Votre empreinte digitale est unique pour vous.
Le scanner d'empreintes digitales pour plus de sécurité sur votre smartphone est logique, non?
Malheureusement, il semble que cette sécurité accrue pourrait être davantage un handicap. Les chercheurs affirment qu'une faille trouvée dans certains appareils Android pourrait permettre aux pirates informatiques de cloner votre authentification par empreinte digitale et de l'utiliser pour des cyberattaques supplémentaires et un vol potentiel.
Tao Wei et Yulong Zhang de la société de sécurité FireEye affirment avoir découvert des défaillances dans la sécurité de l'authentification par empreinte digitale du Samsung Galaxy S5 et d'autres appareils Android. Le duo a récemment présenté (PDF) ses conclusions à la conférence RSA.
$config[code] not foundLe problème se résume essentiellement à ceci:
- Les informations relatives à ces smartphones sont en cours de segmentation et cryptées dans des zones sécurisées distinctes.
- La faille réside dans le fait que les attaquants peuvent récupérer les informations de votre empreinte digitale avant qu’elles n’atteignent la zone protégée, ou dans TrustZone, comme l’appellent Wei et Zhang.
- À partir de là, les données d'empreinte digitale peuvent être copiées et stockées.
Cela signifie que les attaquants n'ont pas à essayer de s'introduire dans la TrustZone. Au lieu de cela, les informations sont volées de la mémoire ou du stockage. Les attaquants doivent simplement gérer un accès de niveau utilisateur et votre empreinte digitale leur appartient. Le problème semble être encore pire sur le Galaxy S5, où les logiciels malveillants ne nécessitent qu'un accès au niveau du système.
Zhang a dit à Forbes:
«Si l’attaquant parvient à casser le noyau le cœur du système d’exploitation Android, bien qu’il ne puisse pas accéder aux données d’empreintes digitales stockées dans la zone sécurisée, il peut directement lire le capteur d’empreintes digitales à tout moment. Chaque fois que vous touchez le capteur d'empreinte digitale, l'attaquant peut voler votre empreinte digitale… Vous pouvez obtenir les données et à partir des données, vous pouvez générer l'image de votre empreinte digitale. Après cela, vous pouvez faire ce que vous voulez.
Ce problème semble être présent uniquement sur les appareils exécutant des systèmes d'exploitation antérieurs à Android 5.0 Lollipop. Wei et Zhang suggèrent à quiconque utilisant une version plus ancienne de mettre à jour leurs appareils si possible.
Un porte-parole de Samsung a déclaré à Forbes par courrier électronique:
«Samsung accorde une très grande importance à la confidentialité et à la sécurité des données des consommateurs. Nous étudions actuellement les réclamations de FireEye. "
Wei et Zhang ont déclaré qu'ils n'avaient testé aucun autre appareil, mais ils spéculent que le problème pourrait être généralisé. Ils suggèrent de prendre des précautions pour protéger vos informations. Gardez votre appareil à jour, installez uniquement des applications provenant de sources populaires et fiables et restez en contact avec les fournisseurs d'appareils mobiles avec des correctifs et des mises à niveau ponctuels. Ils ont également suggéré que les utilisateurs de l'entreprise souhaitent peut-être faire appel à des services professionnels pour se protéger contre les attaques ciblées avancées.
Empreintes digitales photo via Shutterstock
Commentaire ▼
