Le Touch ID, capteur d'empreintes digitales d'Apple intégré dans le dernier iPhone 5S, a pu être contourné par un groupe de hackers allemand  qui s'est appuyé sur une ancienne technique consistant à photographier le doigt de l'utilisateur. Le Chaos Computer Club (CCC), qui tient une conférence de piratage chaque année et  qui publie des études sur la sécurité informatique, a écrit sur son blog que l'authentification par empreinte digitale devrait être évitée. Pourtant, selon Apple, ce procédé constitue l'un des meilleurs mots de passe du monde. « Il est toujours avec vous, et il n'y en a pas deux qui sont exactement semblables », indique le site web de l'entreprise. Dans une vidéo, le CCC montre ce qu'il décrit comme une attaque réussie. Pour faire un faux, il suffit de photographier le doigt de l'utilisateur en 2400 dpi. L'image est ensuite inversée et imprimée en 1200 dpi sur une feuille transparente grâce à une imprimante laser.  Un moule est alors obtenu dans lequel on coule du latex rose et de la colle de bois blanc Après avoir séché, un petit morceau de latex se soulève de la feuille, et en soufflant dessus cela lui procure de l'humidité comme c'est le cas pour un doigt humain. Il peut alors être placé sur le capteur d'empreintes digitales pour déverrouiller l'iPhone 5S.

Un procédé qui n'a rien de nouveau

Cette technique n'est pas nouvelle. « Elle a été utilisée avec des améliorations et des variations contre une grande majorité des capteurs d'empreinte digitale du marché », a souligné le CCC. Les représentants d'Apple n'ont pas fait de  commentaires sur ces conclusions.  Les experts en sécurité ont longtemps indiqué qu'il ne fallait pas compter sur l'authentification seule par empreinte digitale, mais plutôt l'utiliser de concert avec d'autres technologies. Des photos d'empreintes et des modelages ont réussi à contourner ce type de système avec succès.

Le Touch ID vise à réduire le nombre de fois où une personne doit saisir son mot de passe, mais Apple a encore besoin d'un code d'accès dans certaines circonstances, comme lors du redémarrage du smartphone ou dans les cas où il n'aurait pas été déverrouillé pendant deux jours. Les modifications apportées aux paramètres biométriques exigent également un mot de passe qui peut être configuré pour être plus long et plus compliqué que quatre chiffres seulement.