Incidents associés
Cet article a été mis à jour ci-dessous avec une autre démonstration vidéo plus convaincante de l'usurpation d'identité faciale de Bkav, que la société a révélée deux semaines après l'original.
Lorsque Apple a lancé l'iPhone X le 3 novembre, il a déclenché une course immédiate parmi les pirates du monde entier pour être le premier à tromper la nouvelle forme d'authentification futuriste de l'entreprise. Une semaine plus tard, des pirates à l'autre bout du monde affirment avoir réussi à dupliquer le visage de quelqu'un pour déverrouiller son iPhone X, avec ce qui semble être une technique plus simple que ce que certains chercheurs en sécurité croyaient possible.
Vendredi, la société de sécurité vietnamienne Bkav a publié un article de blog et une vidéo montrant que, selon toute apparence, ils avaient craqué Face ID avec un masque composite de plastique imprimé en 3D, de silicone, de maquillage et de simples découpes de papier, qui en combinaison a trompé un iPhone X pour le déverrouiller. Cette démonstration, qui n'a pas encore été confirmée publiquement par d'autres chercheurs en sécurité, pourrait percer une brèche dans la sécurité coûteuse de l'iPhone X, d'autant plus que les chercheurs affirment que leur masque ne coûte que 150 dollars à fabriquer.
Mais c'est aussi une preuve de concept de piratage qui, pour l'instant, ne devrait pas alarmer le propriétaire moyen d'un iPhone, compte tenu du temps, des efforts et de l'accès au visage de quelqu'un nécessaires pour le recréer.
Bkav, quant à lui, n'a pas mâché ses mots dans son article de blog et sa FAQ sur la recherche. "Apple n'a pas si bien fait cela", écrit la société. "Face ID peut être trompé par un masque, ce qui signifie qu'il ne s'agit pas d'une mesure de sécurité efficace."
BKAV
Dans la vidéo publiée sur YouTube, illustrée ci-dessus, l'un des membres du personnel de l'entreprise tire un morceau de tissu d'un masque monté face à un iPhone X sur un support, et le téléphone se déverrouille instantanément. Malgré la cartographie infrarouge 3D sophistiquée du visage de son propriétaire et la modélisation basée sur l'IA, les chercheurs affirment qu'ils ont pu réaliser cette usurpation d'identité avec un masque relativement basique : un peu plus qu'un nez en silicone sculpté, des yeux et des lèvres bidimensionnels. imprimé sur papier, le tout monté sur un cadre en plastique imprimé en 3D réalisé à partir d'un scan numérique du visage de la victime potentielle.
Les chercheurs admettent cependant que leur technique nécessiterait une mesure détaillée ou un scan numérique du visage du propriétaire de l'iPhone cible. Les chercheurs disent avoir utilisé un scanner portable qui nécessitait environ cinq minutes de numérisation manuelle du visage de leur sujet de test. Cela place leur méthode d'usurpation d'identité dans le domaine de l'espionnage hautement ciblé, plutôt que dans le type de piratage ordinaire auquel la plupart des propriétaires d'iPhone X pourraient être confrontés. 1
"Les cibles potentielles ne doivent pas être des utilisateurs réguliers, mais des milliardaires, des dirigeants de grandes entreprises, des dirigeants nationaux et des agents comme le FBI doivent comprendre le problème de Face ID", écrivent les chercheurs de Bkav. Ils suggèrent également que les futures versions de leur technique pourraient être réalisées avec un scan rapide du visage d'une victime sur smartphone, ou même un modèle créé à partir de photographies, mais n'ont fait aucune prédiction sur la facilité avec laquelle ces prochaines étapes pourraient être conçues.
« C'était encore plus simple que nous ne le pensions nous-mêmes. Chercheurs du Bkav
Outre le défi d'acquérir une analyse faciale précise, la configuration plus simple des chercheurs a surpassé les techniques plus coûteuses pour tenter de tromper Face ID, à savoir celles que nous avons essayées chez WIRED plus tôt ce mois-ci. Avec l'aide d'un artiste d'effets spéciaux, et au prix de milliers de dollars, nous avons créé des masques complets moulés à partir du visage d'un membre du personnel dans cinq matériaux différents, allant du silicone à la gélatine en passant par le vinyle. Malgré des détails tels que des trous pour les yeux conçus pour permettre un véritable mouvement des yeux et des milliers de poils de sourcils insérés dans le masque destinés à ressembler davantage à de vrais cheveux pour le capteur infrarouge de l'iPhone, aucun de nos masques n'a fonctionné.
En revanche, les chercheurs de Bkav affirment qu'ils ont pu déchiffrer Face ID avec un mélange bon marché de matériaux, l'impression 3D plutôt que le moulage du visage, et peut-être le plus surprenant, des yeux fixes imprimés en deux dimensions. Les chercheurs n'ont pas encore révélé grand-chose sur leur processus, ni sur les tests qui les ont conduits à cette technique, ce qui peut susciter un certain scepticisme. Mais ils disent que cela était basé en partie sur la prise de conscience que les capteurs de Face ID ne vérifiaient qu'une partie des caractéristiques d'un visage, ce que WIRED avait précédemment confirmé lors de nos propres tests.
Masques WIRED réalisés pour notre propre test de Face ID, dont aucun n'a trompé l'iPhone X. David Pierce/Wired
"Le mécanisme de reconnaissance n'est pas aussi strict que vous le pensez", écrivent les chercheurs de Bkav. "Nous avons juste besoin d'un demi-visage pour créer le masque. C'était encore plus simple que nous ne le pensions nous-mêmes."
Sans plus de détails sur son processus, cependant, beaucoup de choses sur le travail de Bkav restent floues. La société n'a pas répondu à la majorité d'une longue liste de questions de WIRED, affirmant qu'elle prévoyait d'en révéler davantage lors d'une conférence de presse plus tard cette semaine.
"Je dirais que si tout cela est confirmé, cela signifie que Face ID est moins sécurisé que Touch ID." Marc Rogers, Cloud Flare
La plus importante de ces questions, souligne le chercheur en sécurité Marc Rogers, est de savoir comment exactement le téléphone a été enregistré et formé sur le vrai visage de son propriétaire. de Bkav