Des millions d’appareils Android sont exposés à des piratages après une nouvelle découverte réalisée par deux personnes en Chine. Le problème concerne les capteurs d’empreintes digitales, qui ne sont plus aussi sûrs qu’on le pensait auparavant. Ils utilisent un protocole qui peut être compromis par une plaque d’une valeur d’environ 15 dollars et un peu de connaissances. Cela fonctionne sur presque tous les smartphones de toutes les marques et n’a pas encore été corrigé : il s’agit d’une vulnérabilité active et potentiellement dangereuse.
Yu Chen et Yiling He ont découvert qu’il était possible de contourner la sécurité biométrique du capteur d’empreintes digitales pour déverrouiller un téléphone Android. Cette technique implique de forcer l’appareil et d’utiliser le logiciel du téléphone pour supprimer le verrouillage. Comment y sont-ils parvenus ? De manière extrêmement surprenante.
Cette méthode s’appelle BrutePrint et comporte 4 étapes principales pour être utilisée sur un smartphone. Elle a fonctionné avec des téléphones Xiaomi, Samsung, Vivo et OnePlus, tous équipés d’un capteur d’empreintes digitales.
– Accès à l’appareil : Pour effectuer cette « intrusion », il est nécessaire d’accéder à l’appareil et de retirer sa partie arrière. Cela signifie que vous devez être en mesure d’accéder aux circuits et composants internes, mais sans démontage, seulement le couvercle arrière du téléphone.
– Connexion : Une plaque de circuit imprimé fabriquée à la main est connectée. Elle est soudée aux circuits qui se déplacent de la carte mère de l’appareil vers le capteur d’empreintes digitales.
– Collecte d’empreintes digitales : Les empreintes stockées dans l’appareil sont transmises à travers ce circuit de manière appropriée et sont vérifiées lorsque l’empreinte digitale atteint le capteur. La plaque connectée analyse toutes les informations qui passent par le circuit et collecte autant d’informations que possible.
– Attaque de répétition : En utilisant un dictionnaire d’empreintes digitales, la plaque de circuit imprimé commence à effectuer des tentatives de déverrouillage à une fréquence d’une tentative par seconde en utilisant les empreintes digitales collectées. Le résultat est une efficacité de 100% sur tous les smartphones Android testés.
Cela peut sembler incroyablement complexe, mais rien n’est plus éloigné de la réalité. La plaque de circuit imprimé qu’ils ont fabriquée et utilisée pour le piratage peut être obtenue pour environ 15 dollars sur n’importe quel marché dans le monde.
– Quelle est la solution ?
La résolution du problème ne consiste pas à empêcher le transfert des informations d’empreintes digitales à travers les circuits du téléphone intelligent, ce qui est absolument nécessaire. Le problème réside ici dans le protocole de déverrouillage du système d’exploitation. Android ne limite pas le nombre de fois où vous pouvez essayer de déverrouiller le téléphone, ce qui permet à un appareil doté de telles fonctionnalités de tenter des centaines de fois en quelques