Samsung n'a pas déçu avec son nouveau Galaxy S8 qui offre pas mal d'innovations. En matière de sécurité, le géant sud-coréen a notamment mis en avant une triple protection biométrique, notamment pour le paiement mobile via Samsung Pay, son dispositif NFC.

publicité

Outre le lecteur d'empreintes digitales, Samsung a ajouté un scanner d'iris pour valider un paiement mais aussi la reconnaissance faciale. Pour autant, cette dernière protection semble avoir très vite montré ses limites.

Sur cette vidéo de iDeviceHelp publiée par Gizmodo, l'utilisateur débloque un modèle de démonstration avec une photo de son visage affichée sur son smartphone. Bref, une simple photo du visage du propriétaire permettrait de contourner la protection.

Samsung reconnaît les limites de cette technologie et affirme à ArsTechnica que "la reconnaissance faciale, quoi que pratique, ne peut pour le moment pas être utilisée avec le Galaxy S8 pour authentifier l'accès à Samsung Pay ou au Dossier Sécurisé (Secure Folder)". Un simple gadget donc ?

Il faut dire qu'aucune protection biométrique est sûre à 100%. Le lecteur d'empreintes de l'iPhone s'est plusieurs fois fait leurrer. Lors du Chaos Communication Camp de 2013, quelques mois à peine après la sortie de l’iPhone 5, des hackers démontraient que cette sécurité n’était que très relative et expliquaient comment contourner cette protection en photographiant les empreintes digitales avant de les reproduire à l’identique sur une fine pellicule de plastique, un procédé suffisant pour tromper la plupart des capteurs présents sur le marché ainsi que TouchID.

Pour l'éditeur de sécurité Dashlane, la biométrie, empreinte ou visage, ne peut pas être utilisée comme seule mesure de protection. Pour Emmanuel Schalit, p-dg de cette entreprise, "sur le papier c’est un bon outil pour prévenir l’usurpation d’identité et de nombreuses fraudes. On peut me voler ma carte de crédit ou mes mots de passe mais on ne peut pas me voler mon empreinte digitale… Mais désormais on sait que l’authentification biométrique peut être piratée comme toute autre forme d’authentification".

Et de poursuivre : "Apparait alors un gros inconvénient : à la différence des mots de passe, les données biométriques ne peuvent pas être modifiées en cas de piratage, si on vous vole vos empreintes digitales, vous ne pouvez pas les remplacer par de nouvelles. Et si tous vos comptes sont protégés par la même information biométrique, ils risquent devenir tous vulnérables en même temps. Il y a d’autres limites à l’utilisation de données biométriques : elles ne peuvent être partagées et elles ne peuvent pas être rendues anonymes. Le partage et l’utilisation anonyme d’identifiants sont cependant de plus en plus répandus sur le web…"



Conclusion de l'expert : "la biométrie est pertinente pour ajouter un facteur d’authentification supplémentaire dans le cadre de l’authentification multi facteurs mais il y a peu de chances qu’elle succède au mot de passe comme standard pour l’ensemble des sites, contrairement à ce que l’on veut nous faire croire". Bref, le bon vieux mot de passe a encore de beaux jours devant lui