Galaxy S5 : votre empreinte digitale peut être volée à chaque fois que vous vous idenfifiez

Alors qu'ils se démocratisent de plus en plus sur nos smartphones, les lecteurs d'empreintes digitales intéressent beaucoup les chercheurs spécialisés en sécurité, notamment ceux de FireEye qui viennent de réaliser plusieurs tests sur une série d'appareils Android parmi lesquels le Galaxy S5. Des tests qui auront permis de constater qu'il est en réalité très facile d'accéder aux données biométriques avant qu'elles n'atteignent la zone de sécurité et de créer une copie de votre empreintes digitale pour de futures attaques.

Galaxy S5 lecteur empreintes
Le Galaxy S5 et son capteur biométrique.

Au lieu de se concentrer sur la zone sécurisée de l'appareil où votre empreinte digitale est stockée, les hackers pourraient tout aussi bien voler l'information directement depuis le scanner biométrique. Sur Android, il suffit pour cela de disposer d'un niveau utilisateur puis d'exécuter un programme via le root pour ensuite dupliquer l'information. Par ailleurs, dans le cas du Galaxy S5, il suffit simplement d'un accès utilisateur.

Voici ce qu'a déclaré le réprésentant de FireEye, Yulong Zhang, à Forbes :

Si le pirate peut hacker le kernel et bien qu'il ne puisse pas accéder aux données d'empreintes digitales stockées dans la zone de confiance, il peut lire directement les données du capteur d'empreinte à tout moment. A chaque fois que vous touchez le capteur, le hacker peut voler votre empreinte digitale.

Lorsque votre mot de passe est subtilisé, il est très facile d'en créer un nouveau, en revanche, lorsqu'il s'agit de votre empreinte digitale, le problème est tout autre et pourrait fort bien vous suivre toute votre vie. Des risques qui restent néanmoins limités car, toujours d'après FireEye, le problème semble avoir disparu avec Lollipop. Or le Galaxy S5 tourne désormais sous Lollipop.

Toutefois, bien qu'ils ne citent pas de noms, les chercheurs affirment que cette faille n'est peut-être pas présente que chez Samsung. Déjà au courant du problème, un représentant de Samsung a ensuite déclaré, par mail, à Forbes :

Samsung prend très au sérieux la vie privée des consommateurs et la sécurité des données. Nous étudions actuellement les demandes de FireEye.

Via

Voir les commentaires
Ailleurs sur le web