IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les pirates peuvent voler les empreintes digitales des utilisateurs d'appareils Android


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 513
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 513
    Points : 78 710
    Points
    78 710
    Billets dans le blog
    2
    Par défaut Les pirates peuvent voler les empreintes digitales des utilisateurs d'appareils Android
    Les pirates peuvent voler les empreintes digitales des utilisateurs d'appareils Android à distance
    D’après des chercheurs de FireEye

    Les chercheurs Tao Wei et Zhang Yulong de FireEye ont découvert des failles dans certains appareils Android qui permettent de récupérer les empreintes digitales des utilisateurs. La menace plane sur les appareils Android dotés de capteurs d’empreintes digitales, qui souffrent du fait que les fabricants ne verrouillent pas entièrement les capteurs.

    La zone de confiance (TrustZone) des appareils Android présente en effet des défauts de conception. De ce fait, malgré les efforts des fabricants de téléphones pour segmenter et chiffrer les données biométriques dans une zone sécurisée séparée, il est quand même possible de les lire directement sur le capteur à chaque fois qu’un utilisateur le touche. L’attaquant peut dès lors créer une image des empreintes digitales des utilisateurs à partir de ces données. Ce qui lui permet de récolter facilement des empreintes digitales à grande échelle et à distance.

    Les empreintes digitales sont supposées protéger l’accès aux données de l’utilisateur, mais le problème avec ce moyen de sécurité est que contrairement aux mots de passe, elles permettent également d’identifier chaque utilisateur de manière unique. Il en résulte que les traces des empreintes digitales d’un individu retrouvées dans une affaire illégale peuvent permettre de l’inculper facilement, et c’est dans ce genre de situation que la collecte des données biométriques peut s’avérer une sérieuse menace pour l’utilisateur. L’attaquant pourra en faire tout ce qu’il voudra.

    On pourrait donc penser que l’utilisateur est au moins à l’abri dans le cas des paiements mobiles, où le pirate doit avoir le dispositif entre ses mains pour pouvoir confirmer des opérations. Mais là encore, les chercheurs de FireEye expliquent que les défauts dans le système d’empreintes digitales des appareils Android permettent de détourner les paiements mobiles protégés par les empreintes digitales.

    Les appareils Samsung Galaxy S5 ainsi que de nombreux autres dispositifs mobiles de système Android sont affectés par ce problème. Les chercheurs étaient en lice pour faire une démonstration en direct à la conférence Black Hat de cette année. Ils avaient également déjà fait état du problème en avril dernier, ce qui a donné le temps aux fournisseurs alertés de fournir des correctifs.

    Tao Wei et Zhang Yulong de FireEye précisent toutefois que le problème pourrait ne pas se limiter aux appareils Android, ni à la plateforme mobile uniquement, ils pourraient aussi affecter les ordinateurs portables haut de gamme qui sont dotés de lecteurs d’empreintes digitales.

    Source : Black Hat US 2015

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 062
    Points
    1 062
    Billets dans le blog
    9
    Par défaut
    Des pirates pourraient voler les empreintes digitales des utilisateurs d'appareils Android à distance
    D'après des chercheurs de FireEye
    D'après moi, des pirates pourraient voler les empreintes digitales des utilisateurs de n'importe quels terminaux et de n'importe quels OS.

    Je déconseille fortement d'utiliser vos empreintes comme mots de passe.

  3. #3
    Membre émérite

    Homme Profil pro
    Ranger
    Inscrit en
    avril 2006
    Messages
    661
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 81
    Localisation : France

    Informations professionnelles :
    Activité : Ranger
    Secteur : Service public

    Informations forums :
    Inscription : avril 2006
    Messages : 661
    Points : 2 774
    Points
    2 774
    Billets dans le blog
    1
    Par défaut
    Utiliser son corps pour s'authentifier dans un système d'information a toujours été ridicule. Qui a envie de se faire couper le doigt pour permettre au voleur de déverrouiller votre téléphone ?

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Tenez mon bon monsieur voici ma prothèse d’œil pour passe le scanner rétinien
    Rien, je n'ai plus rien de pertinent à ajouter

  5. #5
    Membre confirmé
    Profil pro
    Inscrit en
    mars 2011
    Messages
    229
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2011
    Messages : 229
    Points : 602
    Points
    602
    Par défaut
    A partir du moment ou c'est numérisable, c'est copiable...

  6. #6
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    896
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 896
    Points : 2 047
    Points
    2 047
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Utiliser son corps pour s'authentifier dans un système d'information a toujours été ridicule. Qui a envie de se faire couper le doigt pour permettre au voleur de déverrouiller votre téléphone ?
    Avec un système utilisant le réseau veineux, couper le doigt n'aiderait pas, mais c'est trop couteux pour utiliser sur un smartphone.

  7. #7
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    Avec un système utilisant le réseau veineux, couper le doigt n'aiderait pas, mais c'est trop couteux pour utiliser sur un smartphone.
    rien n’empêche de mettre le doigt sur un système d’irrigation sanguine mais c'est vrai c'est un peut chère le larcin ^^
    Rien, je n'ai plus rien de pertinent à ajouter

  8. #8
    MikeRowSoft
    Invité(e)
    Par défaut
    Depuis que je me suis rendu compte que le propriétaire du logement où je réside considère que le fait que l'adresse de domiciliation figurant au dos de ma carte d'identité, dans mon passport, dans mon permis de conduire et partout ailleurs est la sienne, puisque je suis bailleur, fait qu'il me considère comme sa propriété. Oui à partir de cette instant se type d'erreurs est possible.

  9. #9
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2011
    Messages
    325
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 325
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par sazearte Voir le message
    D'après moi, des pirates pourraient voler les empreintes digitales des utilisateurs de n'importe quels terminaux et de n'importe quels OS.

    Je déconseille fortement d'utiliser vos empreintes comme mots de passe.
    Si le lecteur est géré par une simple application dans le système, oui, à partir du moment où on peut l'espionner, tu as raison c'est pas sûr du tout. Maintenant t'as l'approche d'Apple avec l'iPhone 6: le capteur est géré directement par un programme dans une puce spécialisée. Celle-ci n'est conçu que pour renvoyer une autorisation d'usage au système, pas l'empreinte elle-même.

    Ça me fait penser à la discussion d'hier sur le prix des smartphones. Car c'est justement sur ce genre de détails parmi d'autres que certains constructeurs ont dû faire des économies. Mais là c'est le client qui risque de le payer très cher ensuite…

  10. #10
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 062
    Points
    1 062
    Billets dans le blog
    9
    Par défaut
    . Maintenant t'as l'approche d'Apple avec l'iPhone 6: le capteur est géré directement par un programme dans une puce spécialisée. Celle-ci n'est conçu que pour renvoyer une autorisation d'usage au système, pas l'empreinte elle-même.
    Je préfère partir du principe que tous peut se pirater, même sur un Iphone, c'est pour cela que jamais je n’utilisais ce moyen d'identification.

  11. #11
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Vous voulez dire que ces systèmes de lecture d'empreintes digitales pourraient conduire à des abus ? Alors là, je suis sur le cul ! Non vraiment, mais qui aurait pu imaginer une seule seconde une chose pareille ???

  12. #12
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 184
    Points : 408
    Points
    408
    Par défaut
    Citation Envoyé par Le Vendangeur Masqué Voir le message
    Si le lecteur est géré par une simple application dans le système, oui, à partir du moment où on peut l'espionner, tu as raison c'est pas sûr du tout. Maintenant t'as l'approche d'Apple avec l'iPhone 6: le capteur est géré directement par un programme dans une puce spécialisée. Celle-ci n'est conçu que pour renvoyer une autorisation d'usage au système, pas l'empreinte elle-même.

    Ça me fait penser à la discussion d'hier sur le prix des smartphones. Car c'est justement sur ce genre de détails parmi d'autres que certains constructeurs ont dû faire des économies. Mais là c'est le client qui risque de le payer très cher ensuite…
    Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
    La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...

    En passant, si personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance, certain ont réussi à copier des empreintes et déverrouiller des smartphone très simplement à partir de simples photos...

    Je trouve ça triste que les constructeurs de smartphones copient bêtement les modes lancés par Apple quand celles-ci sont si inutiles et contre productives...

  13. #13
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Ah! les Apple Fanboys toujours la pour la ramener et défendre leur pomme même quand ça n'est pas le sujet...
    La biométrie comme moyen d’authentification est une aberration sécuritaire quelles que soient l'implémentation puisque ce sont des moyens irrévocables et qu'à partir du moment ou ton empreinte digitale, rétinienne ou autre est volé tu n'as aucun moyen de la changer...

    En passant, si personne n'a réussi à l'heure actuelle à voler les données biométrique d'un iPhone à distance, certain ont réussi à copier des empreintes et déverrouiller des smartphone très simplement à partir de simples photos...

    Je trouve ça triste que les constructeurs de smartphones copient bêtement les modes lancés par Apple quand celles-ci sont si inutiles et contre productives...
    il me semble que c'est Samsung qui avait ouvert le bal des smartphones déverrouillés par empreinte digitale
    Rien, je n'ai plus rien de pertinent à ajouter

  14. #14
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    896
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 896
    Points : 2 047
    Points
    2 047
    Par défaut
    Citation Envoyé par TiranusKBX Voir le message
    il me semble que c'est Samsung qui avait ouvert le bal des smartphones déverrouillés par empreinte digitale
    Le premier à l'avoir sorti en vente ou à avoir lancé l'implémentation (et donc avoir "eu l'idée") ?

  15. #15
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 746
    Points
    4 746
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    Le premier à l'avoir sorti en vente ou à avoir lancé l'implémentation (et donc avoir "eu l'idée") ?
    désolé ce n'était pas Samsung mais Acer et pas sous Android http://www.decision-achats.fr/themat...ales-29183.htm
    Rien, je n'ai plus rien de pertinent à ajouter

  16. #16
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 184
    Points : 408
    Points
    408
    Par défaut
    Citation Envoyé par TiranusKBX Voir le message
    désolé ce n'était pas Samsung mais Acer et pas sous Android http://www.decision-achats.fr/themat...ales-29183.htm
    Effectivement, mais c'est apple qui l'a déporté sur le bouton home (donc impossible de pas mettre le doigt dessus) et l'a rendu si "in" et indispensable.

    Beaucoup de néophytes sont persuadés que c'est une réelle sécurité alors que c'est juste pratique et ça fait gagner quelques secondes pour dévéroullier son device..

  17. #17
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 999
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 999
    Points : 8 316
    Points
    8 316
    Par défaut
    Citation Envoyé par sazearte Voir le message
    D'après moi, des pirates pourraient voler les empreintes digitales des utilisateurs de n'importe quels terminaux et de n'importe quels OS.

    Je déconseille fortement d'utiliser vos empreintes comme mots de passe.
    c'est pas idiot en effet, dans le même ordre d'esprit il a été prouvé que l'on pouvait se noyer dans un simple verre d'eau, c'est pourquoi je déconseille vivement de boire la moindre goute de flotte

    note: je ne fais ici l'apologie ni de l'alcool, ni des boissons gazeuses, ni du kérozène

  18. #18
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 062
    Points
    1 062
    Billets dans le blog
    9
    Par défaut
    c'est pas idiot en effet, dans le même ordre d'esprit il a été prouvé que l'on pouvait se noyer dans un simple verre d'eau, c'est pourquoi je déconseille vivement de boire la moindre goute de flotte
    Vous n'avez pas l'air de comprendre la dangerosité de cette "innovation", si un pirate récupère votre empreinte, c'est fini, vous ne pourrez pas changer votre mots de passe.
    Seule les fou utilisent des solutions sans possibilité de faire machine arrière.

    Comme mots de passe plus user friendly l'utilisateur pourrais dessiner un symbole, ou bien sélectionner une image ou une combinaison d'image. C'est beaucoup moin risqué comme solution.

    Sans lancer de troll, vous semblez oublier que Android est une vrai passoire/nids a virus, et quand des patchs de sécurité sont publier par Google, le constructeur vous envoie la maj (si il l'envoie) des mois après.

  19. #19
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 999
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 999
    Points : 8 316
    Points
    8 316
    Par défaut
    Citation Envoyé par sazearte Voir le message
    Vous n'avez pas l'air de comprendre
    c'est même certain

    si un pirate récupère votre empreinte, c'est fini, vous ne pourrez pas changer votre mots de passe.
    Seule les fou utilisent des solutions sans possibilité de faire machine arrière.
    tu remettrais pas en question l'authentification biométrique dans son ensemble par hasard ?
    perso j'utilise pas les moyens biométriques, mais vu comme les technos et le marché se développe depuis quelques années j'imagine qu'on est entouré de dingos
    si quelqu'un parvient à prélever ton oeil, ou à le copier sur une balle de ping-pong, ou à récupérer les données qui le définissent t'es foutu, et donc les scans rétiniens sont une hérésie, c'est bien ça ?

    Comme mots de passe plus user friendly l'utilisateur pourrais dessiner un symbole, ou bien sélectionner une image ou une combinaison d'image. C'est beaucoup moin risqué comme solution.
    à tout hasard si t'as l'occasion jette quand même un oeil à comment c'est fait (sur android typiquement t'as cette possibilité de dessiner un symbole, ça revient au final à un bruteforce numérique d'une 10aine de chiffres)

  20. #20
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 062
    Points
    1 062
    Billets dans le blog
    9
    Par défaut
    tu remettrais pas en question l'authentification biométrique dans son ensemble par hasard ?
    perso j'utilise pas les moyens biométriques, mais vu comme les technos et le marché se développe depuis quelques années j'imagine qu'on est entouré de dingos
    si quelqu'un parvient à prélever ton oeil, ou à le copier sur une balle de ping-pong, ou à récupérer les données qui le définissent t'es foutu, et donc les scans rétiniens sont une hérésie, c'est bien ça ?
    Je remet en cause cette technos sur les smartphones en tous cas, qui ne sont pas réputés pour leurs sécurité.

    à tout hasard si t'as l'occasion jette quand même un oeil à comment c'est fait (sur android typiquement t'as cette possibilité de dessiner un symbole, ça revient au final à un bruteforce numérique d'une 10aine de chiffres)
    Oui sa existe sur android c'est pour cela que j'en parle, j'utilise d'ailleurs un symbole pour déverrouiller mon smartphone. Faut dire que je ne fait pas grand chose avec mon smartphone, a part téléphoner.

    Mais si mon symbole se fait pirater, je peut le changer lui au moins.

Discussions similaires

  1. Les pirates peuvent cacher une page entière dans un lien
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 23
    Dernier message: 13/01/2016, 16h05
  2. Lister les disques durs USB, les clés ainsi que les appareils photos
    Par infosam76 dans le forum VB 6 et antérieur
    Réponses: 17
    Dernier message: 26/02/2015, 00h26
  3. Réponses: 4
    Dernier message: 28/01/2015, 12h39
  4. Réponses: 1
    Dernier message: 14/06/2013, 01h07
  5. Réponses: 14
    Dernier message: 12/03/2011, 20h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo