Censé être plus fiable et sécurisé que les scanners optiques qui équipent la plupart des smartphones, le lecteur d’empreintes ultrasonique du Galaxy S10 a pu être trompé par un internaute grâce à une technique plutôt simple, consistant à imprimer une empreinte digitale en 3D et à la placer sur le capteur.
Une simple photo imprimée en 3D pour berner le capteur du Galaxy S10
Ces dernières années, les fabricants de smartphones ont mis au point des technologies avancées pour sécuriser leurs appareils, intégrant notamment des capteurs d’empreintes ou des systèmes de reconnaissance faciale ultra-perfectionnés. Mais en dépit de leurs efforts, il semble qu’il existe encore des moyens de contourner ces dispositifs, comme l’a récemment prouvé un internaute. Moins d’un mois après que le système de reconnaissance faciale du Galaxy S10 a été pris en défaut, darkshark est en effet parvenu à tromper son lecteur d’empreintes en utilisant une photo de sa propre empreinte digitale imprimée en 3D.
Dans un post sur Imgur, l’internaute a détaillé son projet : il a pris une photo de son empreinte digitale sur un verre à vin, l’a retravaillé sur Photoshop avant de passer le fichier sur le logiciel 3ds Max afin de créer une version imprimable en 3 dimensions de la dite empreinte. Après quelques tentatives infructueuses, darkshark a réalisé les ajustements nécessaires et imprimé en seulement 13 minutes une empreinte digitale qui, une fois posée sur le capteur, déverrouillait systématiquement le smartphone. Une performance réalisée à l’aide de la LCD AnyCubic Photo, une imprimante 3D grand public.
Cette technique permettrait également d’accéder aux comptes bancaires
À la différence des scanners d’empreintes digitales optiques que l’on retrouve sur la plupart des appareils, le dispositif de déverrouillage du Galaxy S10 repose sur un capteur ultrasonique. Selon darkshark, toute personne équipée d’une imprimante 3D pourrait facilement prendre le contrôle de l’appareil en photographiant l’empreinte laissée sur l’écran par son propriétaire et en l’imprimant grâce à sa méthode. Voire même accéder à ses comptes bancaires, étant donné que la plupart des applications « ne requièrent qu’une authentification par empreinte digitale pour un accès complet ».
Ce n’est pas la première fois que la sécurité offerte par ce type de capteurs est mise à mal : en 2016, des policiers avaient utilisé une empreinte 3D pour consulter le contenu du smartphone d’une victime de meurtre, tandis qu’en 2017 une entreprise de cybersécurité était parvenue à se jouer de la technologie de reconnaissance faciale FaceID (que l’on retrouve sur l’iPhone X), en utilisant un masque d’une valeur de 130 euros. Samsung a récemment annoncé qu’il allait améliorer progressivement son capteur ultrasonique par le biais de mises à jour.
Par Yann Contegat, le
Source: The Verge
Étiquettes: securite, faille, galaxy-s10, capteur d'empreinte, smartphone
Catégories: Appareils & Gadgets, Actualités