iPhone 6 : TouchID reste vulnérable

Marc Rogers, de Lookout, vient de récidiver. Dans un billet de blog, il explique sa démarche. Après avoir leurré le capteur d’empreintes digitales TouchID de l’iPhone 5S à l’automne 2013, il ne nourrissait pas de grands espoirs quant à une « sécurité totale » de ce fameux capteur avec l’iPhone 6, mais « espérait au moins qu’il y ait eu quelques améliorations. » Et d’avoir à nouveau produit de fausses empreintes digitales dans le but de leurrer le capteur TouchID du nouveau smartphone d’Apple.

Le bilan est sans appel : « hélas, il n’y a pas eu grand chose en matière d’améliorations mesurables entre ces deux terminaux. Les fausses empreintes créées en utilisant la technique [de l’an passé] ont été capables de leurrer les deux terminaux. »

Et de déplorer en outre qu’il n’y ait pas de réglage logiciel supplémentaire « pour aider les utilisateurs à renforcer la sécurité, comme la capacité à définir un délai maximal après lequel un mot de passe doit être saisi » au lieu de recourir à TouchID.

L’an passé, Marc Rogers avait souligné que « la sécurité par empreinte digitale n’est pas de la haute sécurité », la qualifiant «de la sécurité de confort ». Et qu’en outre, pour les 50 % d’utilisateurs de smartphones le protégeant avec un code PIN, « TouchID est formidable ».

Aujourd’hui, il relève de petits progrès, estimant qu’Apple « travaille pour améliorer les choses, même si ces changements concernent principalement la facilité d’utilisation. » De fait, pour Marc Rogers, « à ce jour, TouchID reste un contrôle de sécurité efficace plus qu’approprié pour son rôle principal : déverrouille un téléphone. » Pour autant, le chercheur est loin de formuler un satisfecit : « je suis un peu déçu qu’Apple n’ait saisi sa chance de réellement renforcer la sécurité de TouchID. Tout particulièrement lorsque l’on tient compte de son intention claire d’étendre son usage au-delà du déverrouillage de téléphone et dans le domaine des paiements. »