Incidents associés
BKAV
Le célèbre système de reconnaissance faciale Face ID d'Apple sur l'iPhone X a-t-il déjà été trompé ?
C'est ce qu'une société de sécurité vietnamienne dit avoir fait - en utilisant seulement un masque imprimé en 3D à 150 $. BKAV a mis en ligne une démonstration vidéo comme preuve de concept vendredi, montrant un déverrouillage de l'iPhone X après l'avoir exposé à un masque personnalisé, qui n'avait que des découpes d'yeux, un nez en silicone et une bouche sur un cadre imprimé en 3D.
Ngo Tuan Anh, vice-président de la cybersécurité de BKAV, a ensuite déverrouillé le Face ID en utilisant son propre visage, pour montrer que cela fonctionnait également sur le sien. Tu peux le voir ici.
Face ID est l'une des caractéristiques de signature de l'iPhone X phare d'Apple. Bien que la reconnaissance faciale ne soit pas nouvelle, Apple affirme avoir créé la version la plus sécurisée à ce jour.
Les sceptiques ont rapidement prédit que quelqu'un serait capable de tromper Face ID après son dévoilement en septembre. La reconnaissance faciale a déjà montré ses pièges, les pirates informatiques trompant la sécurité en mettant une photo devant la caméra. Apple souligne qu'il utilise des capteurs infrarouges et des points de cartographie pour rechercher des images 3D. La société est même allée jusqu'à travailler avec des fabricants de masques hollywoodiens pour former la biométrie contre les chutes d'accessoires.
BKAV, qui s'est bâti une réputation sur la reconnaissance faciale trompeuse, a rapidement vanté le renversement de Face ID, écrivant qu'Apple n'avait pas suffisamment "d'estimation scientifique et sérieuse avant de décider de remplacer Touch ID par Face ID".
Apple a refusé de commenter, se référant à son rapport de sécurité Face ID pour plus de détails. Dans le guide de sécurité, mis à jour pour la dernière fois ce mois-ci, Apple a écrit que Face ID disposait "d'un réseau de neurones supplémentaire formé pour détecter et résister à l'usurpation d'identité", y compris à partir de masques comme ceux de BKAV.
Lecture en cours: Regarde ça: Des pirates prétendent tromper l'iPhone X Face ID avec un masque
Mais il y a quelques problèmes avec les méthodes derrière la vidéo, auxquelles le blog de BKAV n'a pas répondu. En règle générale, avec une faille de sécurité majeure, les chercheurs publient un article technique révélant comment ils l'ont trouvé et qui est vulnérable, montrant la méthodologie derrière la découverte.
BKAV, qui tente également de percer dans le secteur de la téléphonie, n'a pas fourni ces détails, mais a déclaré qu'il répondrait aux questions lors d'une conférence de presse cette semaine. BKAV n'a pas répondu à une demande de commentaire, mais voici nos questions.
Qu'est-ce qui est enregistré sur le Face ID de l'iPhone X de BKAV ?
Un masque pourrait facilement déverrouiller un iPhone X si c'est le "visage" qui est réellement enregistré avec Face ID.
BKAV n'a pas réussi à guider les téléspectateurs à travers son processus de recherche, et c'est un trou flagrant dans sa transparence. Vous pouvez enregistrer Face ID sur tout ce qui a un visage, y compris le masque.
Parce que Face ID fonctionne sur l'intelligence artificielle qui apprend chaque fois qu'il est utilisé, l'algorithme aurait pu être formé pour apprendre le visage de l'homme en se basant sur le masque en sens inverse.
Combien de fois ont-ils essayé d'utiliser Face ID et échoué ?
Comme la question précédente, celle-ci est importante à noter en fonction de la façon dont l'algorithme de Face ID apprend. Si votre analyse Face ID échoue cinq fois, vous êtes obligé de saisir un mot de passe.
Chaque fois que vous entrez un mot de passe, Face ID apprend le nouveau scan et l'enregistre comme une entrée positive.
"Si Face ID ne parvient pas à vous reconnaître, mais que la qualité de la correspondance est supérieure à un certain seuil et que vous suivez immédiatement l'échec en saisissant votre mot de passe, Face ID prend une autre capture et augmente ses données Face ID enregistrées", a déclaré Apple dans son livre blanc. .
Il est tout à fait possible que les masques aient échoué plus de cinq fois, et après que les chercheurs aient entré le mot de passe, ils ont enregistré le masque comme un scan positif pour fonctionner à l'avenir.
Mais BKAV a déclaré qu'il "a appliqué la règle stricte de" absolument aucun mot de passe "lors de la fabrication du masque", ce qui signifierait que le masque a trompé Face ID en moins de cinq tentatives. L'entreprise n'a jamais précisé combien de tentatives elle avait faites.
Combien de temps a-t-il fallu pour fabriquer le masque ?
La règle "pas de mot de passe" rend cette tâche particulièrement difficile.
Face ID doit être utilisé environ toutes les quatre heures, sinon il invitera la personne à entrer un mot de passe. La reconnaissance faciale est également désactivée si l'iPhone X n'a pas été déverrouillé depuis plus de deux jours.
BKAV a déclaré dans ses questions-réponses qu'il avait commencé à travailler sur le masque, y compris les modèles 3D et le nez en silicone, après avoir reçu l'iPhone X le 5 novembre.
Cela leur donnerait une fenêtre de 48 heures à partir du moment où ils allumaient l'appareil pour créer un masque qui fonctionnait. Ils n'ont pas précisé combien de temps il a fallu pour créer le spoof.
Le masque devrait également tromper Face ID dans les quatre premières heures suivant l'enregistrement du visage humain. Ce n'est pas impossible, mais c'est un nombre impressionnant d'obstacles à franchir en peu de temps sans utiliser de mot de passe, comme l'a dit BKAV.
Est-ce pratique ?
Lorsque Face ID a été annoncé pour la première fois, il y a eu beaucoup de discussions sur la sécurité de la reconnaissance faciale. Une considération majeure était le modèle de menace d'une personne : examiner les risques que vous rencontriez en tant qu'individu.
Si vos menaces sont un voleur à la tire dans un bar, il est très peu probable que le voleur ait également votre structure faciale et un scan de votre visage prêts à être imprimés en 3D et