Incidents associés
Une société vietnamienne a récemment réussi à tromper la fonction de sécurité de reconnaissance faciale d'Apple, mais les experts en sécurité ne pensent pas qu'il y ait un grand risque pour les utilisateurs professionnels.
Vidéo : 5 choses à savoir sur le Face ID d'Apple Curieux d'en savoir plus sur le Face ID d'Apple ? Voici cinq choses à savoir sur la technologie de reconnaissance faciale fournie avec l'iPhone X.
La sortie de l'iPhone X plus tôt ce mois-ci comprenait une nouvelle fonction de sécurité de reconnaissance faciale appelée Face ID. Conçu pour remplacer la fonction Touch ID de l'iPhone, Face ID utilise une authentification basée sur le visage via un dépistage infrarouge pour identifier l'utilisateur et fournir un accès à l'iPhone X ainsi qu'autoriser les achats via Apple Pay. Les banques commencent �également à utiliser cette fonctionnalité.
Apple a déclaré que Face ID utilise 30 000 points de référence pour cartographier le visage d'un utilisateur, ce qui rend la probabilité que la fonctionnalité puisse être trompée extrêmement faible, mais récemment, une société vietnamienne appelée Bkav a contourné cette technologie avec un masque fabriqué à partir de pièces 3D. Ce développement explique ce qui pourrait n'être que le début d'une série de défauts potentiels entourant cette nouvelle fonctionnalité. Les utilisateurs professionnels doivent-ils donc s'inquiéter ?
"La reconnaissance faciale d'Apple n'a jamais été conçue comme une mesure de sécurité pour une authentification forte", a déclaré Josh Mayfield, directeur du marketing produit chez FireMon. "Une authentification forte ne peut pas être truquée, jouée ou manipulée. La reconnaissance faciale d'Apple commence par l'hypothèse d'ouverture que l'utilisateur regardant l'écran est susceptible d'être le bon utilisateur. À partir de là, le système de reconnaissance ne cherche qu'à confirmer son hypothèse... ne jamais chercher à prouver que son hypothèse est fausse."
VOIR : Politique relative aux appareils mobiles (Tech Pro Research)
Paul Norris, ingénieur système senior chez Tripwire, a déclaré que les piratages comme celui effectué par Bkav demandent beaucoup de temps et d'efforts. "Des dimensions détaillées auraient dû être prises pour créer le masque et la société de sécurité a fait allusion au fait qu'elle devait également utiliser un matériau spécial sur le masque", a-t-il déclaré. "Ce qu'ils n'ont pas révélé, c'est combien de tentatives et quel niveau d'effort il a fallu pour que le masque fonctionne parfaitement." Norris a également souligné que certains détails de sécurité intégrés au Face ID d'Apple peuvent atténuer les risques. Cinq tentatives infructueuses d'authentification des utilisateurs via des moyens faciaux obligeront l'utilisateur à entrer un code d'accès, qui est requis pour que Face ID fonctionne. De plus, le code d'authentification doit être saisi lorsque l'appareil :
Vient d'être allumé ou redémarré
N'a pas été déverrouillé via Face ID au cours des quatre dernières heures
N'a pas été déverrouillé via le mot de passe au cours des six derniers jours et demi
N'a pas été déverrouillé du tout depuis plus de 48 heures
A reçu une commande de verrouillage à distance
A lancé la fonction SOS d'urgence
Terry Ray, CTO de la société de cybersécurité Imperva, a souligné qu'Apple admet que le jumeau d'un utilisateur ou un autre membre de la famille proche pourrait ressembler suffisamment à un utilisateur pour déclencher un faux positif. Pire encore, les chercheurs ont pu forcer brutalement l'authentification faciale dans le passé.
VOIR : Rapport spécial : La cybersécurité dans un monde IoT et mobile (PDF gratuit) (TechRepublic)
Ray a dit que les faux négatifs peuvent aussi arriver. Si le propriétaire du téléphone subit un changement d'apparence notable - comme se raser la barbe ou obtenir une coupe de cheveux radicalement différente, Face ID pourrait ne pas s'authentifier et le code d'accès sera nécessaire pour configurer à nouveau Face ID pour correspondre à la mise à jour de l'utilisateur. regards.
Cependant, a déclaré Ray, "le consommateur moyen n'est probablement pas à risque d'une attaque de reconnaissance faciale ou d'une autorisation faussement positive, à moins bien sûr qu'il possède un jumeau identique sournois",
Un piratage comme celui que Bhav a réussi coûterait environ 150 $ en fournitures 3D, ce qui n'est pas paralysant financièrement pour un attaquant potentiel, mais aussi quelque chose qui ne sera probablement pas investi à grande échelle. Cela nécessiterait également l'accès au téléphone lui-même, auquel cas une partie de la sécurité physique aurait déjà été compromise. Enfin, le masque devrait être suffisamment authentique pour déverrouiller le téléphone en cinq tentatives dans une fenêtre de temps de 48 heures.
"La valeur d'un téléphone vaut-elle cet effort ?" dit Ray. "Probablement à quelqu'un avec un agenda particulier, mais probablement pas un problème pour la plupart des utilisateurs."
Ray a déclaré qu'une question courante dans le domaine de la sécurité est de savoir si la technologie envisagée est suffisamment bonne et simple pour vos besoins : "Rien n'est parfait et la bonne technologie est celle que vous vous sentez à l'aise d'utiliser et qui vous assure une sécurité acceptable."
Cybersecurity Insider Newsletter Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité. Livré les mardis et jeudis Inscrivez-vous aujourd'hui Inscrivez-vous aujourd'hui
Regarde aussi: