Le Chaos Computer Clubs est parvenu à tromper le système de reconnaissance de l'iris du Galaxy S8. Le smartphone propose quatre méthodes pour déverrouiller l'accès à son contenu : la reconnaissance de l'iris, la reconnaissance faciale, la reconnaissance de l'empreinte avec le capteur au dos et enfin le code PIN (ou le schéma). À noter que la détection de l'iris est aussi utilisée pour Samsung Pay, à la différence de la détection du visage, signe qu'elle est jugée comme beaucoup plus fiable.
L'organisation allemande a trouvé une méthode assez simple. Le sujet a été photographié avec un appareil photo numérique banal, réglé en mode nuit (pour émuler le capteur infra-rouge du Samsung). Nul besoin d'avoir la personne très près de soi et de zoomer sur son oeil, elle se tenait à une distance de quelques mètres et le cadrage a été fait sur son visage, le regard faisant face à l'APN.
La photo a été recadrée serrée sur l'un des deux yeux puis imprimée. Facétieux, le Chaos Computer Clubs affirme que le meilleur résultat a été obtenu avec une imprimante Samsung… Ensuite, une lentille a été posée sur l'iris imprimé pour renforcer l'illusion qu'il s'agissait d'un véritable iris, avec sa forme bombée. Face à cette feuille de papier, le S8 s'est immédiatement déverrouillé.
Ca ne marche pas nécessairement du premier coup. Il faut parfois ajuster la luminosité et le contraste de l'image et s'assurer d'avoir une photo de bonne définition au départ. Mais il n'y a rien de sorcier dans l'absolu.
Le Chaos Computer Clubs était parvenu à contourner Touch ID il y a quatre ans, avec une méthode très simple là-aussi et assez similaire. La rumeur voulant qu'Apple dote aussi son iPhone 8 d'une reconnaissance de l'iris, le même test sera à refaire si cela se concrétise. D'une manière générale, le porte-parole du CCC conseille de s'en tenir au bon vieux code PIN plutôt que d'opter pour les solutions biométriques.
Source : Chaos Computer Clubs
