Le scanner d'empreintes digitales à ultrasons de Samsung peut être contourné avec quelque chose d'aussi simple qu'un protecteur d'écran à 2,70 £, a découvert un couple britannique.
Mise à jour 4 (24/10/19 à 10 h 50 HE) : Comme promis, Samsung déploie le correctif du problème de contournement des empreintes digitales sur les Galaxy S10 et Galaxy Note 10.
Mise à jour 3 (23/10/19 à 10 h 33 HE): Samsung a publié une mise à jour logicielle qui prétend résoudre le problème. Faites défiler vers le bas pour plus d’informations.
Mise à jour 2 (23/10/19 à 3 h 10 HE) : Les applications bancaires suppriment temporairement la prise en charge du scanner d'empreintes digitales pour les séries Samsung Galaxy S10 et Galaxy Note 10 à la lumière de cette faille.
Mise à jour (18/10/19 à 10h00 HE) : Samsung a publié une déclaration sur la faille du scanner d'empreintes digitales du Galaxy S10. Faites défiler vers le bas pour plus d’informations. L'article tel que publié le 17 octobre 2019 est conservé comme ci-dessous.
En mars, lorsque Samsung a lancé le Galaxy S10, ils ont qualifié son scanner d'empreintes digitales de « révolutionnaire ». Le scanner à l'écran utilise des ultrasons pour détecter les crêtes des doigts des utilisateurs et les faire correspondre aux données stockées. Les versions précédentes des scanners d'empreintes digitales intégrés à l'écran avaient tendance à utiliser des scanners optiques, qui projetaient de la lumière sous l'écran et lisaient ainsi votre empreinte digitale. Mais il s’avère que la seule chose révolutionnaire à propos du capteur à ultrasons est la facilité avec laquelle il est possible de le contourner.
Un couple britannique a récemment découvert la faille après qu'une femme ait équipé son Galaxy S10 d'un protecteur d'écran en gel trouvé sur eBay pour 2,70 £. Après avoir enregistré son empreinte digitale avec le nouveau protecteur installé, elle a découvert que son autre empreinte digitale – qui n’était pas enregistrée – déverrouillait également l’appareil. Lorsque son mari a essayé de le déverrouiller, il s'est ouvert pour ses deux pouces. Le même protecteur d'écran a provoqué le même problème lorsqu'il a été installé sur un autre S10.
Samsung, pour sa part, a déclaré que les utilisateurs ne devraient utiliser que des protecteurs d'écran agréés par Samsung. Ils ont ensuite fait un suivi et ont déclaré qu'ils enquêtaient sur le problème en interne. Le géant des smartphones a également annoncé qu'il publierait prochainement un correctif logiciel. Il est possible que cela soit lié à des rapports antérieurs selon lesquels d'autres protecteurs d'écran non officiels auraient causé problèmes avec le capteur d'empreintes digitales car ils laissaient un petit espace d'air, ce qui interférait avec le ultrason.
S'il est encourageant de constater que Samsung travaille rapidement pour résoudre ce problème, le problème sous-jacent est un peu plus inquiétant. De toute évidence, la numérisation des empreintes digitales par échographie est encore une technologie très naissante, et il est probable que ce problème existe depuis le premier jour. En gardant cela à l’esprit, il n’est pas difficile d’imaginer qu’il existe d’autres attaques Day Zero comme celle-ci qui ne sont tout simplement pas encore connues du grand public.
En attendant, si vous possédez un Galaxy S10, suivez les conseils de Samsung et utilisez uniquement des protecteurs d'écran agréés par Samsung. Espérons que le correctif logiciel arrive le plus tôt possible.
Source 1: Le soleil
Source 2: BBC
Mise à jour: déclaration de Samsung
Samsung a a publié une déclaration sur la faille du scanner d’empreintes digitales du Galaxy S10. La société conseille à toute personne utilisant un protecteur d'écran en silicone sur son Galaxy Note 10 ou Galaxy S10 de retirer le couvercle et de supprimer toutes les empreintes digitales enregistrées. Samsung recommande également aux utilisateurs de garder les caches jusqu'à ce qu'un correctif logiciel soit publié.
La société prévoit de publier une mise à jour logicielle la semaine prochaine pour résoudre le problème. Une fois que votre appareil a reçu la mise à jour, ils vous disent que vous devez vous assurer de scanner l'intégralité de votre empreinte digitale.
Ce problème impliquait des capteurs d’empreintes digitales à ultrasons déverrouillant les appareils après avoir reconnu des motifs tridimensionnels apparaissant sur certains étuis de protection d’écran en silicone comme empreintes digitales des utilisateurs.
Pour éviter tout problème supplémentaire, nous conseillons aux utilisateurs de Galaxy Note10/10+ et S10/S10+/S10 5G qui utilisent ces couvertures pour retirer la couverture, supprimer toutes les empreintes digitales précédentes et enregistrer à nouveau leur empreintes.
Si vous utilisez actuellement des coques de protection pour l'écran avant, afin de garantir une numérisation optimale des empreintes digitales, veuillez vous abstenir d'utiliser cette coque jusqu'à ce que votre appareil ait été mis à jour avec un nouveau correctif logiciel.
Une mise à jour du logiciel devrait être publiée dès la semaine prochaine, et une fois mise à jour, assurez-vous de scanner votre empreinte digitale dans son intégralité, de sorte que toutes les parties de votre empreinte digitale, y compris le centre et les coins, aient été entièrement numérisé.
Mise à jour 2: les applications bancaires suppriment temporairement la prise en charge de la connexion par empreinte digitale pour les appareils Galaxy S10 et Note 10
La faille de sécurité des empreintes digitales s’avère bien plus grave qu’on ne l’envisageait initialement. Selon plusieurs rapports, les utilisateurs peuvent tromper le scanner d'empreintes digitales à ultrasons en plaçant simplement une découpe en TPU dessus tout en essayant de le déverrouiller avec un doigt non enregistré. même si l'enregistrement original des empreintes digitales a été effectué sans aucun protecteur d'écran en place. Cela signifie essentiellement que n'importe qui peut déverrouiller n'importe quel smartphone des séries Samsung Galaxy S10 et Galaxy Note 10, annulant complètement le processus d'authentification. Voici une vidéo démontrant la même chose :
Alors que Samsung travaille sur une mise à jour logicielle pour corriger ce bug, plusieurs applications bancaires ont pris conscience de la gravité de la situation. Par conséquent, les applications bancaires ont supprimé la prise en charge des options de connexion par empreinte digitale pour la série Samsung Galaxy S10. et la série Samsung Galaxy Note 10, ou ont complètement interdit à ces téléphones d'accéder à leurs applications et/ou Play Store référencement. Les banques qui ont pris des mesures jusqu'à présent sont Nationwide Building Society et NatWest au Royaume-Uni, banque de Chine en Chine, KaKao Bank en Corée du Sud et Hapoalim Bank en Israël. Nous nous attendons à ce que beaucoup d’autres emboîtent le pas. Mais même s'ils ne le font pas, nous conseillons aux utilisateurs de Galaxy S10 et Galaxy Note 10 de désactiver le déverrouillage par empreinte digitale et de revenir à l'utilisation de solutions de déverrouillage par mot de passe/code PIN/modèle jusqu'à ce que Samsung déploie sa mise à jour.
Histoire via: GSMArène
Mise à jour 3: correctif émis
Samsung a publié une mise à jour pour ses smartphones Galaxy S10 et Note 10 qui, selon lui, résoudra le problème des capteurs d'empreintes digitales.
La société basée en Corée a également présenté ses excuses via son application de support client Samsung Members, et a conseillé aux clients de mettre à jour leur logiciel vers la dernière version. Aucun mot pour l'instant sur la mise à jour sur les appareils, mais nous garderons un œil ouvert.
Source: Reuters
Mise à jour 4: correctif déployé maintenant
Hier, Samsung a annoncé avoir résolu le problème de contournement des empreintes digitales et qu'une mise à jour serait bientôt déployée. Environ 24 heures plus tard, les clients reçoivent cette mise à jour. La capture d'écran ci-dessus provient d'un Verizon Galaxy Note 10+. Les détails de la mise à jour demandent aux utilisateurs de supprimer les empreintes digitales enregistrées après la mise à jour et de les enregistrer à nouveau sans utiliser de cache d'écran. La mise à jour ne fait que 7,1 Mo et devrait être déployée sur tous les Galaxy S10 et Note 10 dans les semaines à venir.