Les technologies biométriques pour téléphones ne cessent de progresser. En plus des empreintes digitales, certains appareils proposent maintenant à leur propriétaire d’opter pour une sécurisation par reconnaissance faciale, et dans le cas du Galaxy S8 de Samsung, on a carrément droit à un scanner de l’iris.
Alors que Samsung assure qu’il est impossible d’imiter ou de copier l’iris d’un utilisateur, une équipe de hackers vient précisément d’y parvenir. Grâce à un équipement assez sommaire, des chercheurs du Chaos Computer Club (CCC) montrent dans une vidéo comment ils sont parvenus à contourner le scanner et à déverrouiller l’appareil.
Videos by VICE
“Les scanners d’iris peuvent être trompés à l’aide d’une simple feuille de papier imprimée“, m’a expliqué Linus Neumann, l’un des hackers qui apparaissent dans la vidéo.
Le processus est apparemment assez simple. Les hackers ont pris une photo à moyenne distance du propriétaire de l’appareil grâce à une caméra numérique configurée en mode nocturne, avant d’imprimer l’image infrarouge ainsi obtenue. Puis, sans doute pour lui donner un peu de profondeur, les hackers ont placé une lentille de contact sur l’image imprimée.
Et voilà. C’est aussi simple que ça. Le téléphone était à eux.
“Les motifs et la structure de votre iris sont uniques et impossibles à répliquer, ce qui signifie que l’authentification par l’iris est l’un des moyens les plus sûrs de protéger votre téléphone et son contenu“, peut-on lire sur le site de Samsung.
Il n’a même pas fallu longtemps aux hackers pour en arriver là.
“Il nous a fallu à peu près une journée d’expériences avant d’avoir l’idée d’utiliser une lentille de contact. Puis nous avons testé quelques imprimantes avant de nous apercevoir que l’imprimante Samsung était la plus efficace“, m’a expliqué Neumann.
Samsung et Princeton Identity, l’entreprise qui a développé la technologie employée par le scanner d’iris, n’ont pas souhaité répondre à nos questions.
Ce n’est pas la première fois que CCC s’attaque aux sécurités biométriques des téléphones. En 2014, un chercheur en sécurité connu sous le nom de starbug, qui a également travaillé sur le hacking du scanner d’iris, avait déjà montré comment il était parvenu à obtenir les empreintes digitales d’une cible uniquement grâce à un appareil photo standard. En mars, iDeviceHelp était également parvenu à tromper la reconnaissance faciale du Galaxy S8.