La grande majorité des téléphones Android vendus en Espagne ont un lecteur d’empreintes digitales intégré, ce qui vous permet de déverrouiller le système rapidement et facilement ; certains modèles vous permettent également d’activer la reconnaissance faciale, qui utilise la caméra frontale pour identifier l’utilisateur sans que l’utilisateur n’ait à appuyer sur un bouton.
En quelques jours seulement, la sécurité des deux systèmes a été remise en cause et avec elle, la capacité d’Android à protéger nos données. Cette « semaine noire » a commencé lorsqu’une étude organisée par la publication Which ? découvert qu’un grand nombre de smartphones Android modernes peuvent être dupé avec une simple photo de l’utilisateur ; et s’est poursuivi lorsqu’une étude a révélé que le lecteur d’empreintes digitales pouvait être « forcé » d’accepter n’importe quelle empreinte digitale.
Ces études ne sont pas liées les unes aux autres, mais ont été publiées à peu près au même moment et se concentrent toutes deux sur la identification biométrique Android, l’un des piliers de sa cybersécurité ; et c’est que, si un attaquant parvient à contourner ces méthodes d’authentification, il aurait toutes nos données et même notre identité entre ses mains.
Pour commencer, l’étude de Which? il s’est concentré sur les modèles de smartphones sortis tout au long de 2022. Le processus était simple, les chercheurs ont simplement utilisé une photographie imprimée de l’utilisateur qui avait verrouillé le téléphone à l’aide de la reconnaissance faciale ; à sa surprise, 19 des 48 téléphones testés ont accepté la photo et déverrouillé le système.
Parmi les modèles testés qui ont été trompés de cette manière figurent des modèles de Samsung, Honor, Nokia, Oppo et Xiaomi entre autres ; les modèles testés qui ont échoué au test sont les suivants, bien que cela ne signifie pas que ce sont les seuls concernés :
Tous les modèles qui ont échoué au test ont en commun d’être bas ou milieu de gamme, à quelques exceptions près. C’est un indice qui indique où se situe la panne.
Bien que presque tous les téléphones Android soient compatibles avec la reconnaissance faciale, peu ont les composants nécessaires pour le faire de manière vraiment sécurisée. La meilleure reconnaissance faciale du marché est celle de l’iPhone, et pour cause : elle ne repose pas uniquement sur la caméra frontale, mais dispose plutôt de plusieurs capteurs qui effectuent un scan tridimensionnel du visage. Au lieu de cela, les téléphones Android testés ne regardent que l’image en deux dimensions qu’ils obtiennent de l’appareil photo, et c’est pourquoi une photo imprimée suffit à les tromper.
La reconnaissance faciale n’est pas recommandée sur la plupart des mobiles
La recommandation de EL ESPAÑOL – El Androide Libre est ne pas utiliser la reconnaissance faciale si cela peut être évité Et s’il y a une autre option. A moins que le mobile ne soit spécialement conçu pour cette technologie, mieux vaut utiliser le lecteur d’empreintes digitales.
Mais le lecteur d’empreintes digitales, bien que supérieur, n’est pas parfait. Une étude publiée par Tencent Labs et l’Université de Zheijang en Chine indique que ce système peut également être contourné. Les chercheurs ont découvert que ces systèmes sont faible contre les soi-disant “attaques par force brute”qui comme son nom l’indique ne sont pas vraiment élégants.
Une attaque par force brute essaie simplement d’entrer encore et encore, en modifiant un peu l’entrée à chaque fois. Par exemple, pour entrer dans une page Web avec un mot de passe, une attaque par force brute consisterait à essayer toutes les combinaisons possibles de lettres et de chiffres jusqu’à trouver celle que l’utilisateur a saisie. La plupart des systèmes disposent de méthodes contre ces types d’attaques, telles que la limitation du nombre de tentatives.
Dispositif pour pirater le lecteur d’empreintes digitales d’un mobile Android
arxiv.org
Android dispose également de quelques protections similaires contre ces types d’attaques, c’est pourquoi si le lecteur échoue trop souvent en essayant de lire l’empreinte digitale de l’utilisateur, un message apparaît demandant le code PIN ou le mot de passe. Ce que les chercheurs ont réalisé est contourner ces garanties en utilisant deux vulnérabilités, pour créer ce qu’ils appellent “BrutePrint”, une attaque par force brute basée sur les empreintes digitales.
Pour exécuter BrutePrint, l’attaquant a besoin d’un accès physique au téléphone, ainsi que d’un accès à une base de données d’empreintes digitales comme celles qui peuvent être achetées auprès de sources universitaires ou du marché noir. Mais contrairement à un mot de passe, qui doit être exactement le même pour déverrouiller l’appareil, les lecteurs d’empreintes digitales avoir une certaine marge d’erreurqui acceptent les empreintes digitales même si elles ne sont pas exactement les mêmes pour accélérer le processus de déverrouillage.
Qui fait il n’est pas strictement nécessaire d’obtenir l’empreinte digitale de l’utilisateur pour déverrouiller l’appareil, et qu’une empreinte digitale relativement similaire suffit ; par conséquent, l’agresseur n’a qu’à essayer toutes les empreintes digitales encore et encore jusqu’à ce qu’il en trouve une qui ressemble à celle de la victime.
Lors de tests avec des appareils comme le Xiaomi Mi 11 Ultra, le OnePlus 7 Pro et le Samsung Galaxy S10, les chercheurs ont pu contourner toutes les mesures de sécurité ; D’un autre côté, avec l’iPhone 7, ils ne pouvaient en contourner qu’un et cela ne suffisait pas pour faire une attaque par force brute. La bonne nouvelle est que, contrairement à la vulnérabilité précédente, ce problème devrait pouvoir être résolu avec une mise à jour logicielle.
Amazon jette la maison par la fenêtre : jusqu’à 64 % de réduction sur la domotique, les tablettes et plus encore
Nouveau Xiaomi Box 4S Max: caractéristiques et prix de l’appareil avec résolution 8K