S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par bluetouff

#TouchID hacked : La "sécurité" biométrique de l' #iPhone5S d'Apple est cassée... comme prévu

C'est pas comme si nous ne l'avions pas vu venir de loin... Et d'encore plus loin d'ailleurs. Comme ceci était dramatiquement prévisible, TouchID la sécurité par empreinte digitale de l'iPhone 5S d'apple a été cassée ... ridiculisée... humiliée... par le Chaos Computer Club. Et devinez quoi... ça semble étonner la presse !... ah bon ?

Capture d’écran 2013-09-23 à 10.51.37
Capture d’écran 2013-09-23 à 10.51.37
C'est pas comme si nous ne l'avions pas vu venir de loin... Et d'encore plus loin d'ailleurs. Comme ceci était dramatiquement prévisible, TouchID la sécurité par empreinte digitale de l'iPhone 5S d'apple a été cassée... ridiculisée... humiliée... par le Chaos Computer Club. Et devinez quoi... ça semble étonner la presse !... ah bon ?

A peine sortie déjà cassé

Dans notre précédent article sur la question, nous mettions sérieusement en doute le niveau de protection, tout biométrique soit--il, que ce gadget pouvait apporter. Du moins c'est comme ça qu'il était commercialisé. Cette fonction, annoncée pour le délockage du téléphone et pour la validation d'actes d'achats sur l'Apple Store nous paraissait un choix pour le moins curieux, attendu que nous savions déjà (depuis 2002 !), qu'en matière de sécurité, les empreintes digitales étaient loin d'être la panacée.

Logiquement, nous nous demandions si en dehors de l'aspect marketing à double tranchant (car oui osons le dire tout haut, sur ce coup Apple est parfaitement ridicule), Apple pouvait avoir d'autres motivations, comme la collecte de données biométriques en vue d'une réutilisation ultérieure... comme la validation d'actes d'achats pour des partenaires tiers.

Une spéculation ? Du FUD comme on nous l'a reproché, attendu que la donnée biométrique est stockée dans un chip CPU, au niveau hardware, le tout bien chiffré, et que ces données ne transitent pas vers les serveurs d'Apple, jure la firme de Cupertino la main sur le coeur.

Il n'aura donc au final fallu que quelques heures à Starbug, que nous avions d'ailleurs rencontré il y a quelques temps alors qu'il bidouillait aux côtés d'Harald Welte, une autre sommité du monde de la bidouille,  pour venir à bout de TouchID, nous sommes d'ailleurs prêts à parier qu'il a dû mettre plus de temps à faire la queue devant l'Apple Store pour se procurer un iPhone aussi vite qu'à contourner la "sécurité" de TouchID.

Les vieux pots et les bonnes soupes

C'est donc en utilisant une méthode connue que le CCC est parvenu sans mal à contourner le dispositif qu'Apple présentait tout de même comme l'un de ses ga(g)dgets les plus avancés au monde... Voici ce que ça donne en vidéo :

Des choix marketing ?

TouchID semblait pourtant prometteur, confort d'utilisation, sécurité, Apple ne tarissait pas d'éloges sur cette fausse innovation qui se facture à prix d'or dans le plan de communication d'Apple. Le marketing d'Apple est désormais totalement déconnecté du pôle technologique, et ça on peut y voir un signal particulièrement négatif pour les investisseurs. Le gag de TouchID était parfaitement prévisible par n'importe quel hacker ayant un peu lu sur le niveau de sécurité de ce genre de dispositif et aurait mis en garde sur le bad buzz inhérent à un tel fail et surtout sur la nécessité d'opérer une action x ou y sur base d'une authentification biométrique notoirement faillible.

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée