Récemment introduit par Samsung Galaxy Le S8 est l'un des premiers smartphones équipés d'un lecteur d'iris comme moyen d'authentification des utilisateurs. Avec la reconnaissance faciale et un capteur d’empreintes digitales, cette méthode d’authentification était censée être la plus sécurisée jamais conçue sur un téléphone. Experts de CCC (Chaos Computer Club) mais maintenant ils ont prouvé que la sécurité du scanner devra être travaillée par les ingénieurs de Samsung car ils ont réussi à le casser.
Dans le même temps, les pirates avaient besoin d'un équipement relativement ordinaire : une photo du propriétaire du téléphone, un ordinateur, une imprimante, du papier et une lentille de contact. La photo a été prise avec le filtre infrarouge activé et bien sûr la personne devait avoir les yeux ouverts (ou au moins un). Par la suite, il suffisait d’imprimer une photo de l’œil sur une imprimante laser, de fixer une lentille de contact sur la photo à la place de l’iris, et le tour était joué. Le lecteur n'a même pas hésité et a déverrouillé le téléphone en une seconde.
Cela confirme une fois de plus que le plus sûr reste le bon vieux mot de passe, que personne ne peut vous voler dans la tête, c'est-à-dire si l'on ne compte pas l'ingénierie sociale, et surtout, il peut être modifié à tout moment, ce qui ne peut être a parlé des parties du corps utilisées pour l'authentification biométrique. Le capteur d'empreintes digitales peut être trompé pendant de nombreuses années et immédiatement après la première Galaxy S8 nous sommes convaincu, qu'une simple photo suffit à quelqu'un pour accéder à notre téléphone grâce à la fonction de reconnaissance faciale.
Mis à jour à propos de la déclaration de Samsung Electronics tchèque et slovaque :
"Nous sommes au courant du cas signalé, mais souhaitons rassurer nos clients sur le fait que la technologie de balayage de l'iris utilisée dans les téléphones Galaxy S8, a été soumis à des tests approfondis au cours de son développement afin d'obtenir une précision de reconnaissance élevée et d'éviter ainsi les tentatives de violation de la sécurité, par exemple en utilisant une image de l'iris transférée.
Ce que prétend le lanceur d’alerte ne serait possible que dans de très rares circonstances. Cela nécessiterait une situation très improbable dans laquelle l’image haute résolution de l’iris, de la lentille de contact et du smartphone lui-même du propriétaire d’un smartphone se trouverait simultanément entre de mauvaises mains. Nous avons tenté en interne de reconstruire une telle situation dans de telles circonstances et il s'est avéré très difficile de reproduire le résultat décrit dans l'annonce.
Cependant, s’il existe une possibilité hypothétique de faille de sécurité ou si une nouvelle méthode se profile à l’horizon qui pourrait compromettre nos efforts pour maintenir une sécurité stricte 24 heures sur 24, nous aborderons la question rapidement.
