Selon les chercheurs, il suffit d'un circuit imprimé de 15 $ pour contourner la sécurité des empreintes digitales d'un smartphone Android

Les capteurs d'empreintes digitales sur les smartphones Android sont probablement l'ajout le plus courant à ces technologies portables. Bien qu'il soit pratique qu'un simple placement d'un doigt ou d'un pouce puisse permettre au propriétaire du combiné d'accéder à l'appareil, il existe un risque de sécurité. Certains chercheurs ont démontré que le piratage des empreintes digitales stockées sur divers appareils fonctionnant sous Android est possible grâce à un circuit imprimé peu coûteux à 15 $.

Le circuit imprimé à 15 $ est appelé BrutePrint par les chercheurs, et il peut prendre aussi peu que 45 minutes pour accumuler les empreintes digitales stockées d'un smartphone Android. Pour montrer que cela fonctionne, ces chercheurs l'ont testé sur 10 smartphones, dont deux étaient l'iPhone SE et l'iPhone 7, tandis que les autres étaient des modèles haut de gamme exécutant l'OS mobile de Google et datant de quelques années.

BrutePrint comprend un microcontrôleur STM32F412 de STMicroelectronics, un commutateur analogique bidirectionnel à double canal appelé RS2117, une carte SD avec 8 Go de mémoire interne et un connecteur qui relie la carte mère du smartphone à la carte de circuit imprimé d'un capteur d'empreintes digitales. BrutePrint exploite une vulnérabilité dans les smartphones Android qui permet de deviner un nombre illimité d'empreintes digitales, l'appareil étant déverrouillé dès que la correspondance la plus proche est trouvée dans la base de données.

Cependant, chaque smartphone Android est créé différemment, Ars Technica rapportant que les chercheurs ont découvert qu'il fallait entre 40 minutes et 14 heures pour déverrouiller un combiné. De tous les 10 modèles testés, le Galaxy S10 Plus a mis le moins de temps à se déverrouiller, entre 0,73 et 2,9 heures, tandis que le Xiaomi Mi 11 Ultra a pris entre 2,78 et 13,89 heures pour se déverrouiller. Les chercheurs n'ont pas réussi à contourner la sécurité des deux modèles d'iPhone testés car iOS crypte ces données de sécurité, contrairement à Android, ce qui peut inquiéter les consommateurs.

Heureusement, ces chercheurs pensent que cet exploit de sécurité peut être atténué dans le système d'exploitation, car les individus espèrent que ses dernières découvertes encourageront les gens à prendre des mesures prudentes pour chiffrer les données d'empreintes digitales. De plus, ces chercheurs affirment qu'une telle menace pour la sécurité peut être traitée si les fabricants de smartphones et de capteurs d'empreintes digitales travaillent ensemble dans un effort collectif. Maintenant, il ne reste plus que les futurs smartphones Android livrés avec une sécurité renforcée.

Il est probable que dans des circonstances normales, contourner la sécurité des empreintes digitales d'un smartphone Android soit incroyablement difficile, mais cela ne signifie pas que les fabricants ignorent carrément cet exploit, qui est possible grâce à un circuit peu coûteux.

Source de nouvelles: Ars Technica