Analyse du Touch ID dans l’iPhone 5S

Publié le 12 septembre 2013 par Zinefalouti @faloutizine

Avec son iPhone 5s, Apple inaugure l’utilisation de la biométrie dans ses smartphones. Le Touch ID, du nom donné par la firme de Cupertino à ce lecteur d’empreintes digitales, soulève de nombreuses questions. Auxquelles nous tentons de répondre ici.

Touch ID : La technologie, le fonctionnement

L’utilisation d’un capteur d’empreinte digitale dans un smartphone n’est pas une nouveauté : en 2011, Motorola s’y était essayé avec son Atrix. Et le prochain HTC One Max devrait également utiliser ce genre de technologie. Ce dispositif n’est donc pas réellement une révolution, ni même une surprise : avec le rachat, l’an dernier, de la société AuthenTec (pour quelques 356 millions de dollars), le coup était prévisible. Mais il reste inédit pour un produit Apple.

Vidéo présentation du Touch ID par la chaine Youtube

d’Apple

La technologie Touch ID, implantée sur le bouton « Home » de l’iPhone, utilise un capteur capacitif reposant sur un cristal de saphir, prévu pour résister aux rayures qui pourraient endommager la reconnaissance digitale. Ce capteur analyse votre doigt avec une précision de 500 ppp : de quoi, selon Apple, photographier votre doigt jusqu’à des couches situées sous l’épiderme. De plus, le capteur fonctionne à 360°, ce qui permet de placer le doigt dans n’importe quelle position sans que la reconnaissance n’en soit gênée.

Notez qu’il est possible, lors d’une étape de configuration qui semble fort simple d’après les premiers retours, d’enregistrer plusieurs doigts. De même, jusqu’à 5 utilisateurs peuvent être associés à un iPhone 5s.

Une question de sécurité ?

Pour Apple, la raison d’être principale du Touch ID est la sécurité. « Trop peu de personnes mettent en place un code de sécurité pour verrouiller leur iPhone », a déclaré Phil Schiller lors du keynote présentant les nouveaux iPhone. Le contrôle de l’empreinte serait un moyen moins fastidieux que la saisie d’un code, et permettrait d’augmenter le nombre d’iPhone protégés. Et Apple de présenter le doigt comme la clé de sécurité la plus sûre qu’il soit. Vraiment ?

Rappelons tout d’abord que l’usage de cette technologie n’est pas obligatoire sur l’iPhone 5s. Ensuite, si une empreinte digitale ne peut pas se « deviner » comme un code à 4 chiffres, la biométrie n’en reste pas moins faillible. Le face to unlock d’Android en sait quelque chose : la technologie de Google a montré ses failles particulièrement rapidement, et il y a fort à parier que le Touch ID d’Apple fasse l’objet d’attaques similaires. Et autant il vous est possible de changer un code en cas de piratage, autant vous ne pouvez pas changer d’empreinte digitale !

Les lecteurs d’empreintes digitales existent depuis de nombreuses années, et leur sécurité a déjà été mise à rude épreuve… par des oursons en gélatine, ou de la pâte à fixe ! Reproduire une empreinte, d’autant plus quand il s’agit de plusieurs doigts et de plusieurs utilisateurs, est une opération délicate, mais faisable.

Mais sans rentrer dans des considérations dignes des Experts à Cupertino, il existe d’autres moyens de passer outre ce type de protection. En effet, si le smartphone est infesté d’un cheval de Troie, rien de l’empêche de récupérer la version numérique de votre empreinte digitale, comme il le ferait pour un simple code à 4 chiffres. Apple précise que les empreintes digitales sont chiffrées et stockées de façon sécurisée dans un espace à accès restreint de sa puce A7, à distance donc des autres données. Soit. Mais la marque à la pomme reste peu loquace sur le chiffrement en question. Et si l’adoption du 64-bit pourrait retarder un peu les hacks, il est probable que les attaques interviennent rapidement.

Cette protection pourrait toutefois permettre à Apple d’augmenter encore son attrait pour les entreprises, notamment dans le cadre du BYOD. L’iPhone 5s entre en effet dans l’ère du 2FA (pour two-factor authentication), puisque le lecteur d’empreinte digitale peut être utilisé conjointement au traditionnel code à 4 chiffres. De quoi séduire les DSI ?

Richard Henderson, expert en sécurité chez FortiGuard Labs, indique sur le blog de l’entreprise : « La réalité est que, même si Apple est le premier à implémenter une méthode d’authentification biométrique à grande échelle, cela apportera un confort d’utilisation supplémentaire, et non une nouvelle couche de sécurité ». Une question d’usages plus que de sécurité ?

Les applications, le champ des possibles

D’usage, parlons-en. Apple a précisé que le Touch ID permettra de réaliser des achats sur l’iTunes Store, l’App Store et l’iBooks Store. De quoi éviter les achats non désirés effectués par vos enfants, par exemple. On peut également envisager qu’Apple introduise son dispositif sur iPad, ce qui ouvrirait la voie à une gestion simplifiée des profils de la tablette.

Nous pourrions aussi imaginer que chacun de vos doigts soit associé à une application spécifique, à l’image d’un raccourci : le majeur ouvrirait la couche photo, l’annulaire Safari, le pouce la messagerie, etc. Et il y a évidemment tout ce qui touche au paiement. Car si l’iPhone 5s est encore et toujours dépourvu de puce NFC (ce qui l’empêche de se transformer en carte bancaire), certains entrevoient déjà la possibilité d’accéder à ses comptes, réaliser un virement ou réserver un billet de train ou une place de concert. Votre empreinte digitale serait alors directement associée à votre compte bancaire. Mais pour cela, il faudra ouvrir le Touch ID aux différentes applications.

Tim Cook l’a affirmé : vos empreintes digitales ne seront pas accessibles aux développeurs. Interrogé sur le sujet, il a toutefois répondu que l’on pouvait « imaginer de nombreux autres usages dans le futur », sans autre précision. L’une des hypothèses, formulée par Rich Mogull sur Macworld, consisterait à donner la possibilité aux applications tiers de vérifier votre authentification par le Touch ID afin de l’utiliser pour leurs besoins, sans jamais accéder aux données biométriques.

Pas question donc pour le moment de livrer vos empreintes digitales aux partenaires d’Apple. Ni même de le conserver d’ailleurs : après le scandale Prism, Apple a cherché à rassurer lors de sa conférence de presse, en précisant que les empreintes digitales ne seraient pas conservées sur des serveurs distants.

Ce qui n’empêche pas certains de rester plus que sceptiques : la réaction de la Free Software Fundation a été immédiate et virulente, invitant les gens à rester le plus loin possible de l’iPhone 5s et de son Touch ID. Le climat créé par les récentes révélations d’Edward Snowden incite à minima à la prudence, et alimente les suspicions quant à l’usage mercantile qui pourrait être fait de vos données biométriques.

Quoi qu’il en soit, la création d’une base de données centralisée regroupant les informations biométriques des utilisateurs d’iPhone 5s constituerait une vraie faille de sécurité, en plus de poser un problème éthique.