Il n’aura fallu que quelques jours aux Allemands du Chaos Computer Club (CCC) pour contourner facilement la protection du lecteur d’empreinte embarquée dans l’iPhone 5s. L’enjeu ? Démontrer « encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées ».
Une image haute résolution pour tromper le capteur biométrique
L’iPhone 5S est la nouvelle star d’Apple pour prendre le relai de l’iPhone 5. Plus véloce, il se veut également plus pratique et plus sécurisé. Le bouton d’accueil comprend en effet un capteur biométrique à même de prendre plusieurs images d’une empreinte digitale pour pouvoir déverrouiller le smartphone ou valider des achats sur l’App Store et iTunes. Apple avait rapidement enchainé dans sa présentation sur la sécurité de sa technologie, baptisée TouchID, précisant que ces empreintes étaient enregistrées en local uniquement (dans la puce A7) et n’étaient jamais envoyées aux serveurs.
Pour mener à bien ce hacking, les Allemands du CCC ont recouru à une manœuvre relativement simple : l’empreinte digitale du propriétaire de l’iPhone 5s a été photographiée en 2400 dpi. La photo a ensuite été inversée sur ordinateur puis imprimée sur un film transparent, avant d’être appliquée sur le capteur. Résultat : l’iPhone 5s a bien reconnu les empreintes digitales, permettant le déverrouillage et l’achat d’applications et de contenus.
Rappeler la dangerosité des empreintes digitales
Pour le CCC, il n’y a pas vraiment de surprise dans la méthode utilisée. Il s’agit toujours de tromper la vigilance d’une protection, mais avec une résolution plus élevée, en l’occurrence 2400 dpi. La fausse empreinte est crée avec un matériau souple et malléable, tel que le lait de latex ou la colle à bois. Le matériau est déposé sur le film transparent pour en « absorber » les empreintes. Comme le montre la vidéo, l’ensemble est ensuite appliqué contre le capteur, qui n’y voit alors que du feu.
Le CCC ne cache pas son opinion sur la technologie TouchID et la biométrie en général : « On peut espérer que cela éliminera enfin les dernières illusions que les gens entretiennent au sujet des systèmes de sécurité biométriques. […] Le grand public ne doit plus être manipulé par les fausses déclarations de l’industrie de la biométrie » a ainsi estimé Franck Rieger, président du Chaos Computer Club. Pour le hacker, cela « démontre encore une fois que les données biométriques pour empêcher les accès non autorisés sont inadaptées et qu’elles devraient être évitées. »
Hack ou pas hack ?
Mais la question de ce piratage peut faire débat. Il est bien classifié comme tel, puisque le but est d’obtenir une information ou un accès de manière frauduleuse, sans être le détenteur légitime d’un compte ou d’une clé. Cependant, peut-on parler stricto sensu de brèche dans la technologie TouchID ? La question fait débat car il ne s’agit pas de percer les défenses, mais plutôt de les contourner en leur donnant exactement ce qu’elles demandent.
En outre, donner au capteur les informations attendues n’a rien de si facile. Même si le CCC indique que la technique employée peut être réalisée avec des matériaux trouvables très facilement, il est nécessaire de réussir deux actions préalables : voler l’iPhone, ce qui peut être simple, mais surtout obtenir une image en 2400 dpi de l’empreinte souhaitée. Il faudra donc soit forcer la personne, soit l’obtenir par des moyens détournés. Il est en outre important de signaler que si l’iPhone n’a pas été déverrouillé depuis au moins 48 heures, le code PIN sera également demandé.
Une récompense à la clé
Le CCC devra toutefois réaliser d’autres démonstrations pour prouver que la technique s’apparente véritablement à un hack, notamment pour remporter un prix de presque 20 000 dollars. C’est la somme accumulée par l’initiative « Is TouchID Hacked Yet ? » mise en place par le chercheur en sécurité Nick DePetrillo. Sur le site associé, on peut ainsi lire que le CCC s’est peut-être qualifié pour remporter le prix, mais que d’autres preuves sont attendues, notamment sur la manière de récupérer une empreinte (sur un verre par exemple) et sur son exploitation réelle dans le cadre d’un scanner précis.
En définitive, la technique utilisée par les Allemands du CCC rappelle un point essentiel : il n’existe pas de sécurité ultime. L’empreinte digitale est une donnée biométrique qu’il est impossible de « deviner », contrairement à un mot de passe. Cependant, chaque fois que vous touchez un verre, une barre de soutien dans le métro ou une brosse à cheveux, vous laissez une chance à des personnes malintentionnées de récupérer votre empreinte.
La question de l’amélioration de TouchID est donc déjà sur le tapis. CNet a d’ailleurs posé la question à Apple, mais la firme n’a pour le moment pas souhaité répondre.
