple l’on peut faire croire à sa victime qu’elle est en train de déverrouiller son téléphone, alors qu’en vérité, elle déclenche une transaction de paiement électronique.
Par ailleurs, d’autres vulnérabilités ont été découverts sur plusieurs appareils, le programme de stockage des empreintes digitales en clair est sans chiffrement et se constitue dans un format déchiffrable par l’humain. C’est le cas de du modèle HTC One Max même s’il a bénéficié depuis lors d’une correction, dans le dossier data, il est emmagasiné un fichier « bitmap dbgraw.bmp » disposant des autorisations « 0666 », en d’autres termes, il est accessible à n’importe quel programme, en lecture ou même en écriture.
Dans certains contexte, Il peut arriver des fois que les capteurs d’empreintes digitales sont exposés, malgré de la présence d’une « TrustZone », espace sécurisé et isolé du noyau et placé dans une espace mémoire réservée. L’architecture ARM doit permettre en principe d’empêcher que tout composants critique ait accès hors de cette « TrustZone ». Malheureusement, plusieurs constructeurs ne l’implémentent. C’est le cas de Apple. l’iPhone cripte par ailleurs les empreintes digitales directement au niveau de son lecteur grâce à un système de clé partagée avec la « TrustZone.» la conclusion est qu’il tout aussi est possible, pour un hacker, de trafiquer le programme pour détecter des commandes et des transactions de données, jusqu’à obtenir l’empreinte. Il n’a pas besoin pour cela d’avoir des prérogatives de niveau root.
Une autre faille, est la possible implémentation d’une back door directement dans le capteur, de telle sorte que d’autres empreintes puissent être ajoutées hors de la base enregistrée. Mais pour que tout ceci reste inaperçu aux yeux de l’usager, il faudrait pirater l’application qui affiche la quantité d’empreintes mémorisées. Il peut s’agir du programme « Paramètres » dans les versions francophones du système Android.
En dehors du HTC One Max, plusieurs vulnérabilités ont été découvertes également sur le Galaxy S5 de Samsung et différents modèles de la marque Huawei – tel que le « Ascend Mate 7 » qui est équipé de la technologie « chipset HiSiliconKirin 925 ». Cette situation est assez préoccupante car selon les estimations on considère plus 50 % des mobiles disposeront d’un scanner d’empreintes digitales selon l’étude Research.
Accédez maintenant à un nombre illimité de mot de passe :