Tao Wei et Yulong Zhang, chercheurs de FireEye démontré à la conférence Black Hat comment les pirates peuvent voler à distance des empreintes digitales sans que le propriétaire de l'appareil ne le sache. Encore plus dangereux, cela peut être fait à « grande échelle ».
Vidéos recommandées
Mis à jour le 11/08/2015 par Robert Nazarian: Ajouté dans les commentaires de HTC, Samsung et Yulong Zhang.
Nous avons contacté HTC et Samsung pour confirmer que des correctifs avaient été publiés pour le HTC One Max et le Galaxy S5. Nous avons également demandé à Samsung si le Galaxie S6, Galaxy S6 Bord, ou tout autre appareil présente la même vulnérabilité.
"Nous avons déjà résolu le problème pour le HTC One Max, et cela n'affecte aucun autre appareil HTC."
Sur la base du commentaire suivant de HTC, nous sommes convaincus que toutes les versions du One Max ont été corrigées :
« HTC est au courant du rapport FireEye sur la sécurité des scanners d'empreintes digitales. Nous avons déjà résolu le problème du HTC One Max dans toutes les régions et cela n'affecte aucun autre appareil HTC. Comme toujours, HTC prend les problèmes de sécurité très au sérieux et en fait une priorité absolue.
Le commentaire de Samsung ne fait aucune mention d’une mise à jour de correctif, mais indique que tous les téléphones Galaxy S5 sont sûrs :
« Samsung prend la sécurité des empreintes digitales très au sérieux et nous sommes au courant du rapport de FireEye sur une vulnérabilité du capteur d'empreintes digitales. Après un examen approfondi avec FireEye, il a été constaté que toutes les données des utilisateurs du Galaxy S5 restent en sécurité. »
Malheureusement, Samsung n'a pas mentionné l'état du Galaxy S6, du Galaxy S6 Edge ou de tout autre téléphone doté de capteurs d'empreintes digitales. Nous avons de nouveau contacté l'entreprise et nous mettrons à jour ce message dès que nous aurons une réponse.
"Après un examen approfondi avec FireEye, il a été constaté que toutes les données des utilisateurs du Galaxy S5 restent en sécurité."
Nous avons également contacté Yulong Zhang et lui avons posé des questions sur le Galaxy S6, le Galaxy S6 Edge ou tout autre téléphone susceptible d'être vulnérable à l'attaque de sécurité du capteur d'empreintes digitales. Malheureusement, il n’a pas pu indiquer si cela affecte d’autres appareils.
Zhang a réitéré que l'iPhone n'est pas vulnérable puisque les données d'empreintes digitales sont cryptées. Pomme acheté AuthenTec en 2012, qui fournit les capteurs d'empreintes digitales pour l'iPhone. La propriété d’Apple dans l’entreprise facilite le contrôle de la sécurité, alors que Samsung et d’autres Android les fabricants sont à la merci des fabricants de matériel tiers.
Le correctif de HTC et Samsung implique de verrouiller les capteurs d'empreintes digitales, mais les données restent non cryptées en raison de limitations matérielles. Les fabricants d’Android seront probablement en mesure de sécuriser le matériel leur permettant de crypter les données d’empreintes digitales à l’avenir.
Malgré toute cette négativité entourant les capteurs d’empreintes digitales, Zhang estime toujours que leur utilisation est le meilleur moyen de sécuriser les téléphones et les tablettes. Les empreintes digitales ne peuvent pas être devinées, mais les mots de passe le peuvent, en particulier pour ceux qui utilisent des codes PIN simples comme 1234.
Qu’est-ce que l’attaque d’espionnage du capteur d’empreintes digitales ?
L'« attaque d'espionnage par capteur d'empreintes digitales » fonctionne avec les téléphones Samsung, HTC et Huawei. Selon Wei et Zhang, certains fabricants ne parviennent pas à verrouiller le capteur d'empreintes digitales. Apparemment, certains ne sont protégés que par des privilèges au niveau du système au lieu de ceux de root, ce qui facilite leur piratage. La plupart des logiciels liés à la sécurité nécessitent un accès root, ce qui rend la tâche plus difficile à contrecarrer pour les pirates.
Il n’a pas été expliqué comment le pirate informatique accède réellement au capteur d’empreintes digitales lui-même, mais l’attaquant peut continuer à lire les empreintes digitales pendant toute la durée de vie du téléphone une fois l’attaque en place.
Il a également été démontré que, grâce à une attaque différente, « Confused Authorization Attack », un pirate informatique pouvait fournir un faux écran de verrouillage qui permettrait en réalité un transfert d'argent en arrière-plan une fois qu'une empreinte digitale est enregistrée accepté. Le rapport n’indique cependant pas si les téléphones actuels sont réellement vulnérables à ce type d’attaque.
L'obtention d'une empreinte digitale pourrait être très grave puisqu'elle ne sert pas seulement à déverrouiller l'appareil, mais également à effectuer des paiements mobiles et des transactions bancaires. Les empreintes digitales sont également liées à vous personnellement et ne peuvent évidemment pas être altérées ou modifiées.
On ne sait pas à quel point vous devez paniquer à ce sujet. Wei et Zhang ont fait une démonstration de l'attaque d'espionnage par capteur d'empreintes digitales sur les anciens Samsung Galaxy S5 et HTC One Max, mais n'ont pas mentionné si le nouveau Galaxy S6 ou Galaxy S6 Edge présentait la même vulnérabilité. En outre, le rapport indique que Samsung et HTC ont publié des correctifs après avoir été informés de la vulnérabilité.
Désormais, si vous êtes un utilisateur d'iPhone, vous serez heureux de savoir qu'Apple fait un meilleur travail en matière de cryptage des données d'empreintes digitales du scanner. La bonne nouvelle est que Google met en œuvre la prise en charge de la sécurité des empreintes digitales dans Android M, il sera donc probablement plus sécurisé sur tous les téléphones Android à l’avenir. En parlant de cela, Wei et Zhang recommandent aux consommateurs de toujours acheter les derniers téléphones dotés du dernier logiciel pour une meilleure protection.
Recommandations des rédacteurs
- Il y a un gros problème avec les nouvelles tablettes Android de Samsung
- Ce bug majeur d'Apple pourrait permettre aux pirates de voler vos photos et d'effacer votre appareil
- Ces plus de 80 applications pourraient exécuter des logiciels publicitaires sur votre iPhone ou votre appareil Android
- Android vole l’une des meilleures fonctionnalités iPhone pour les écouteurs sans fil
- Samsung a sauvé votre téléphone d'un méchant problème de sécurité
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
