Une entreprise de sécurité vietnamienne appelée Bkav, affirme avoir réussi à contourner la technologie Face ID sur l’iPhone X, le nouveau produit phare d’Apple, en utilisant, accrochez-vous bien, un masque !
Avant d’analyser cette revendication et la façon dont fonctionne Face ID, il faut admettre que si cela est vrai, il s’agirait d’un problème technique majeur, et pas seulement pour Apple.
Face ID, lancé en grande pompe, est censé devenir le digne représentant d’une nouvelle génération de technologie d’identification biométrique, et pas simplement d’un moyen plus “tendance” pour déverrouiller l’écran de l’iPhone X.
Toute tentative de piratage pourrait également compromettre son utilisation comme mécanisme d’identification pour les transactions financières (actuellement Apple Pay) et, à terme, pour tous services en ligne. La situation est critique car le monde a grandement besoin d’une meilleure technologie d’identification.
Bkav affirme que son “proof of concept” a dupé Face ID en utilisant un masque rudimentaire construit en plastique imprimé en 3D, des yeux et des lèvres découpés dans du papier, un nez en silicone et du maquillage, et le tout pour la modique somme de 125 € !
Dans la vidéo de démonstration, réalisée par l’équipe et montrant le déverrouillage d’un iPhone X, Face ID ne parvient pas à détecter que des images 2D ont été collées sur une surface 3D, qui s’avérait être un masque, non réaliste, représentant à peine la moitié du visage d’un véritable utilisateur.
Cette situation est surprenante, non seulement parce qu’Apple a déclaré avoir testé Face ID avec des répliques de masques sophistiqués lors de son lancement, mais aussi parce que d’autres ont également essayé de duper face ID, sans succès !
Qu’est-ce que Bkav a réalisé, qu’Apple et d’autres n’ont pas réussi à faire ?
L’entreprise a déclaré avoir trompé le moteur neuronal IA d’Apple, qui est connu pour rechercher des parties spécifiques du visage. D’une certaine manière, les chercheurs ont pu perfectionner le masque sans avoir à le tester d’abord sur un véritable iPhone X, qui se verrouille après cinq tentatives infructueuses.
De manière non intuitive :
L’IA d’Apple peut seulement distinguer si un visage est 100% réel ou 100% faux. Donc, si vous créez un visage demi-faux/demi-réel, il peut tromper l’IA d’Apple.
Il faut comparer cela aux caractéristiques de la technologie Face ID de l’iPhone X qui, selon Apple, est censée “projeter et analyser plus de 30 000 points invisibles pour créer une cartographie approfondie de votre visage [qui est] comparée à la représentation mathématique stockée pour permettre l’identification”.
La probabilité qu’une personne déverrouille, par hasard, un iPhone plus ancien en utilisant le système d’empreintes digitales Touch ID, est d’environ un sur 50 000. Pour Face ID, elle est censée être un sur un million !
Inévitablement, des doutes ont été émis au sujet du contournement réalisé par Bkav, et ce bien que la société ait déjà duper d’autres systèmes d’identification par le passé.
Le bémol ici est que toute personne utilisant cette technique devra être en contact de manière prolongée et approfondie avec le propriétaire de l’iPhone X, afin de créer un masque précis pour commencer. La société admet que cette contrainte place une potentielle utilisation de cette technique de contournement dans le domaine du cyber-espionnage haut de gamme.
Ou peut-être pas. Des rapports ont montré qu’un garçon de 10 ans avait été capable de déverrouiller l’iPhone X de sa mère, peut-être parce que leurs visages sont similaires. Quand le magazine lui a demandé d’enregistrer son visage de nouveau, pour vérifier qu’il ne s’agissait pas d’un simple cas isolé, le fils a pu accéder au téléphone par intermittence.
Peut-être que ces incidents nous rappellent que même si Face ID est une très bonne technologie, elle n’est toujours pas parfaite. On sait déjà que de vrais jumeaux peuvent probablement déjà la contourner, et Bloomberg a prétendu qu’Apple avait pris des raccourcis au niveau de Face ID pour respecter les délais de commercialisation de l’iPhone X.
Cela pourrait expliquer pourquoi Apple exige également que les utilisateurs entrent un passcode lorsque l’iPhone X est allumé ou a été redémarré, ou n’a pas été déverrouillé pendant 48 heures.
La bonne nouvelle est que les entreprises qui se sont lancées dans le contournement de la technologie Face ID (y compris d’ailleurs Apple lors du lancement de l’iPhone X) aident, sans aucun doute, Apple à la rendre plus fiable dans le long terme. Mieux vaut le faire maintenant, lorsque la technologie est encore récente, que de découvrir une faille majeure après un incident retentissant à l’échelle mondiale !
Billet inspiré de Apple’s Face ID security fooled by simple face mask, sur Sophos nakedsecurity.