Tao Wei et Yulong Zhang sont deux chercheurs en sécurité qui se sont intéressés aux capteurs d’empreintes digitales sous Android. Ils ont présenté à la conférence RSA leurs travaux. Grâce à ceux-ci, on apprend qu’il est simple pour un hacker de récupérer les empreintes digitales de l’utilisateur d’un appareil sous Android doté d’une version inférieure à Lollipop. KitKat 4.4 est donc touché par cette « faille ». L’idée est simple. Au lieu d’aller récupérer l’empreinte digitale dans une zone sécurisé, il suffit d’accéder directement au capteur pour lire l’empreinte en direct. Pour réaliser une telle opération, il faut tout de même disposer d’un accès root pour entrer dans le kernel. Le risque est donc assez faible, même si certains programmes malveillants pourraient se lancer sur un téléphone non rooté après une connexion en USB à un ordinateur dont le certificat RSA aurait préalablement été accepté.
Mais le plus grave vient du Galaxy S5. Parmi les différents téléphones sous Android testés, c’est le seul qui ne nécessite pas le root pour accéder au capteur d’empreintes. Ainsi, un Galaxy S5 non rooté est très vulnérable puisqu’une simple application vérolée peut récupérer les empreintes digitales de l’utilisateur et les envoyer vers un serveur. Cette faille a toutefois été résolue avec Android 5.0 par une modification qui semble avoir été opérée par Google. Les chercheurs ont contacté Samsung qui indique se pencher de plus près sur la question, pour peut-être combler le plus rapidement cette faille sous KitKat. Mais on imagine que la firme préférera conseiller aux utilisateurs de mettre à jour leur terminal vers Lollipop. Pourtant, certains Galaxy S5 comme la version 4G+ des opérateurs n’ont pas encore reçu le graal.
Les empreintes digitales volées pourraient ensuite servir à réaliser des paiements frauduleux avec des systèmes comme PayPal ou pourquoi pas Samsung Pay, en cas de vol du téléphone.
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
on a meme aps encore la mise a jour lollipop pour les s5 dnc frrmer la pffff <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
de toute façon, avec les traces de gras laisser par tes doigts,a chaque fois que tu déverrouille ton tel,pas besoin d'être un génie pour déverrouiller ton smart en cas de vol.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
le con c'est toi,en achetant via subvention une grosse daube de s5 mini. <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
J'ai un S5 mini c'est pareil ? Si c'est pareil les opérateur sont de vrai c***** A cause d'eux on ne peut pas avoir les mises a jours
sur mon Sony il y a une option qui fait que le schéma ne s'affiche pas quand tu le dessine.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Schéma que tout le monde voit quand tu le fais parce que les traits s'affiche ? Je trouve que c'est la pire sécurité du monde, perso même un schéma compliqué je suis capable de le refaire, c'est la base des jeux à mémoire..
Aller pour en ajouter une couche, c'est tout frais ça vient de sortir : http://thehackernews.com/2015/04/security-researchers-have-uncovered.html?m=1
J'ai pas étalé ma science pour rien. Le moissonnage d'empreintes, c'est pas une activité pour ta sœur ou pour un obscure chinois en mal de reconnaissance. C'est un objectif d'Etat (ton état, ou celui du voisin qui veut se faire une base de données de tes citoyens). Ce que je disais, c'est que si ton téléphone n'a pas un composant hardware totalement autonome pour la lecture et la reconnaissance d'empreintes, tu peux te faire avoir de toutes façons si t'installes n'importe quelle appli qui a besoin des privilèges root (même temporairement) pour s'installer.
Oui, je crois que c'est fou ... harrghhh .... je bave.
Qu'est-ce qu'il y a ? On peut plus se moquer des gens dont le prénom révèle (peut-être) quelque chose sur le milieu culturel à la maison ? ;-) (cela dit, j'ai eu un super pote qui s'appelait Kevin ... mais ça m'empêchait pas de le charrier là dessus)
Titre racoleur effectivement puisque il faut remplir des conditions qu'on ne croise jamais en vrai et pour une solution corrigée puisque le S5 est sous Lollipop. Quel mot tu comprends ami fan d'Apple?<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
pour moi le capteur d'empreinte sa reste gadget je préfère le bon vieux schéma<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Regarde les résultats du Pwn2Own 2015 (et tout autre concours de hack multiplateforme), revérifie le scandale iCloud, comment les iPhones étaient jailbreakés il y a quelques année (juste avec un site web), ... Et relis ta phrase.
Caractère religieux, la traduction est plus bas
En fait ça repond pas à mon post, à part étaler ta '' science '' inutilement ton post n'apporte rien. On parlait de savoir s'il fallait le root ou non pour avoir accès au lecteur du S5, Frandroid dit que non la plupart des sites que j'ai lu disent que oui (les auteurs du hack aussi). Hors pour qu'une appli ai les droits root il faut que le téléphone soit rooté (on est sur un système basé sur Unix avec un compte n'ayant pas de droit root par défaut). Donc si le téléphone n'est pas rooté pas de risque, d'où mon commentaire initial du titre à clic. Ensuite pour le cas où l'utilisateur est rooté, le problème est le même sur tous les systèmes du monde, la faille est l' utilisateur, et on ne peut rien y faire. Il n'y avait rien de naïf dans mon message juste quelque chose de réel et pragmatique et pas juste des diffamations. Je suis pas étranger au monde de l'informatique, encore moins Unix. A mon avis tu n'as pas tout à fait compris mon précédent message, ou je me suis mal exprimé ?
C'est fou d'être aussi jaloux et frustré à la fois
Hein? Tu critique Kevin fiduce?
Au fait, quelque soit la faille, dire que quelque chose ''n'est pas sécurisé du tout'' c'est se foutre un peu des développeurs qui s'en sont chargé quand même.. On sait très bien que n'avoir aucune faille est proche de l'impossible, s'il n'était pas sécurisé du tout, des failles auraient émergé des le début (Je ne défend pas Samsung ou autre, je parle de manière générale, concernant n'importe quelle création) C'est comme dire "ton travail c'est de la merde, t'as oublié d'écrire la date " (même si évidemment une telle faille est plus grave que de ''ne pas écrire la date'' mais vous voyez l'idée)<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
Une fois volé tu peu changer ton mot de passe, pour l'emprunte digitale ça risque de faire un peu plus mal ;) ceci dit on savait a la sortie ;)
En attendant le scandale Apple, qui n'a aucune raison d'arriver avant que les ventes aient été maximales (comme celles de ce S5).
Et voilà un argument de plus en défaveur d'Android et comme quoi en matière de sécurité rien ne vaut Apple.
Essaye d'être un peu logique : si ton téléphone est capable de te reconnaitre d'un jour sur l'autre, c'est qu'il a en lui un truc de stocké ... tel que, si tu fous ton doigt dessus, ça marche. Ça suffit largement pour faire chier. T'as pas besoin d'un scan A3 de ton doigt. Mais même ... qui est-ce qui calcule cette fameuse équation ? (qui n'est pas un cryptage, juste un moyen de diminuer la complexité : d'un bitmap, on passe à quelques paramètres d'équation) Le capteur, il ne renvoie pas une équation. L'équation, est calculée derrière (par la gentille appli de déverrouillage SAMSUNG). Si l'appli vérolée prend le contrôle du capteur en root, elle lit bien une empreinte (l'autre possibilité, c'est qu'il y ait un mini-ordinateur dans le capteur, ce qui n'est pas le cas).
C'est ton prénom qui a pris le dessus.
2 ans.
Bah dis donc, c'est une belle aventure quand même :)
Où on prend un iphone. :-) Dsl mon côté trolls a pris le dessus
Je ne sais pas meme pas ce qui est dit donc...
D'après Google trad ça veut dire quelque chose comme "Nuits de paix Ismail Abdi , nouveau bébé Félicitations à vous pour ce qui suit". C'est effectivement très intéressant :-)
T'es archi-naïf. Sur PC : Tu sors un Windows sans menu démarrer. Une boite sort un menu démarrer ... tout le monde l'installe (en donnant tous les droits parce que c'est un soft qui doit aller loin dans l'OS, tu comprends ?) ... et, ni vu ni connu, t'as la moitié de la planète qui a un backdoor gardé par une logique à clé publique/privée. Sans que Microsoft ne puisse être mis en cause. Sur IOS : tu fais bosser tes équipes main dans la main avec Apple, pour pondre un bon jailbrake, mais qui pue déjà tellement l'underground que, même si on te disait qu'il y a un keylogger dedans, tout le monde s'en foutrait. Sur Android, tu prends n'importe quelle appli qui a besoin du root, et tu mets dedans ce que tu veux : l'utilisateur est ton allié ! L'open source n'est sécurisant en terme de backdoor qu'à la condition que toutes les applis/modules ayant un niveau autre que utilisateur sont également open source.
Pour ce genre de propos ce serait même bien qu'il fasse l'effort de débrancher son clavier avant d'écrire.
Le root est donné par les constructeurs aux utilisateurs ? Ils ne font pas tout pour éviter qu'il soit accessible au contraire ? (en tout cas Samsung). Sur le principe tu as raison, mais dans ce cas ce n'est pas le capteur de Samsung qui a un problème mais toute la sécurité Android car un malware qui a un accès root sur ton téléphone sans que ce dernier soit rooté, qu'il ai ton emprunte devrait être le cadet de tes soucis...
C'est écrit si petit, qu'on croirait que ce n'est même pas l'alphabet latin ;-)
C'est pas parce que le root est "DONNÉ" par les constructeurs aux utilisateurs, qu'il est garanti qu'il n'existe plus aucune façon de l'obtenir de façon illégitime, dans une appli. Je dirais même que les facilités offertes en standard mettent un voile sur la recherche underground (qui continue comme si de rien était). Ce que je veux dire, c'est que celui qui suppose quoi que ce soit en matière de sécurité logicielle, il se gourre TOUJOURS.
Peut-être, mais pas de façon informatisée et à distance. Une empreinte ne se change pas. Une fois "grillée", c'est définitif. Un jour, on légifèrera sur une loi renseignement autorisant l'Etat à exiger le rapatriement de toutes les empreintes des appareils connectés. On te présentera un ou deux cas de crimes bien dégueulasses effectués à un endroit hyper-passant, et non-résolus parce que les empreintes trouvées ne sont pas fichées. Un autre jour, on sortira le téléphone d'enfer, capable de reconnaitre ton iris grâce à la caméra frontale (ces caméras seront secondées par un deuxième objectif à focale fixe x20 : tu verras ta tronche sur l'écran comme si tu faisais un selfie ... et le logiciel te montrera comment placer ton œil pour que ça marche, c'est à dire que la seconde focale ait ton oeil plein cadre). Un autre jour, de même qu'un logiciel en "essai gratuit" refuse ensuite de s'installer sur ton ordi (pour éviter que tu ne le paye jamais), il y aura des services "anonymes" dont l'accès/l'inaccès sera basé sur tes empreintes ou ton iris (donc à toi, même pas à l'appareil que tu utilises). T'auras beau essayer de te faire oublier ... tu verras que des gens "grillés de l'index" ou "de l'oeil gauche" déverrouilleront leur Samsung avec leur annulaire ou auriculaire à ce moment là (ou l’œil droit). Mais ce jour là, des empreintes synthétiques seront dispo partout ... tu porteras des lentilles pour changer d'identité. Alors on introduira le téléphone révolutionnaire doté d'un analyseur de glycémie (si tu lui donnes une goutte de sang), et, accessoirement, un séquenceur ADN (mais c'est juste pour que tu puisses t'amuser à comparer tes liens de parenté, ludique quoi).
click bait, mais qui ne fait pas ca à present ?...
gné?
Fais au moins l'effort que l'on te comprenne donc parle au moins en anglais.
Je n'ai lu l'article qu'en diagonale car d'autre site disent le contraire, et même les deux hackers eux même : "Selon Forbes, qui a interviewé les deux hackers, la technique peut être déployée à l'aide d'un malware qui bénéficierait d'un "accès au niveau système", ou par n'importe qui accède au téléphone en tant que root." Pour moi un accès au niveau système ce n'est pas l'accès standard d'une application.
C'est pour ça que j'ai dit que je prendrais aucun smartphone avec capteur d'empreinte. Y'a des limites.
L'intro parle des smartphones en général (pour qui le risque est faible), puis vient le cas du Galaxy S5 qui ne nécessite pas de root lui (donc pas du tout sécurisé). C'est en gras en plus, pour une fois que c'est pas un titre à clic, t'as pas de bol :)
Non aucune empreinte n edt stockee ce n est pas une photo mais une equation qui a comme parametre des points de concordance. Donc non unique et parfaitement changeable comme un mot de passe. Aucune partie de soi n est volee pas plus qu un mot de passe issu de sa tete :-) Ne confondez pas avec les detectejrs militaires d emprunte qui eux le font mais necessite un autre matos
Ce ne sont pas les empreintes qui sont sur stockees et volees mais une equation qui prend pour entree des points d e controle. Comme un mot de passe on change les points de controle ccest tout...
Il faut surtout arrêter de croire qu'une empreinte digitale est quelque chose de privé, on en laisse partout tous les jours.
Le simple mot de passe comme tu dis...tu peut les changer si tu te fait voler ton compte..mais tes empreintes digitales tu fait comment?
titre racoleur pour un soucis corrigé sous lollipop...
Pour info, le s5 4g+ (SM-G901F) a déjà les mise à jour opérateur, que ce soit chez bouygues ou orange ! Par contre sur le mien ça rame violemment depuis la mise à jour, alors bon de là à la conseiller...
'' Pas du tout sécurisé '' ''le risque est faible '' Titre à clic un peu non ?
le truc qui chagrine plus qu'un "simple mot de passe", c'est que c'est une partie de toi qui est volé. L'empreinte digitale est unique contrairement à un mot de passe. (après que ce soit Samsung ou un autre ça sera le même problème)
Bah c'est toujours plus sécurisé que les autres constructeurs et sites web de paiement qui utilisent simplement un mot de passe, donc je vois pas l’intérêt de cet article mise à part que de dire qu'une solution de sécurité grand public proposé à un bas prix (comparé aux solutions professionnelles) n'est pas infaillible...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix