Les experts en sécurité recommandent aux utilisateurs de cryptographie à la recherche d’une option plus sécurisée de choisir un iPhone.
Une étude récente menée par des scientifiques chinois a découvert une méthode appelée BrutePrint qui permet de déverrouiller presque tous les smartphones protégés par empreintes digitales basés sur Android.
Cette méthode permet de déverrouiller le verrou mobile par des attaques par force brute ou en utilisant un type d'« empreinte digitale virtuelle ».
Vous pouvez lire le résumé de cet article de recherche ci-dessous.
Titre du document de recherche : BRUTEPRINT : rend l'authentification par empreinte digitale sur les smartphones vulnérables aux attaques par force brute
Résumé du document de recherche : L'authentification par empreinte digitale est devenue une mesure de sécurité courante sur les smartphones en plus de l'authentification par mot de passe traditionnelle. Cependant, des recherches récentes ont découvert une faiblesse importante dans les systèmes d’authentification par empreinte digitale des smartphones. Dans cet article, nous présentons une méthode appelée BRUTEPRINT qui expose l'authentification par empreinte digitale du smartphone aux attaques par force brute.
Nos recherches révèlent que les mesures de sécurité actuelles, telles que la détection de l'activité et les limites d'essais, sont insuffisantes pour réduire les risques d'attaques par force brute lors de l'authentification par empreinte digitale. BRUTEPRINT agit comme un intermédiaire qui permet de réussir des attaques par force brute sur les smartphones du commerce en contournant les limitations des essais et en capturant des images d'empreintes digitales.
Pour y parvenir, nous exploitons deux exploits zero-day dans le cadre d’authentification par empreinte digitale des smartphones. En tirant parti de la simplicité du protocole SPI, nous contournons avec succès les limitations de détection et de test d’activité et permettons l’acceptation de fausses empreintes digitales.
Pour valider nos résultats, nous effectuons une évaluation complète de BRUTEPRINT sur 10 smartphones sélectionnés de manière représentative parmi les 5 principaux fournisseurs et sur une variété d'applications telles que le verrouillage de l'écran, le paiement et la confidentialité. Les résultats montrent que tous les smartphones testés, à l'exception de l'iPhone, sont vulnérables aux attaques par force brute par empreinte digitale. Le délai le plus court pour déverrouiller un smartphone sans connaissance préalable de la victime est estimé à 40 minutes.
En conséquence, nous proposons des atténuations logicielles et matérielles pour remédier aux vulnérabilités découvertes par BRUTEPRINT et améliorer la sécurité des systèmes d'authentification par empreinte digitale des smartphones.
BRUTEPRINT est une méthode qui expose l'authentification par empreinte digitale du smartphone à une attaque par force brute. Cette méthode permet de déverrouiller le téléphone en brisant le système de verrouillage utilisé dans les smartphones Android protégés par empreintes digitales. Le déverrouillage mobile se fait à l’aide d’une attaque par force brute ou d’une empreinte virtuelle.
Une étude récente menée par des chercheurs chinois a révélé cette méthode appelée BRUTEPRINT. Cette méthode parvient à contourner les mesures de sécurité utilisées dans les smartphones protégés par empreintes digitales. En particulier, des mesures telles que la détection de l'activité et la limitation des essais sont contournées par BRUTEPRINT.
À la suite de cette étude, les experts en sécurité suggèrent que les utilisateurs d’Android ne devraient pas se soucier de la sécurité de leur téléphone et devraient envisager d’utiliser un iPhone pour assurer une meilleure sécurité. Parce que les iPhones peuvent disposer de mesures de sécurité permettant de mieux protéger contre de telles attaques par force brute.
Mots-clés : authentification par empreinte digitale, attaque par force brute, sécurité des smartphones.