Mise à jour du 23/09/2013Le concours IsTouchIDhackedyet qui récompensera le premier hacker à réussir à apporter la preuve formelle par vidéo d'un hack de Touch ID pourrait avoir un gagnant allemand : Chaos Computer Club (CCC).
Le principe qu'ils ont utilisé est relativement simple, bien que hors de portée du premier venu : le CCC s'est basé sur une méthode pour contourner les protections de ce type qu'ils ont présentée le 26 octobre 2004. La première étape consiste à récupérer les empreintes de la victime et d'en fabriquer un masque armé de colle et de latex. La manipulation nécessite une impression laser en 1 200 ppp sur une feuille transparente. Cette photo est ensuite utilisée pour façonner l'empreinte digitale qui servira à déverrouiller le téléphone de la victime. Autant dire qu'elle sera difficile à reproduire dans la vie réelle. Ci-dessous une vidéo du résultat.
CCC conclut en disant que cette protection est « inadéquate comme méthode de contrôle d'accès et devrait être évitée. ». Il faut savoir qu'en théorie, l'article « iPhone 5S: About Touch ID security » établit que la probabilité qu'une empreinte corresponde à celle du propriétaire est de 1 sur 50 000, contre 1 sur 10 000 pour l'utilisation du code à quatre chiffres. Il serait donc plus difficile de mettre à mal la sécurité avec Touch ID. Toutefois, avec la méthode décrite par CCC, les rôles pourraient être inversés.
Pour l'instant, les organisateurs du concours n'ont pas décidé si CCC est bien parvenu à un hack, puisqu'à la question « Is Touch ID Hacked Yet? » ils ont répondu « Maybe! ».
De plus, jeudi 19 septembre, un utilisateur du nom de Jose Rodriguez a mis en ligne une vidéo exposant une faille de sécurité sur la nouvelle version du système d'exploitation d'Apple. En effet, il est actuellement possible d'avoir accès à toutes les photos d'un utilisateur, ses contacts et ses réseaux sociaux même si celui-ci a mis un code d'accès sur son écran de verrouillage.
Pour cela, il suffit d'aller dans le nouveau centre de notifications (accessible sans avoir à déverrouiller le téléphone), puis dans le menu alarme. Ensuite, il faut maintenir son doigt sur le bouton de veille, comme pour éteindre l'iPhone. Il faut sélectionner « annuler », puis double cliquer sur le bouton principal afin d'ouvrir le menu « multitâche », qui regroupe les applications déjà lancées.
Apple y est allé de son commentaire en assurant à Forbes « prendre la sécurité très au sérieux et être au courant de ce problème » tout en précisant qu'une mise à jour pour remédier au problème serait bientôt disponible. Avant la disponibilité du correctif, rendez-vous à l'option « Centre de contrôle » dans le menu réglages pour désactiver « accès sur écran verrouillé ».
Sources : Is Touched ID Hacked Yet? , Chaos Computer Club, Iphone 5S: About Touch ID security, Forbes
Et vous ?
Qu'en pensez-vous ? CCC a-t-il réussi le hack de Touch ID selon vous ? De Touch ID ou du mot de passe, lequel de ces moyens de protection des données vous semble-t-il le plus sécuritaire ? 
Envoyé par Zweet
)
