La reconnaissance d'iris du Galaxy S8 trompée avec une photo et une lentille de contact, Réactions à la publication du 24/05/2017

[_Panta]

La solution est assez simple, celle de Jean-Pierre Jeunet dans Alien, resurection, the breath biometric recognition (l'haleine)

[SartMatt]

Je pense que le problème est encore ailleurs, car si l'on peut déverrouiller le S8 aussi facilement, cela veut dire que l'on peut subtiliser un court moment l'appareil à quelqu'un et le lui rendre après.
Par exemple pour y installer un Trojan Horse ou un Keylogger en moins de 5 minutes sans que la victime s'en aperçoive!

Avec quand même une bonne phase de préparation avant hein... Surtout que c'est quand même pas forcément facile de faire une photo nette de l'iris de quelqu'un sans qu'il s'en rende compte.

Ha oui, tu crois vraiment?

http://www.spycamera-discount.com/tous-les-produits/512-lunettes-camera-espion-full-hd.html



Et ce n’est qu’un modèle du commerce que l’on trouve facilement, pas une version pro... mais avec 12 millions de pixels, cela devrait amplement suffire...

Il faut aussi que ça travaille dans l'infrarouge.

Et désolé, mais ces lunettes sont quand même pas super discrète, sachant qu'il faut que la cible regarde dans la direction de l'appareil pour avoir quelque chose de valable et que l'attaquant tripote la branche des lunettes pour déclencher. Le tout en "aveugle", puisqu'il n'y a pas d'écran qui lui permet de vérifier s'il a bien cadré et si le focus est fait (enfin d'ailleurs, il se fait sans doute pas en fait, la description ne parle pas d'autofocus, donc on peut supposer qu'il n'y en a tout simplement pas !)... Et dans leur démo, le CCC a fait la photo à 2-3m du sujet à tout casser, et en utilisant un zoom optique (à vue de nez, au moins du 4x), ce que ce genre de gadget n'a pas. Les 12 millions de pixels, c'est bien joli, mais si l'optique ne suit pas, ça sert à rien. Et suivant la taille du capteur, ça peut même être carrément contre productif (un petit capteur avec trop de pixels donne au final une image moins précise...). Quand tu vois la qualité de leur agrandissement imprimé (à 1:02 dans leur vidéo), ça me semble assez utopique de parvenir à ça avec ton gadget...

Ensuite, si tu as réussi à faire une photo correcte, faut aller la tirer... Et espérer retrouver ta cible ensuite quand tu reviens.

Bref, pour une attaque vraiment ciblée sur quelqu'un, c'est peut-être jouable. Mais pas pour attaquer le premier venu. Et ça tombe bien, moi je suis plus proche du premier venu que de quelqu'un qui risque de subir une attaque très ciblée. Quand à ceux qui sont dans ce dernier cas, ils sont censés être sensibilisés à la sécurité et utiliser des protections supérieures (cela dit, perso, même sans être dans ce cas, je le fait déjà en partie, tous mes documents stockés en ligne accessibles depuis mon téléphone sont chiffrés, avec une demande de mot de passe à chaque accès).

On a d'ailleurs déjà vu cette situation avec le Face Unlock d'Android. Il a beau être assez facile à contourner avec une photo (et pour le coup, c'est sans doute bien plus facile d'obtenir une photo exploitable que pour l'iris), en pratique on n'a pas spécialement entendu parler d'une exploitation de ce manque de sécurité en dehors des labos des chercheurs en sécurité.

Ce message a été modifié par SartMatt - 26 May 2017, 00:09.

[_Panta]

Pour les particuliers, le vilain pirate est dans une écrasante majorité un conjoint jaloux, un fiston rebel ou un collegue aigri, qui doivent bien avoir une photo de vous quelque part.

Une double authentification de la rétine, mydriase/myosis, généré par un flash par exemple, devrait pouvoir combler aisément cette faille.

Ce message a été modifié par _Panta - 26 May 2017, 00:11.

[greens]

La pub de Samsung est quand même très forte!

Sécurité

Sécurité
infaillible

Les regards indiscrets ne sont plus un problème avec le scanner d'iris du Galaxy S8 et S8+.
Aucun iris n'est pareil à un autre, et ils sont pratiquement impossibles à dupliquer.
Avec le scanner d'iris, votre téléphone et son contenu ne sont visibles que pour vos yeux.
Et quand vous devez débloquer votre téléphone très vite, la reconnaissance faciale vous offre une autre solution très pratique.

* L'iris est la zone de couleur en forme d'anneau de l'oeil humain.

source: http://www.samsung.com/ch_fr/smartphones/galaxy-s8/

_______________________________________________________________

Nous sommes très concernés par votre vie privée.
Nous mettons en place des mécanismes performants qui empêchent tout shopping non désiré, tout en le rendant particulièrement pratique pour vous.
Vous disposez aussi du scanning d’iris pour une sécurité sans faille, de la reconnaissance faciale pour déverrouiller votre téléphone en un instant, et d’une sécurité de très haut niveau qui monte la garde en permanence.

Scan de l'iris
Les motifs de vos iris n'appartiennent qu'à vous et sont virtuellement impossibles à dupliquer, ce qui veut dire que l’authentification par l’iris est une manières les plus sûres de garder votre téléphone verrouillé et vos contenus sécurisés.

source: http://www.samsung.com/ch_fr/smartphones/galaxy-s8/security/