Incidents associés
Un chercheur au Vietnam a démontré comment il a apparemment trompé le logiciel d'identification de reconnaissance faciale d'Apple sur son nouvel iPhone X en utilisant un masque fabriqué avec une imprimante 3D, du silicone et du ruban adhésif.
Une annonce vendredi par Bkav, une société vietnamienne de cybersécurité, selon laquelle elle avait piraté le Face ID d'Apple, et une vidéo ultérieure montrant apparemment un iPhone déverrouillé lorsqu'il est pointé sur un masque, ont été accueillies avec un certain scepticisme.
Ngo Tuan Anh, vice-président du Bkav, a fait plusieurs démonstrations à Reuters, d'abord en déverrouillant le téléphone avec son visage, puis en utilisant le masque. Cela a semblé fonctionner à chaque fois.
Cependant, il a refusé d'enregistrer un identifiant d'utilisateur et le masque sur le téléphone à partir de zéro car, a-t-il dit, l'iPhone et le masque doivent être placés à des angles très spécifiques, et le masque doit être affiné, un processus qui, selon lui, pourrait prendre jusqu'à neuf heures.
Apple a refusé de commenter, renvoyant les journalistes à une page de son site Web qui explique le fonctionnement de Face ID.
Cette page indique que la probabilité qu'une personne au hasard déverrouille le téléphone d'un autre utilisateur avec son visage était d'environ 1 sur un million, contre 1 sur 50 000 pour le scanner d'empreintes digitales utilisé précédemment. Il indique également que Face ID n'autorise que cinq tentatives de correspondance infructueuses avant qu'un mot de passe ne soit requis.
Anh a reconnu que la préparation du masque n'était pas facile, mais il a déclaré qu'il pensait que la démonstration montrait que la reconnaissance faciale était un moyen d'authentifier les utilisateurs, ce qui serait risqué pour certains.
"Ce n'est pas facile pour les gens normaux de faire ce que nous faisons ici, mais c'est une préoccupation pour les gens du secteur de la sécurité et les personnes importantes comme les politiciens ou les chefs d'entreprise", a-t-il déclaré.
"(Ces) personnes importantes ne doivent absolument pas prêter leur iPhone X à qui que ce soit si elles ont activé la fonction Face ID."
C'est le premier cas rapporté de chercheurs apparemment capables de tromper le logiciel Face ID.
Les experts en cybersécurité ont déclaré que le problème n'était pas tant de savoir si Face ID pouvait être piraté, mais combien d'efforts un piratage nécessitait.
"Rien n'est sûr à 100%", a écrit Terry Ray, directeur de la technologie de la société américaine de cybersécurité Imperva, dans une note. "Là où il y a une volonté, il y a un moyen. Les questions sont : jusqu'à quel point quelqu'un irait-il et combien dépenserait-il pour obtenir vos données ?"
Anh de Bkav a déclaré que la recherche a duré environ une semaine et a comporté de nombreux échecs. Le cadre du masque était en plastique, recouvert de ruban adhésif en papier pour ressembler à de la peau, avec un nez en silicone et du papier pour les yeux et la bouche.
Lire la suite : Les coûts de piratage frappent Equifax
Dès 2009, les chercheurs de Bkav ont souligné ce qu'ils disaient être des problèmes liés à l'utilisation de la reconnaissance faciale comme moyen d'authentifier les utilisateurs. Ils ont alors déclaré avoir piraté trois fabricants d'ordinateurs portables qui utilisaient des webcams pour authentifier les utilisateurs.
(Reportage par Mai Nguyen; Rédaction et reportage supplémentaire par Jeremy Wagstaff; Montage par Ian Geoghegan)