Empreintes digitales sur iPhone : bien, mais peut mieux faire

Fin septembre, juste après la commercialisation de l’iPhone 5S, un concours était lancé pour le contournement de l’une de ses fonctionnalités phares : un capteur d’empreintes digitales baptisé TouchID et permettant de déverrouiller l’appareil du bout du doigt. Au final, il avait fallu moins de deux jours pour que le dispositif soit effectivement contourné par des hackers du Chaos Computer Club allemand.

Arturas Rosenbacher, l’un des partenaires d’un fond d’investissement ayant généreusement contribué au prix du concours, expliquait avoir soutenu l’initiative dans le but d’interpeler : «est-ce que [ce capteur] apporte réellement plus de sécurité ou juste un faux sentiment de sécurité ?» Surtout, il lui apparaissait important d’évoquer la question avant que d’autres acteurs de l’industrie ne décident de suivre la voie défrichée par Apple.

Lors de la récente édition asiatique de la conférence Hack In The Box, à Kuala Lumpur, Marc Rogers, de Lookout, qui propose des outils de protection des terminaux mobiles, a reproduit la démonstration de contournement de TouchID. Mais pour lui, il n’est pas pour autant question de dénigrer le concept.

Dans sa présentation, Marc Rogers a souligné que «la sécurité par empreinte digitale n’est pas de la haute sécurité», c’est «de la sécurité de confort ». En outre, pour les 50 % d’utilisateurs de smartphones le protégeant avec un code PIN, «TouchID est formidable». Pour étayer son propos, il relève que la recherche d’une sécurité absolue est illusoire, la sécurité doit être simplement «suffisante» en regard du risque. Et si le risque est le vol de smartphone, pas d’inquiétude, les voleurs «ne vont pas utiliser des techniques de clonage d’empreintes digitales pour déverrouiller des iPhone volés, ils vont simplement les effacer et les revendre ».

Toutefois, Marc Rogers relève et suggère des pistes d’amélioration. Il appelle ainsi à pouvoir combiner TouchID à  un code PIN ou un mot de passe «lorsqu’une sécurité additionnelle est nécessaire» - et encore, de manière sélective suivant les données consultées ou les applications utilisées. Ainsi qu’un système d’expiration : «actuellement, si votre téléphone n’a pas été utilisé durant 48h, il faut indiquer un code PIN avant de pouvoir utiliser TouchID ; je veux pouvoir choisir cette valeur.» Même souhait de pouvoir choisirle nombre d’échecs de reconnaissance d’empreinte avant que TouchID ne jète l’éponge et revienne à un code PIN : ils sont au nombre de 5 actuellement ; Marc Rogers voudrait pouvoir régler cette valeur à 2.