Apple renforce la sécurité des utilisateurs dans son tout nouveau smartphone ce qui pourrait signifier que la biométrie va enfin devenir une pratique courante. Est-ce bien ou mal et quelles-en sont les potentielles conséquences ?
Nous essaierons premièrement de calmer les théoriciens de la conspiration : il ne semble pas qu’Apple ait introduit l’identification biométrique juste pour plaire à leurs amis de la NSA ou pour collecter les empreintes des contribuables pour les fédéraux. Apple a affirmé que les empreintes digitales sont stockées sous une forme dérivée spéciale (autrement dis, pas en photos) et qu’elles sont toujours gardées localement, jamais transmises sur Internet. En outre, les empreintes digitales et le lecteur Touch ID ne sont pas accessibles aux applications créées par des tiers, ils sont uniquement utilisés par iOS. Mais, que peut-on donc protéger avec toutes ces restrictions ?
Pas mal de choses. Il devient évidemment beaucoup plus facile pour le propriétaire légitime de l’appareil de déverrouiller son smartphone. Il suffit juste de presser le bouton Home et des capteurs intégrés reconnaitront instantanément l’empreinte, autorisant l’accès à l’utilisateur inscrit sur la « whitelist ». Les personnes non-autorisées ou les propriétaires qui portent des gants verront un message les informant qu’il est impossible d’identifier leur empreinte. Dans ce cas, il sera alors possible de taper un code alphanumérique. En plus des gens qui portent des gants, la technologie pourrait ne pas fonctionner dans le froid, quand les mains de l’utilisateur sont mouillées ou couvertes de crème, scarifiées ou brûlées. C’est pourquoi il est toujours important de mémoriser un mot de passe – il pourrait s’avérer utile assez souvent.
L’utilisateur sera obligé de passer par Touch ID pour confirmer ses achats sur iTunes ou dans l’App Store ainsi que dans d’autre situations dans lesquelles iOS requiert habituellement un mot de passe. Nous vous suggérons d’inscrire plusieurs doigts des deux mains afin d’assurer le fonctionnement du système.
C’est bien sûr très intéressant de se demander si le nouveau mécanisme de sécurité est assez robuste et sécurisé. Comme nous l’avons précédemment mentionné, les capteurs biométriques ne sont pas parfais. Afin de mettre en place Touch ID, Apple a acheté Authentec, une compagnie spécialisée qui dispose de développements technologiques biométriques assez intéressants. Le lecteur ne lit pas seulement la partie supérieure de la peau mais aussi ses couches sous-épidermiques, ce qui rend la falsification d’empreintes digitales bien plus compliquée. Le lecteur a probablement des vulnérabilités qui seront découvertes par les pirates curieux quand le 5S sera plus répandu. Néanmoins, nous n’avons actuellement pas d’information sur de telles vulnérabilités ou sur l’existence de celles-ci.
Il n’est pas facile de choisir entre le verrouillage par code PIN traditionnel et cette nouvelle forme de protection par empreinte digitale. Les codes PIN sont plus faciles à voler, et ils prennent plus de temps à taper. Les empreintes digitales sont plus difficiles à falsifier et plus facile à utiliser, mais quelqu’un qui aurait désespérément besoin de vos données pourraient tout aussi bien vous forcer à toucher votre téléphone. Bien évidemment, ce scénario relève plus d’un film d’action hollywoodien, mais ceux en possession d’informations de très grande valeur devraient y penser et peut-être éviter de stocker de telles informations dans leur smartphone.
Pour ce qui est des « personnes ordinaires », il semble qu’elles ne devraient pas avoir peur de la nouvelle technologie d’Apple pour le moment. Néanmoins, selon certaines rumeurs, la prochaine étape pour Apple serait de lancer un système de paiement qui utiliserait la biométrie comme moyen d’authentification premier pour confirmer des achats. Dans ce cas, la transmission des empreintes digitales sur Internet semble inévitable et un tel cas donne une très bonne raison aux pirates de développer une attaque ciblée contre le grand public. Si vous avez peur que vos empreintes digitales ne tombent dans de mauvaises mains, reconsidérez l’utilisation de la biométrie d’Apple dans des systèmes de paiement ou tout autre système qui pourrait être basés sur une utilisation plus étendue des empreintes digitales.
Note : Deux jours seulement après le lancement de l’iPhone 5S, des pirates allemands, appartenant au groupe Chaos Computer Club, ont publié un article montrant une manière simple de pirater les capteurs de l’appareil. Ils affirment que le lecteur d’empreintes digitales de l’iPhone n’est pas différent des modèles précédents, mais qu’il dispose simplement d’une résolution plus haute. Il est donc facile de prélever une empreinte digitale sur n’importe quelle surface et de la recréer avec du latex.