Il n'aura fallu que quatre jours à des chercheurs allemands pour tromper le système de vérification d'empreinte digitale du Galaxy S5 de Samsung. Le smartphone a accepté un simple moulage de l'empreinte du doigt. On dirait bien que cette authentification biométrique laisse à désirer alors même qu'elle est mise en avant par le constructeur coréen comme l'une des fonctionnalités phares de son terminal mobile vedette. C'est ce qu'explique SRLabs, laboratoire de recherche en sécurité installé à Berlin, dans une démonstration postée sur Youtube du test qu'il a réalisé.

Les chercheurs ont utilisé l'empreinte digitale d'un utilisateur sur le S5, puis recouru au moulage du doigt pour déverrouiller le smartphone, la même méthode qui servit à tromper le capteur biométrique de l'iPhone 5S en septembre dernier. La vidéo montre comment la sécurité du terminal de Samsung peut être contournée en utilisant un moulage. Ce dernier est fabriqué dans des conditions de laboratoire mais il s'appuie, ni plus ni moins, sur la photo d'une empreinte digitale, ou plutôt d'une « trace papillaire », déposée sur l'écran d'un téléphone et prise par l'appareil photo d'un terminal mobile. La trace papillaire n'apparait pas immédiatement à l'oeil nu, mais elle peut être visualisée en utilisant de la poudre de magnésium, brossée doucement sur des surfaces dures et brillantes pour les mettre en évidence. 

PayPal n'a pas accès aux empreintes

La possibilité d'utiliser l'authentification digitale pour accéder à certains services, comme le système de paiement PayPal, rend d'autant plus préoccupant le fait qu'on puisse tromper le dispositif d'identification du S5, souligne SRLabs. Cette intégration est plutôt incitative pour les hackers potentiels.

PayPal de son côté minimise le risque, indiquant que ce n'est pas l'empreinte qui donne accès au service : « PayPal ne stocke jamais, ni n'a même accès à votre empreinte réelle à travers l'authentification sur le Galaxy S5. La numérisation déverrouille une clef de chiffrement sécurisée qui fait office de mot de passe pour le téléphone. Il suffit de désactiver la clef d'un terminal perdu ou volé et d'en créer une nouvelle ».

Quant à Samsung, contacté par nos confrères d'IDG News Service, il estime que le test de SRLabs est largement considéré dans l'industrie comme un scénario ne présentant pas de risques critiques pour les consommateurs dans la mesure où il s'agit, selon lui, d'une expérience artificielle qui fait appel à une combinaison rare d'équipements, de matériaux et de conditions hautement spécialisés.

L'identification par empreinte digitale reste un compromis

L'authentification par empreinte digitale est devenue une fonctionnalité remarquée sur les smartphones depuis qu'Apple a introduit le Touch ID sur son iPhone 5S, intégré à la touche home du téléphone. Le Chaos Computer Club allemand l'a trompé ce capteur l'an dernier avec une copie en latex d'une empreinte. Ce nouveau détournement d'un tel système, cette fois sur le S5, soulève des questions sur l'efficacité de la technologie. Le SRLabs berlinois considère qu'elle présente deux défauts. Tout d'abord, une empreinte se vole et il n'y a aucun moyen de la changer. Pour contrer cela, il faut que les empreintes numérisées soient très difficiles à voler. Ensuite, les utilisateurs laissent des copies de leurs empreintes digitales à peu près partout, y compris sur les terminaux qu'elles sont censées protéger.

Les dispositifs biométriques sont faciles à utiliser mais constituent un compromis au niveau de la sécurité. Il revient aux fabricants des terminaux de la mettre en oeuvre de telle façon qu'ils ne mettent pas en danger les données et les comptes des utilisateurs, souligne SRLabs. En dépit de la fragilité ainsi démontrée du système biométrique du S5, les ventes du smartphone ne devraient pas être affectées. « La majorité des utilisateurs ne sont pas encore très avertis sur ces problèmes de sécurité ; quand ils achètent un nouveau smartphone, ce n'est pas la première question qui leur vient à l'esprit », estime l'analyste Malik Saadi, directeur chez ABI Research.