iPhone 6 : TouchID reste vulnérable
Bis repetita. Comme celui de l’iPhone 5S, le capteur d’empreintes digitales de l’iPhone 6 commercialisé depuis par Apple s’avère vulnérable à l’utilisation de fausses empreintes.
Marc Rogers, de Lookout, vient de récidiver. Dans un billet de blog, il explique sa démarche. Après avoir leurré le capteur d’empreintes digitales TouchID de l’iPhone 5S à l’automne 2013, il ne nourrissait pas de grands espoirs quant à une « sécurité totale » de ce fameux capteur avec l’iPhone 6, mais « espérait au moins qu’il y ait eu quelques améliorations. » Et d’avoir à nouveau produit de fausses empreintes digitales dans le but de leurrer le capteur TouchID du nouveau smartphone d’Apple.
Le bilan est sans appel : « hélas, il n’y a pas eu grand chose en matière d’améliorations mesurables entre ces deux terminaux. Les fausses empreintes créées en utilisant la technique [de l’an passé] ont été capables de leurrer les deux terminaux. »
Et de déplorer en outre qu’il n’y ait pas de réglage logiciel supplémentaire « pour aider les utilisateurs à renforcer la sécurité, comme la capacité à définir un délai maximal après lequel un mot de passe doit être saisi » au lieu de recourir à TouchID.
L’an passé, Marc Rogers avait souligné que « la sécurité par empreinte digitale n’est pas de la haute sécurité », la qualifiant «de la sécurité de confort ». Et qu’en outre, pour les 50 % d’utilisateurs de smartphones le protégeant avec un code PIN, « TouchID est formidable ».
Aujourd’hui, il relève de petits progrès, estimant qu’Apple « travaille pour améliorer les choses, même si ces changements concernent principalement la facilité d’utilisation. » De fait, pour Marc Rogers, « à ce jour, TouchID reste un contrôle de sécurité efficace plus qu’approprié pour son rôle principal : déverrouille un téléphone. » Pour autant, le chercheur est loin de formuler un satisfecit : « je suis un peu déçu qu’Apple n’ait saisi sa chance de réellement renforcer la sécurité de TouchID. Tout particulièrement lorsque l’on tient compte de son intention claire d’étendre son usage au-delà du déverrouillage de téléphone et dans le domaine des paiements. »