Dire que les experts de chez Lookout en connaisse un rayon question sécurité mobile tient du doux euphémisme. La société américaine de sécurité informatique est en effet née « mobile », contrairement à ses concurrentes qui ont d'abord oeuvrées dans l'univers du PC avant de passer sur les smartphones. Aussi, quant Marc Rogers, le directeur de la recherche sur la sécurité chez Lookout, prend la plume pour s'exprimer sur la sécurisation de la fonction Touch ID, on peut lui donner du crédit. Le bonhomme a publié un billet sur le blog de sa compagnie où il revient en détail sur la manière de hacker le lecteur d'empreinte biométrique utilisé par Touch ID.
Et le moins que l'on puisse dire, c'est qu'il faut qu'un voleur soit sacrément motivé, et équipé, avant de réussir à passer outre cette sécurité. Si elle n'est pas totalement inviolable, la procédure à suivre pour la tromper est digne d'un épisode des Experts ou de CSI. Il faut en effet parvenir à repérer une empreinte parfaite de l'un des doigts qui sert à déverrouiller Touch ID. Pas n'importe quel doigt donc, mais uniquement celui ou ceux que l'utilisateur a enregistré lors de la configuration de l'iPhone 5s. Ensuite, notre voleur doit être en mesure de prélever cette empreinte. Là encore, il faut être sacrément équipé pour parvenir à ses fins, avec du ruban à empreinte, une poudre spécifique, etc. Et même avec le bon équipement, Marc Rogers, qui a réalisé l'ensemble de la manipulation, affirme qu'il est très facile de rater cette phase et de ruiner l'empreinte.
Si le truand parvient à relever l'empreinte, ses ennuis ne sont pas finis pour autant car cela s'avère loin d'être suffisant pour parvenir à tromper Touch ID. Il faut en fait carrément recréer une fausse empreinte. Ce qui nécessite d'autres manipulations extrêmement complexes, impliquant notamment une caméra haute résolution, une imprimante laser et d'autres équipements dont le prix culmine à plus de mille dollars. Après toutes ces étapes qui prennent plusieurs heures, il faut encore que le positionnement de la fausse empreinte sur le doigt soit parfaite, comme sur la vidéo ci-dessous. Et au bout de cinq tentatives infructueuses, l'iPhone 5s désactive la reconnaissance biométrique et demande le code à quatre chiffres. Bref, vous l'aurez compris, le commun des mortels ne risquent guère de tomber nez à nez avec un voleur aussi équipé et motivé.