Alors que les capteurs d’empreintes par ultrason utilisés sur les différents Galaxy S10 sont censés être plus fiables que les versions optiques, un internaute a pu tromper le système de Samsung à l’aide d’une empreinte digitale imprimée en 3D.

Jusqu’au Samsung Galaxy S10, les seuls lecteurs d’empreintes digitales sous l’écran disponibles sur smartphones utilisaient une technologie optique. C’est-à-dire qu’un capteur photo était positionné derrière l’écran pour capturer les empreintes et les reconnaître. Un système assez peu sécurisé qui aurait dû être amélioré avec les capteurs ultrasoniques sur le S10.

Cependant, comme l’a repéré The Verge sur le site de partage d’images Imgur, un utilisateur sous le pseudonyme de darkshark a démontré qu’il avait pu déverrouiller son Samsung Galaxy S10 à l’aide d’une empreinte digitale imprimée en 3D. Pour ce faire, l’utilisateur a détaillé toute la procédure, qui pourrait potentiellement être réutilisée par quelqu’un souhaitant accéder aux données de votre smartphone.

À l’aide d’un appareil photo de smartphone, il a ainsi commencé par prendre un simple cliché d’une empreinte digitale sur un verre à vin. Il a ensuite importé la photo dans Photoshop pour augmenter le contraste et créer un masque alpha, puis a importé ce masque dans le logiciel 3DS Max afin de créer des reliefs à partir des empreintes puis les transformer en modèle 3D.

Une précision de l’ordre de 10 microns

À l’aide d’une imprimante 3D AnyCubic Photon LCD, il a ensuite pu imprimer l’empreinte digitale sur une plaque en résine avec une précision à hauteur de 10 micromètres, largement suffisante pour reproduire le tracé de l’empreinte digitale.

I attempted to fool the new Samsung Galaxy S10’s ultrasonic fingerprint scanner by using 3d printing. I succeeded.

Comme on peut le voir sur la vidéo mise en ligne sur Imgur, il lui a alors suffi de poser cette plaque en résine sur le lecteur d’empreintes du Galaxy S10 pour déverrouiller le smartphone.

« Si je vole le smartphone de quelqu’un, ses empreintes digitales sont déjà dessus. Je peux reproduire tout le processus en moins de 3 minutes et lancer l’impression 3D à distance », explique darkshark. D’après lui, ce moyen de déverrouillage serait donc peu sécurisé, notamment parce qu’il est utilisé par de nombreux services sensibles : « la plupart des applications bancaires demandent une authentification par empreinte, donc je pourrais avoir toutes vos informations et dépenser votre argent en moins de 15 minutes ».