Incidents associés
Lorsque Apple a annoncé le mois dernier l'iPhone X, son produit phare tout écran, sans bouton d'accueil et déverrouillable en un coup d'œil, il a misé énormément sur la reconnaissance faciale en tant qu'avenir de l'authentification. Pour les pirates du monde entier, Face ID a pratiquement peint une cible lumineuse sur le téléphone : après tout, à quel point pourrait-il être difficile de reproduire le visage d'une personne - qui est visible en public pour que tout le monde puisse le voir - et de l'utiliser pour contourner l'appareil cryptage incassable sans laisser de trace ?
Assez sacrément difficile, il s'avère. Il y a un mois, presque immédiatement après qu'Apple a annoncé Face ID, WIRED a commencé à comploter pour usurper le système de reconnaissance faciale d'Apple. Nous finirions par recruter un hacker biométrique expérimenté, un maquilleur et maquilleur hollywoodien, et notre critique principal de gadgets, David Pierce, pour servir de victime potentielle. Nous avons finalement dépensé des milliers de dollars pour chaque matériau que nous pouvions imaginer pour reproduire le visage de Pierce, jusqu'à chaque fossette et poil de sourcil.
Pour tout lecteur ayant des ambitions de piratage de visage, laissez-nous maintenant vous faire gagner du temps et de l'argent : nous avons échoué. Avons-nous failli cracker Face ID ? Nous ne savons pas. Face ID n'offre aucun indice ou score lorsqu'il lit un visage, seulement une icône de cadenas déverrouillé silencieusement ou un bourdonnement impitoyable de rejet. Tout ce que nous avons appris de notre expérience plutôt coûteuse, c'est que Face ID est, à tout le moins, loin d'être trivial ou falsifié.
Quelqu'un réussira sans aucun doute à casser le système tôt ou tard - nous n'avons pas encore abandonné nous-mêmes - tout comme les pirates ont cassé le lecteur d'empreintes digitales Touch ID d'Apple quelques jours après la sortie de l'iPhone 5. Mais Apple a réussi à concevoir un mécanisme de déverrouillage qui est principalement sans effort pour le propriétaire d'un téléphone et pourtant, pour le moment, au-delà de nos efforts pour le vaincre.
"Apple a vraiment réfléchi aux scénarios d'attaque évidents", déclare Marc Rogers, un hacker et chercheur bien connu pour la société de sécurité Web Cloudflare, que WIRED a recruté pour l'aider à craquer Face ID. Rogers s'est distingué sur le terrain en tant que l'un des premiers pirates à casser Touch ID en 2013. "Il est clair qu'ils ont testé une gamme de matériaux et construit un modèle suffisamment robuste pour résister à des attaques assez convaincantes."
Pas seulement un autre joli système de reconnaissance faciale
Le discours d'ouverture de l'iPhone X d'Apple, les fuites de documents antérieures et les dépôts de brevets que Rogers a déterrés indiquaient tous que le téléphone ferait bien plus qu'une simple vérification faciale en deux dimensions. Des numérisations d'images plus simples et à plat avaient permis aux ordinateurs portables et téléphones antérieurs comme le Samsung Galaxy S8 d'être trompés par une simple photographie. Au lieu de cela, l'iPhone X projette une grille de 30 000 points infrarouges sur un visage, puis utilise une caméra infrarouge pour lire la distorsion de cette grille, créant ainsi un modèle en trois dimensions.
La maquilleuse Margaret Caragan a fabriqué des masques reproduisant le visage de l'écrivain WIRED David Pierce en silicone, gélatine, vinyle, plâtre et plastique. David Pierce/Câblé
Et nous savions qu'un modèle seul ne suffirait pas ; Face ID utilise la "détection de la vivacité" pour garantir que le téléphone ne se déverrouille que lorsque quelqu'un le regarde, et pas seulement lorsque les capteurs du téléphone voient le visage de son propriétaire à proximité.
La couleur, selon Rogers, ne serait probablement pas un élément clé de l'algorithme de Face ID, car la technologie devrait fonctionner dans une variété de cas lorsque la couleur du visage d'une personne change. Pensez à différents scénarios d'éclairage ou à une pièce sombre lorsque vous êtes malade ou que vous bronzez. Nous nous sommes donc concentrés sur les proportions et la texture comme éléments clés pour tromper l'œil infrarouge de Face ID.
Dans son discours d'ouverture, Phil Schiller d'Apple s'était vanté que la société avait embauché des artistes hollywoodiens pour créer des masques pour affiner Face ID, montrant une photo de visages artificiels incroyablement réalistes sur l'écran derrière lui. Mais ces visages avaient des yeux fixes. Et d'ailleurs, Schiller n'avait jamais déclaré que tous ces masques avaient en fait échoué à usurper Face ID, seulement qu'ils avaient été utilisés pour le tester. (Mardi, le Wall Street Journal a également publié sa propre vidéo montrant une tentative d'usurpation de Face ID avec un masque en silicone. Mais il semble qu'ils n'aient essayé qu'un seul matériau, ne se sont pas souciés des sourcils - une caractéristique potentiellement clé - et de leur masque ne s'étendait pas réellement jusqu'aux bords du visage de l'usurpateur, laissant une bordure visible. Nous pensions que nous pouvions faire mieux, grâce à un orgueil extrêmement mal placé.)
Maria Lokke / FILAIRE
Désolé pour tes cheveux, David
À la mi-octobre, nous avons commencé à voler le visage de notre victime potentielle, l'écrivain senior de WIRED et critique iPhone de longue date, David Pierce. Pierce était assis sur une chaise dans le studio d'Oakland de Margaret Caragan, la fondatrice de Pandora FX, qui a travaillé pendant plus d'une décennie dans la fabrication de prothèses et de masques pour la télévision et le cinéma. (Elle a également participé à la saison six du concours de télé-réalité de maquilleurs SyFy Faceoff.)
Caragan a mis Pierce dans une blouse, puis a enduit la moitié avant de sa tête de silicone de marque Smooth-on Silk, jusqu'au milieu de son cuir chevelu. Smooth-on affirme sur son site Web qu'il se détache des cheveux courts lorsqu'il se fixe. D'une manière ou d'une autre, Pierce n'a pas eu autant de chance et, dans un accident anormal, a perdu plusieurs centaines de cheveux. Épouser