X

iPhone 5S : un expert reconnu vient au secours de TouchID

Le chercheur en sécurité Marc Rogers qui travaille pour la société Lookout vient de publier une analyse complète et très détaillée de la protection TouchID de l’iPhone 5S. Bien qu’il ait réussi lui aussi à la contourner, il considère toutefois que cette technique de sécurisation demeure impressionnante. 

Pour avoir eu l’occasion de le rencontrer voici quelques mois, nous pouvons vous confirmer que Marc Rogers est un sacré client. Durant l’entretien qui avait duré une heure, il avait sorti de son sac différents objets de hacking tous plus efficaces les uns que les autres, un peu à la manière d’un magicien sortant des lapins de son chapeau.

Pirater n’importe quel réseau WiFi chiffré ou non: 3 minutes avec un kit en vente pour quelques dollars; il nous avait également montré un lecteur de cartes NFC qui fonctionne jusqu’à 30 cm de distance ou encore un jeu de clés USB qui permet de prendre le contrôle de n’importe quel appareil en quelques secondes. Il nous avait aussi alerté sur la faiblesse des empreintes digitales avec des copies en latex. « La biométrie n’est pas valable pour stopper les vrais criminels », nous expliquait-il. Il exhibait une paire de Google Glasses qui n’avait pas résisté plus de quelques minutes à ses tentatives d’intrusion. Bref, vous l’aurez compris, Marc Rogers n’est pas un perdreau de l’année et son avis sur TouchID est d’importance : M. Rogers est quelqu’un de très respecté dans la communauté de la sécurité et il ne passe pas pour être un tendre. Son article est accessible à cette adresse.

Des dollars, de la patience et du talent

Il détaille comment, à l’instar du Chaos Computer Club, il a réussi à contourner la sécurité du TouchID de l'iPhone 5S en utilisant une technique légèrement différente de celle de ses homologues allemands. En substance, il rappelle que le contournement d’une sécurité réalisée à base d’empreintes digitales est quelque chose de connu depuis des dizaines d’années. Pourtant il prend grand soin de relativiser la portée de son hack ou de celui du CCC. « Hacker TouchID repose sur une combinaison assez banale : un peu de talent, une dose de connaissances universitaires, en y ajoutant la patience d’un technicien sur une scène de crime ». 

En effet, il insiste sur la nécessité de disposer d’une empreinte de bonne qualité, ce qui n’est pas toujours facile à obtenir et qu’il convient que l’empreinte obtenue soit bien celle qui a été enregistrée par le smartphone. Ensuite, M. Rogers explique que la création d’une fausse empreinte « est la partie la plus ardue et n’est en aucun cas facile. C’est un procédé long qui prend plusieurs heures et s’appuie sur plus de mille dollars de matériel, y compris un appareil photo haute résolution et une imprimante laser ».

Enfin, il rappelle que le hacker n’a pas beaucoup de droit à l’erreur car la protection via TouchID se désactivera après 5 essais infructueux pour arriver à une authentification par code PIN. Bref, selon M. Rogers, le hacking de l’iPhone 5S est bien évidemment possible mais relève plutôt de ce que l’on trouve dans les romans de John Le Carré. Marc Rogers estime donc que TouchID n’est pas un outil de sécurité fort mais qu’il est un outil de sécurité pratique, sachant que de la moitié des possesseurs d’iPhone n’utilisent pas aujourd'hui le déverrouillage par code PIN.

Apple pourrait aller plus loin

En conséquence, il considère qu’il s’agit d’une très bonne avancée car la sécurité par empreinte digitale permet de protéger les données après un vol à l’arraché. Il permet également de vous protéger dans le cas où vous perdez/égarez/oubliez votre téléphone et qu’il peut vous protéger contre les attaques par phishing.

Le chercheur ne manque pas non plus d’évoquer la face sombre de cette technique, à savoir l’usage réel qui est fait des données biométriques stockées et qu’il faudra que toute la lumière soit faite. Enfin il suggère à Apple d’aller plus loin pour certaines applications en proposant une double authentification par empreinte digitale et code PIN. Toutefois, il estime que le bilan est globalement positif et que cette technique ouvre de nouveaux horizons de recherche, notamment la double authentification dont il parle.

Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

GitLab

GitLab

Solution libre de « forge » pour le dépôt de code basé, tout comme GitHub, sur le gestionnaire de versions Git, GitLab continue son ascension. Il offre une solution intégrant parfaitement...

20 TECHNOS

20 TECHNOS

Dossier réalisé par Bertrand Garé et Guillaume Périssat avec Michel Chotard, Alain Clapaud et Bastien Lion.

CI/CD as a Service

CI/CD as a Service

L’intégration et la livraison continues sont des composantes fondamentales de la démarche DevOps. Toutefois, alors que les pipelines doivent prendre en compte les nouvelles architectures – conteneurs notamment –,...

Disque dur

Disque dur

Bousculé par la vitesse des mémoires Flash, le disque dur semble condamné. Pourtant, la demande en capacité ne faiblit pas, au contraire, elle s’envole, portée par les besoins infinis du Cloud…

RSS
Afficher tous les dossiers

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WevAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

 

Afficher tous les derniers numéros

Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


Tous les Livres Blancs
Derniers commentaires
Des Moscovites dans le métro à Moscou, le 30 mars 2020Moscou est en train de mettre en place une application mobile et des QR Codes permettant de vérifier que la population respecte les règles d'isolement pendant le confinement, a annoncé mercredi un haut responsable de la capitale russe. [Lire la dépêche...]

L'outil Facebook a annoncé mardi l'activation d'un outil d'entraide, baptisé "Communauté d'aide", dans son "Centre d'information sur le Covid-19", où les utilisateurs peuvent se renseigner sur la pandémie et proposer ou demander de l'aide en cas de besoin. [Lire la dépêche...]

Le nombre de téléchargements de l'application Zoom ont explosé ces dernières semainesL'application de visioconférence Zoom, dont l'utilisation a explosé avec la généralisation du télétravail et de la distanciation sociale face au coronavirus, est dans le collimateur de la procureure générale de l'Etat de New York, inquiète du nombre croissant d'utilisateurs dont les réunions ont été piratées. [Lire la dépêche...]

Un Israelienne utilise une application destinée à lutter contre le nouveau coronavirus lancée par le ministère de l'Education, le 29 mars 2020Une commission parlementaire israélienne a donné son feu vert mardi à la collecte de données personnelles de citoyens par les services de renseignement, une mesure controversée mise en place par les autorités dans le cadre de la lutte contre le nouveau coronavirus. [Lire la dépêche...]

Huawei a réalisé l'an dernier un bénéfice net de 62,65 milliards de yuans (8,04 milliards d'euros)Un bénéfice qui ralentit et une année qui s'annonce "très difficile": le géant chinois des télécoms Huawei a prévenu mardi que les sanctions américaines et le Covid-19 allaient peser sur ses résultats en 2020. [Lire la dépêche...]

Des composants de l'appareil d'assistance respiratoire CPAP (Continuous Positive Airway Pressure), développé en moins d'une semaine par des ingénieurs, des médecins et l'équipe de Mercedes F1, en association avec l'UCL (University College de Londres) De la F1 à l'assistance respiratoire: l'industrie automobile met son expertise au service du secteur hospitalier pour mettre au point des respirateurs face à la pandémie du coronavirus, une initiative qui suscite quelques réserves. [Lire la dépêche...]

Un Israelienne utilise une application destinée à lutter contre le nouveau coronavirus lancée par le ministère de l'Education, le 29 mars 2020Vous téléchargez l'application mobile. Elle vous géolocalise. Et vous avertit si vous avez croisé récemment des personnes infectées par l'épidémie Covid-19. En Israël, les applications mobiles se multiplient pour vaincre le virus à dose d'algorithmes. [Lire la dépêche...]

Le président brésilien Jair Bolsonaro lors d'une conférence de presse à Brasilia, le 20 mars 2020Facebook et Instagram ont supprimé lundi à leur tour, après Twitter, des vidéos du président brésilien Jair Bolsonaro, estimant qu'elles envoyaient le mauvais message sur l'épidémie de coronavirus. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

READY FOR IT

La première édition de Ready For IT se déroule du 25 au 27 mai 2020 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

BIG DATA

Conférences et exposition sur le Big Data les 27 et 28 mai 2020 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

RSS
Voir tout l'AgendaIT
0123movie