Le scanner d'empreinte du Galaxy S10 pris en défaut, Réactions à la publication du 08/04/2019

[Lionel]

Le Galaxy S10 est doté d'un capteur d'empreinte ultrasonique permettant de fonctionner à travers l'écran. Samsung le décrit comme un système fiable capable de prendre une image 3D d'un doigt sans erreur.
Un hacker a réussi à le duper. Il est parti d'une empreinte digitale photographiée sur un verre de vin. Elle a été traitée sous Photoshop et imprimée en 3D avec une grande précision.
Le produit obtenu permet de déverrouiller sans coup férir le Galaxy S10.

Déjà les systèmes de reconnaissance faciale de Samsung ont réussi à être trompés par des photos haute résolution.

Lien vers le billet original

[Ze Clubbeur]

Le Galaxy S10 est doté d'un capteur d'empreinte ultrasonique permettant de fonctionner à travers l'écran. Samsung le décrit comme un système fiable capable de prendre une image 3D d'un doigt sans erreur.
Un hacker a réussi à le duper. Il est parti d'une empreinte digitale photographiée sur un verre de vin. Elle a été traitée sous Photoshop et imprimée en 3D avec une grande précision.
Le produit obtenu permet de déverrouiller sans coup férir le Galaxy S10.

Déjà les systèmes de reconnaissance faciale de Samsung ont réussi à être trompés par des photos haute résolution.

Lien vers le billet original

Et sur l'iPhone ?
C'est sûr que si on s'en donne les moyens, aucun système n'est inviolable. À moins de coupler le capteur d'empreinte à un saturomètre (histoire de savoir si c'est un vrai doigt ou pas), un capteur qui se contente de relever l'empreinte est perfectible...

[VSD]

Tant de mal pour si peu !

[lookibus]

Tant de mal pour si peu !

I’ll faudra aussi kidnapper le propriétaire du téléphone pour l’empêcher de l’effacer à distance pendant que le hacker fait joujou avec Photoshop et son imprimante 3D haute résolution...

[broitman]

Vraiment, ce jeu la est facile

on sait depuis le commissaire Maigret que les empreintes sont reproductibles ,a condition d'avoir le temps et les moyens

[Lionel]

Tant de mal pour si peu !

I’ll faudra aussi kidnapper le propriétaire du téléphone pour l’empêcher de l’effacer à distance pendant que le hacker fait joujou avec Photoshop et son imprimante 3D haute résolution...

tu veux parler de le placer dans une cage de Faraday ?

[philsw]

Il semble que le capteur d'empreinte Sam ne fonctionne deja pas bien ave juste un film de protection d'ecrans en verre non ?

[Lionel]

Il semble que le capteur d'empreinte Sam ne fonctionne deja pas bien ave juste un film de protection d'ecrans en verre non ?

Forcément, ce sont des ultrasons. Alors si tu rajoutes une couche et en plus deux changements de milieu (en fait 4 avec l'aller-retour), c'est dur.

[vlady]

J'ai l'impression que Touch ID était craqué aussi. Pas la peine de aller chercher une imprimante 3D, il suffit d'utiliser le procédé des circuits imprimés (fait à partir d'une photo d'empreinte).

Ce message a été modifié par vlady - 8 Apr 2019, 09:40.

[Ze Clubbeur]

Il semble que le capteur d'empreinte Sam ne fonctionne deja pas bien ave juste un film de protection d'ecrans en verre non ?

Forcément, ce sont des ultrasons. Alors si tu rajoutes une couche et en plus deux changements de milieu (en fait 4 avec l'aller-retour), c'est dur.

Voir même plus de 4, car il y a l'écran, la colle qui sert à maintenir le film plastic, le film plastic... Si on considère aussi que l'espace entre l'écran et le film contient de l'air en même temps que la colle...

[marc_os]

J'ai l'impression que Touch ID était craqué aussi. Pas la peine de aller chercher une imprimante 3D, il suffit d'utiliser le procédé des circuits imprimés (fait à partir d'une photo d'empreinte).

Ça c'est précis.
Je ne connais aucun détail, je n'ai qu'une impression, mais pas grave, c'est pas une raison pour se taire !

[fxn]

J'ai l'impression que Touch ID était craqué aussi. Pas la peine de aller chercher une imprimante 3D, il suffit d'utiliser le procédé des circuits imprimés (fait à partir d'une photo d'empreinte).

Ça c'est précis.
Je ne connais aucun détail, je n'ai qu'une impression, mais pas grave, c'est pas une raison pour se taire !

j'étais justement en train de me demander comment les haters allaient pouvoir se raccrocher ...

[ades]

je crois me souvenir, qu'il y a à peu près (ou au moins) cinq ans, la faisabilité de l'utilisation frauduleuse d'empreintes digitales avait été démontrée. Utilisation montrée pour ouverture de portes, contrôles aéroportuaires etc.
Rien de très nouveau a priori…

[Hebus]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

[SartMatt]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

D'accord pour l'authentification. Par contre pour la détection de présence, utiliser Face ID c'est vraiment prendre un bazooka pour tuer une mouche...

N'importe quelle caméra basique est déjà largement plus évolué que ce qui est nécessaire pour faire de la détection de présence... Et certains constructeurs n'ont d'ailleurs pas attendu Face ID pour faire de la détection de présence avec la caméra, par exemple pour ne pas mettre l'écran en veille tant que l'utilisateur le regarde.

[Macmmouth]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

Peut être, mais tant qu’on reste sur un principe biométrique, le code reste trouvable à condition d’y mettre le temps et les moyens.

Toujours infiniment moins sûr qu’un mot de passe pourvu que celui ci soit un peu long.
On peut discuter du côté pratique, mais faire un concours du meilleur du pire, ça me parait assez ridicule.
Un code biométrique est naze par nature.
A moins de porter une cagoule ou des gants en permanence, je ne vois pas comment on peut prétendre que ce soit sûr.
On se promène avec en le laissant partout et ainsi on le donne à qui veut bien prendre la peine de le scanner.

La fausse bonne idée tirée des œuvres de science fiction par excellence.

Ce message a été modifié par Macmmouth - 8 Apr 2019, 12:31.

[Kabrice]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

D'accord pour l'authentification. Par contre pour la détection de présence, utiliser Face ID c'est vraiment prendre un bazooka pour tuer une mouche...

N'importe quelle caméra basique est déjà largement plus évolué que ce qui est nécessaire pour faire de la détection de présence... Et certains constructeurs n'ont d'ailleurs pas attendu Face ID pour faire de la détection de présence avec la caméra, par exemple pour ne pas mettre l'écran en veille tant que l'utilisateur le regarde.

Je pense qu'il voulait parler de la détection d'attention et non de présence. IE quand le téléphone est capable de détecter que tu le regardes ou non.

[iAPX]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

Peut être, mais tant qu’on reste sur un principe biométrique, le code reste trouvable à condition d’y mettre le temps et les moyens.

Toujours infiniment moins sûr qu’un mot de passe.
On peut discuter du côté pratique, mais faire un concours du meilleur du pire, ça me parait assez ridicule.
Un code biométrique est naze par nature.

Je ne pense pas que ça soit naze "par nature", puisque c'est justement ce que nous utilisons tous au quotidien pour reconnaître une foultitude de chose, avec un taux de reconnaissance excellent.
Apple a toujours eu un cran d'avance, TouchID ayant été parmi les meilleurs pour les empreintes, avec maintenant FaceID qui est très difficilement trompable et assez rapide.

Autant je n'aime pas l'idée que des informations biométriques puissent être stockées sans sécurité, voir pire se trouver dans le Cloud, autant sur un objet totalement personnel stocké localement dans une sorte de coffre-fort avec un très bon modèle d'échange authentifiés et chiffrés entre les composants, ça me parait jouable.

[zero]

Je pense qu'il voulait parler de la détection d'attention et non de présence. IE quand le téléphone est capable de détecter que tu le regardes ou non.

Ça fait froid dans le dos.

[SartMatt]

Juste une preuve que l’approche FaceID est bien meilleure ... vu le lien avec les paiements stratégique pour Apple... sans parler de l’avantage de la détection de présence qui améliore l’ergonomie de certaines actions...

D'accord pour l'authentification. Par contre pour la détection de présence, utiliser Face ID c'est vraiment prendre un bazooka pour tuer une mouche...

N'importe quelle caméra basique est déjà largement plus évolué que ce qui est nécessaire pour faire de la détection de présence... Et certains constructeurs n'ont d'ailleurs pas attendu Face ID pour faire de la détection de présence avec la caméra, par exemple pour ne pas mettre l'écran en veille tant que l'utilisateur le regarde.

Je pense qu'il voulait parler de la détection d'attention et non de présence. IE quand le téléphone est capable de détecter que tu le regardes ou non.

C'est tout a fait faisable avec une simple caméra (la simple détection de présence ne nécessitant même pas une caméra, mais juste un bête détecteur infrarouge). Je dirais même plus. Une simple caméra fait sans doute ça mieux que les capteurs 3D de Face ID... Parce que les capteurs 3D, ils peuvent facilement identifient la direction vers laquelle le visage est tourné, mais pour la direction vers laquelle pointent les yeux, ça me parait bien plus compliqué, je ne pense pas que la mesure soit assez précise pour détecter ça. Je suis prêt à parier que pour tout ce qui est détection de regard, l'iPhone utilise la caméra, et pas le capteurs spécifiques à Face ID.

En 2013 déjà, le Galaxy S4 savait automatiquement mettre en pause la lecture d'une vidéo quand l'utilisateur regardait ailleurs : https://www.youtube.com/watch?v=3RZJpMpWCkk

[iAPX]

...
Un code biométrique est naze par nature.
A moins de porter une cagoule ou des gants en permanence, je ne vois pas comment on peut prétendre que ce soit sûr.
On se promène avec en le laissant partout et ainsi on le donne à qui veut bien prendre la peine de le scanner.

La fausse bonne idée tirée des œuvres de science fiction par excellence.

Ah! Tu as rajouté quelques lignes.

Dans le cadre du vol ordinaire, les authentification biométriques des iPhone me semblent être de bonnes sécurité, et celles des concurrents suffisantes aussi, ça n'est pas comme cela qu'on casse leur sécurité (même si c'est possible).

Pour le reste on laisse notre ADN partout, c'est une information publique qui peut maintenant être malignement exploitée, et je suis bien plus inquiet des dérives que ça peut créer que pour nos empreintes, "notre" ADN n'étant pas seulement à nous mais aussi à nos parents plus ou moins proches (et réciproquement).

Pour ma part je suis bien plus inquiet de ce dernier point que des problèmes ou de l'abus d'authentification biométriques qui progressent bien et semblent une bonne solution sur le moyen-terme pour un smartphone (j'exclus l'usage de dispositifs partagés et pire du Cloud pour les stocker).

[zero]

En 2013 déjà, le Galaxy S4 savait automatiquement mettre en pause la lecture d'une vidéo quand l'utilisateur regardait ailleurs : https://www.youtube.com/watch?v=3RZJpMpWCkk

C'est con comme fonction. Il n'est pas rare d'écouter les musiques sur youtube (vu que, il n'y a pas le choix, la vidéo vient avec).

[SartMatt]

En 2013 déjà, le Galaxy S4 savait automatiquement mettre en pause la lecture d'une vidéo quand l'utilisateur regardait ailleurs : https://www.youtube.com/watch?v=3RZJpMpWCkk

C'est con comme fonction. Il n'est pas rare d'écouter les musiques sur youtube (vu que, il n'y a pas le choix, la vidéo vient avec).

Je pense qu'ils ont été assez intelligents pour rendre cette fonction désactivable... Après fondamentalement, on s'en fout de la fonction, le but était juste de montrer que non, il n'y a pas besoin de la technologie de Face ID pour faire de la détection de regard et gérer des actions en fonction de ça.

[vlady]

J'ai l'impression que Touch ID était craqué aussi. Pas la peine de aller chercher une imprimante 3D, il suffit d'utiliser le procédé des circuits imprimés (fait à partir d'une photo d'empreinte).

Ça c'est précis.
Je ne connais aucun détail, je n'ai qu'une impression, mais pas grave, c'est pas une raison pour se taire !

Ok, je suis de bonne humeur. Je ne te traiterai pas d'un psychopathe pro-apple qui démarre au quart de tour. Je te ne dirai pas sortir tes doigts de ton postérieur et allez chercher l'info toi même si tu veux plus de précisions pour un vieux truc connu par tout le monde. Les voici, les précisions :

https://9to5mac.com/2013/09/25/video-reveal...-took-30-hours/

Ce message a été modifié par vlady - 8 Apr 2019, 17:07.

[Hebus]

En 2013 déjà, le Galaxy S4 savait automatiquement mettre en pause la lecture d'une vidéo quand l'utilisateur regardait ailleurs : https://www.youtube.com/watch?v=3RZJpMpWCkk

C'est con comme fonction. Il n'est pas rare d'écouter les musiques sur youtube (vu que, il n'y a pas le choix, la vidéo vient avec).

Je pense qu'ils ont été assez intelligents pour rendre cette fonction désactivable... Après fondamentalement, on s'en fout de la fonction, le but était juste de montrer que non, il n'y a pas besoin de la technologie de Face ID pour faire de la détection de regard et gérer des actions en fonction de ça.

Je ne suis pas sur qu’il ne fasse pas un check d’identification dans la foulée... faudra que je teste ça...

Sinon je parlais d’une fonction supplémentaire bien utile.

Quand on accumule l’e clave sécurisé et Face ID on peut juste reconnaître que Apple a fait de très bon choix de ce côté correspondant à une stratégie à long terme...

[SartMatt]

En 2013 déjà, le Galaxy S4 savait automatiquement mettre en pause la lecture d'une vidéo quand l'utilisateur regardait ailleurs : https://www.youtube.com/watch?v=3RZJpMpWCkk

C'est con comme fonction. Il n'est pas rare d'écouter les musiques sur youtube (vu que, il n'y a pas le choix, la vidéo vient avec).

Je pense qu'ils ont été assez intelligents pour rendre cette fonction désactivable... Après fondamentalement, on s'en fout de la fonction, le but était juste de montrer que non, il n'y a pas besoin de la technologie de Face ID pour faire de la détection de regard et gérer des actions en fonction de ça.

Je ne suis pas sur qu’il ne fasse pas un check d’identification dans la foulée... faudra que je teste ça...

Ce serait étonnant que la vérification de présence fasse de l'identification en même temps, puisque ça impliquerait que tu ne peux plus déverrouiller ton téléphone puis laisser quelqu'un d'autre l'utiliser...

[prijker]

Un peu tordu comme info, non?
Existe-t-il vraiment une mesure 100% inviolable, et pas seulement avec les smartphones?
Il serait plus facile de couper le doigt du proprio ou même la tête, et présenter les viscères sanguinolantes devant l'oeil avide du capteur, non?
Tu verras: le jour où les smartphones capteront l'iris du proprio, on pourra même l'éborgner, pour exhiber l'oeil encore frétillant devant le capteur de la machine.
put*, je radote, c'est vrai, mais là j'étais vraiment furax de ce genre pseudo-news.

[LordJohnWhorfin]

Super! Et ils ont gardé le scanner d'iris qui abîme les yeux?

[Jedge]

Un peu tordu comme info, non?
Existe-t-il vraiment une mesure 100% inviolable, et pas seulement avec les smartphones?
Il serait plus facile de couper le doigt du proprio ou même la tête, et présenter les viscères sanguinolantes devant l'oeil avide du capteur, non?
Tu verras: le jour où les smartphones capteront l'iris du proprio, on pourra même l'éborgner, pour exhiber l'oeil encore frétillant devant le capteur de la machine.
put*, je radote, c'est vrai, mais là j'étais vraiment furax de ce genre pseudo-news.

Bon d'un autre coté vu ton niveau de participation depuis ton inscription, tu pourra surement t'en remettre et reprendre une vie normale ?!!
Moi aussi je trouve ça inintéressant ce genre d'info type "enfonçage de porte ouverte", mais je zappe et ce n'est pas grave hein

Ce message a été modifié par Jedge - 8 Apr 2019, 15:57.

[marc_os]

J'ai l'impression que Touch ID était craqué aussi. Pas la peine de aller chercher une imprimante 3D, il suffit d'utiliser le procédé des circuits imprimés (fait à partir d'une photo d'empreinte).

Ça c'est précis.
Je ne connais aucun détail, je n'ai qu'une impression, mais pas grave, c'est pas une raison pour se taire !

Ok, je suis de bonne humeur. Je ne te traiterai pas d'un psychopathe pro-apple qui démarre au quart de tour. Je te ne dirai pas sortir tes doigts de ton postérieur et allez chercher l'info toi même si tu veux plus de précisions pour un vieux truc connu par tout le monde. Les voici, les précisions :

https://9to5mac.com/2013/09/25/video-reveal...-took-30-hours/

En France, c'est à l'accusation d'apporter la preuve de ses affirmations, pas à la défense !
Sinon, je pourrais t'accuser de tout et n'importe quoi, et ce serait à toi de prouver que j'ai tort. Tu trouverais ça cool ? J'en doute.
En d'autres termes, c'est à toi d'argumenter tes affirmations, pas aux autres de le faire pour toi !

Quant à ton "il suffit d'utiliser le procédé des circuits imprimés", laisse moi rire.
Car comme il est écrit dans l'article que tu cites : « it’s well beyond the capabilities of your everyday iPhone thief.
Remember too that even your fingerprint isn’t enough to reset and sell your phone:
Activation Lock means that the thief would need your Apple ID password too. »

Ce message a été modifié par marc_os - 8 Apr 2019, 17:30.