Selon l’organisation néerlandaise de protection des consommateurs Consumentenbond, plusieurs dizaines de smartphones Android sont beaucoup plus vulnérables que la plupart des propriétaires ne le pensent à priori.
Ses chercheurs ont testé 110 appareils, estimant que 42 pouvaient être dupés en ne présentant rien de plus élaboré que la photographie du propriétaire de l’appareil !
Consumentenbond fournit peu de détails sur sa méthodologie de test, mais il semble que ces photographies ne soient pas à haute résolution, à savoir presque toutes les photos conviendraient, y compris celles récupérées sur des comptes de réseaux sociaux ou les selfies pris à partir d’un autre smartphone.
Bien que les utilisateurs puissent conclure, suite à ce test, qu’il n’est pas utile d’activer la reconnaissance faciale, la bonne nouvelle est que 68 appareils, y compris les récents modèles XR et XS d’Apple, ont résisté à cette attaque basique, à l’instar de nombreux autres modèles Android haut de gamme de Samsung, Huawei, OnePlus et Honor.
Confusément, beaucoup de modèles qui ont échoué provenaient des mêmes fournisseurs, notamment Asus, Huawei, Lenovo/Motorola, LG, Nokia, Samsung, BlackBerry et Xiaomi. Dans le cas de Sony, chaque modèle testé a échoué. Six autres modèles, un modèle Honor et six modèles LG, n’ont réussi le test qu’après être passé en mode “strict”.
En général, les combinés coûteux ont donné de meilleurs résultats que ceux moins chers, mais ce n’est pas toujours le cas. Par exemple, le Xperia XZ2 Premium (version américaine) à 1 000$ (environ 870€) de Sony a échoué, tandis que le Moto G6 de Motorola coûtant 30% moins cher a passé le test avec succès. Une liste complète des modèles ayant réussi le test de la “photo” est disponible sur le site web de Consumentenbond.
FaceID d’Apple versus la concurrence
Apple a fait beaucoup de bruit autour de sa technologie Face ID lors du lancement de l’iPhone X en 2017. Le modèle X était un modèle haut de gamme qui devait justifier son prix élevé.
L’idée était que FaceID n’était pas un moyen pratique pour les propriétaires de déverrouiller leur iPhone, mais plutôt les prémisses d’un système plus sophistiqué capable d’authentifier les utilisateurs.
Identifier de manière fiable une personne comme étant effectivement celle qu’elle prétend être, met la barre beaucoup plus haute en matière de sécurité des appareils (dans le cas du Face ID, Apple affirme que la probabilité est de un sur un million pour qu’une personne puisse déverrouiller un appareil).
Cela n’a pas empêché les experts de rechercher les faiblesses du Face ID, que certains prétendaient avoir découvertes quelques jours à peine après la sortie de l’iPhone X à l’aide d’un simple masque 3D naturaliste.
Néanmoins, cette technologie reste largement plébiscitée au niveau des combinés Android les plus onéreux, qui peuvent apparemment être trompés par de faux visages 3D en cire, là où le Face ID résiste.
La plus grande question est de savoir quelles attentes les propriétaires de smartphones devraient avoir pour leur sécurité lors de l’utilisation de la reconnaissance faciale.
À l’heure actuelle, nous conseillons aux personnes possédant un appareil qui a échoué au test de la simple photo, mené par Consumentenbond, d’utiliser un autre mécanisme de sécurité, tel qu’un code PIN ou une empreinte digitale.
Malgré les progrès réalisés par Apple, la reconnaissance faciale sur de nombreux smartphones actuel reste une technologie, certes prometteuse, mais pas fiable pour l’instant !
Billet inspiré de A photo will unlock many Android phones using facial recognition, sur Sophos nakedsecurity.