Un groupe de hackers allemands est parvenu à débloquer un Galaxy S8, le nouveau flagship de Samsung, en trompant le scanner d’iris avec une simple photo d’un œil et une lentille de contact.

Des hackers ont une fois de plus prouvé qu’il n’existe pas de vraie sécurité pour protéger notre smartphone.

Dans un post de blog du 22 mai, les chercheurs du Chaos Computer Club assurent avoir réussi à contourner le scanner d’iris de Samsung – installé sur le Galaxy S8 comme une forme alternative de sécurité biométrique en plus du nouveau capteur d’empreintes.

VOIR AUSSI : On vous dit tout du Galaxy S8, le nouveau smartphone de Samsung

Les utilisateurs du Galaxy S8 peuvent choisir de configurer le scanner d’iris – qui est plus sécurisé que la reconnaissance faciale – pour déverrouiller leur téléphone ou authentifier un paiement mobile via Samsung Pay.

Le principal avantage du scanner d’iris par rapport à la reconnaissance faciale, c’est que d’habitude une photo traditionnelle ne peut pas le berner. En effet, une simple photo ne reproduit pas la complexité d’un œil humain, qui n'est visible que grâce à un capteur infrarouge.

Une photo haute définition en mode nuit

Mais le Chaos Computer Club n’a pas utilisé une photo ordinaire pour piéger le scanner d’iris du S8.

Pour ce piratage, les hackers du CCC se sont servis d’un "bon appareil photo numérique doté d’une focale de 200 mm jusqu’à une distance de 5 mètres" pour prendre un cliché d’un œil. L’appareil a été mis en "mode nuit" pour capter les motifs de l’iris.

Cette image de l’iris a ensuite été imprimée par une imprimante laser avant d'y placer dessus une lentille de contact, pour lui donner de la profondeur.

Le Chaos Computer Club a enregistré l’iris d’une personne dans le S8 avant de tester avec la fausse iris. Et là, oh surprise, ça a marché et le téléphone s’est déverrouillé.

Grâce à une imprimante Samsung

Mais ce n’est pas aussi simple que ça en a l’air. "Selon la qualité de l’image, la luminosité et le contraste doivent être ajustés", expliquent les auteurs. Contacté par Mashable sur Twitter, Jan Krissler, alias starbug chez CCC, assure que les hackers ont testé trois imprimantes avec chaque fois 5 à 10 variations d’image avant de réussir leur coup… sur une imprimante Samsung, ironiquement.

"Le modèle Samsung était un produit de consommation standard, d'une valeur de 250 euros environ. On a testé plusieurs imprimantes avec plusieurs types de papier. Tous ont fonctionné. Et ça a marché instantanément à partir du moment où on avait trouvé la bonne imprimante."

Ce piratage de scanner d’iris n’est pas comme les nombreux précédents hacks de capteurs d’empreinte qu’on a vu ces dernières années. Il a l’air bien plus facile, mais il est assez peu probable que cela arrive souvent. Combien de personnes ont une photo de leurs yeux, pris en mode nuit, qui se baladent sur le Web ? Car comme on vous l’expliquait plus haut, votre simple photo de profil Facebook ne fera pas l’affaire.

"Nous réagirons aussi vite que possible pour résoudre ce problème"

Alors oui, cela est possible, de la même façon qu’on peut forcer la porte d’entrée de votre maison ou celle de votre voiture. Quelqu’un qui voudrait vraiment accéder aux données de votre téléphone pourrait utiliser cette technique, mais est-ce vraiment une raison pour vivre dans la peur et ne pas acheter ce téléphone ? Pas du tout.

Contacté par Mashable à propos de ce piratage, Samsung a réagi : "Nous sommes au courant de ce problème, mais nous voulons assurer à nos clients que la technologie du scanner d’iris du Galaxy S8 a été développée au terme d’un rigoureux processus de tests qui assure un haut niveau de précision et prévient des tentatives de compromettre sa sécurité. S’il y avait une potentielle vulnérabilité ou l’arrivée d’une nouvelle méthode qui remettrait en cause notre garantie de sécurité, nous réagirons aussi vite que possible pour résoudre ce problème."

– Adapté par Louise Wessbecher. Retrouvez la version originale sur Mashable.

Quelque chose à ajouter ? Dites-le en commentaire.