Une nouvelle fois, un constructeur a commercialisé un produit garanti « inviolable », à l’épreuve du piratage. Il s’agit d’une clé USB fonctionnant sur une reconnaissance d’iris pour se déverrouiller. En peu de temps, un chercheur en sécurité a mis à jour une faille béante de sécurité…
Les exemples ne cessent de se multiplier. Dès qu’un fabriquant sort un produit prétendument « impossible à pirater », il pousse des spécialiste de la cybersécurité à tester les défenses du produit en question. Et elles ne tiennent, en général, pas longtemps.
Les produits inviolables sont en général hackés en un tour de main…
Les alarmes de voiture intelligentes Viper ? Déverrouillées ou désactivées en un tour de main par des experts en sécurité. Le portefeuille Bitfi ? Hacké par un adolescent de 15 ans qui l’a utilisé, moquerie ultime, pour jouer à Doom !
Récemment, un projet de clé USB inviolable a vu le jour, avec un certain succès, dans une campagne KickStarter. Baptisée EyeDisk, elle s’appuie sur un technologie de reconnaissance de l’iris ainsi qu’un chiffrement AES-256.
» Nous avons développé notre propre algorithme de reconnaissance d’iris pour que personne ne puisse pirater votre clé USB, même si elle a votre motif d’iris. Vos données personnelles d’iris utilisées pour l’identification ne seront jamais récupérées ou dupliquées même si votre USB est perdue « explique la campagne Kickstarter. Qui garantit que seul l’utilisateur pourra avoir accès aux données.
Un produit immunisé contre le hack : un mythe !
Un chercheur en cybersécurité de Pen Test Partners, David Lodge, s’y est alors collé. Et oui, le système de reconnaissance d’iris d’EyeDisk semble inviolable. Mais pas sa configuration matérielle et logicielle. Un mot de passe interne, transmis au logiciel de contrôle, est utilisé pour déverrouiller la clé. Et ce mot de passe peut, assez facilement, être hacké. Donnant un accès immédiat aux précieuses données, soit-disant parfaitement à l’abri…
Le chercheur a contacté le fabriquant, pour lui demander de corriger le problème. Devant le silence de ce dernier, David Lodge a rendu la vulnérabilité publique le 9 mai 2019.