© Artem Oleshko / Shutterstock
© Artem Oleshko / Shutterstock

Des chercheurs en sécurité ont démontré que l'utilisation mal intentionnée d'un petit gadget à bas prix peut suffire à compromettre un lecteur d'empreinte digitale sur à peu près n'importe quel smartphone Android.

15 dollars et un lecteur d'empreinte digitale qui n'est plus sécurisé du tout. Pour faire court, c'est ce que mettent en évidence les conclusions d'une étude menée par des chercheurs en sécurité dont le travail a été épluché par le site spécialisé ArsTechnica.

Les smartphones Android affligés…

Pour cette étude, les chercheurs ont utilisé un petit circuit imprimé qui vaut 15 dollars. Surnommé « BrutePrint », il ne lui faut parfois pas plus de 40 minutes pour lire et copier les empreintes digitales stockées sur un smartphone Android grâce à une vulnérabilité découverte sur le système d'exploitation de Google. Cette dernière permet de deviner un nombre illimité d'empreintes digitales dès que la correspondance la plus proche est trouvée dans une base de données d'empreintes préalablement chargée sur le dispositif, et ce, lorsque le smartphone est verrouillé.

Ce dispositif low cost est pourtant basique. Il s'appuie sur un microcontrôleur STM32F412 de STMicroelectronics, un commutateur analogique bidirectionnel à deux canaux « RS2117 » et un connecteur reliant la carte mère du smartphone au circuit imprimé d'un capteur d'empreinte digitale. BrutePrint est également équipé d'une carte SD 8 Go.

Pour leur démonstration, les chercheurs ont utilisé 10 smartphones différents, dont deux iPhone : l'iPhone SE et l'iPhone 7 (tous deux équipés de Touch ID). À noter toutefois que les mobiles Android testés ont tous été lancés il y a quelques années déjà, il y a trois ou quatre ans pour la plupart.

© ArsTechnica / Wccftech
© ArsTechnica / Wccftech

… mais les iPhone épargnés

Comme le souligne Wccftech, l'efficacité de BrutePrint est variable d'un modèle à l'autre, mais ce petit gadget est parvenu à trouver et à reproduire l'empreinte digitale permettant le déverrouillage de chacun des smartphones Android testés… avec un délai de recherche plus ou moins long toutefois, puisque l'opération nécessite entre 40 minutes et 14 heures.

Le modèle le plus vite vaincu est quoi qu'il en soit le Galaxy S10 Plus, avec 0,73 à 2,9 heures de temps de déverrouillage. Le Xiaomi Mi 11 Ultra s'avère le plus coriace, avec un temps de déverrouillage compris entre 2,79 et 13,89 heures, selon les mesures rapportées par ArsTechnica.

Les deux iPhone testés sont en revanche restés inviolés, leur dispositif de sécurité n'ayant tout simplement pas pu être contourné, lit-on. La raison soulignée par Wccftech est assez évidente : iOS chiffre systématiquement ses données de sécurité, ce qui n'est pas le cas d'Android.

Les chercheurs responsables de l'étude sont toutefois loin d'être pessimistes dans leurs conclusions, indiquant que la faille exploitée pour l'expérience pourrait être comblée, au moins en partie, à l'avenir. En travaillant ensemble, les fabricants de smartphones et de capteurs d'empreinte digitale pourraient facilement venir à bout de telles méthodes de contournement.