La méthode utilisée par le Chaos Computer Club est finalement assez simple. Il s'agit de photographier le visage du propriétaire du smartphone de face, avec un appareil photo compact ou un reflex, en mode "Photo de nuit" et en désactivant le filtre infrarouge. Le spectre infrarouge est en effet nécessaire, car il a la capacité de rendre avec beaucoup de précision les détails de l'iris.

La seconde étape consiste en un traitement de l'image basique obtenue : ajuster l'exposition et le contraste pour faire ressortir l'iris, et bien sûr recadrer autant que possible la photo autour de l'œil. Puis, sortir le tout sur une imprimante laser, celles de Samsung donnant les meilleurs résultats. Enfin, appliquer une lentille de contact (celles que l'on trouve chez l'opticien) sur l'œil de la photo, afin de simuler sa courbure et mieux tromper le scanner. 

Plus facile de tromper le scanner d'iris que la reconnaissance digitale ? 

Fabriqué par Princeton Identity, une firme spécialisée dans la reconnaissance biométrique, le scanner d'iris du Galaxy S8 promettait une sécurité sans faille, car basée sur les caractères uniques de l'iris de l'utilisateur. Le mécanisme est un maillon essentiel du système Samsung Pay, déjà disponible en Espagne et au Royaume-Uni, et bientôt lancé en France. Au-delà des produits fabriqués par Samsung, la technologie pourrait arriver dans un futur proche dans la procédure de contrôle aux frontières, ou dans le monde des objets connectés. Pour Dirk Engling, porte-parole du CCC, "il est plus aisé de déjouer la reconnaissance d'iris que la reconnaissance digitale, car nous exposons beaucoup nos iris ; une photo haute résolution issue d'internet peut suffire à récupérer l'iris". En fin de compte, le traditionnel code PIN, connu de l'utilisateur seul et arraché seulement sous le supplice, n'est peut-être pas si obsolète.