Incidents associés
Les pirates vietnamiens qui ont affirmé plus tôt ce mois-ci avoir trompé le Face ID d'Apple avec un masque coûtant moins de 150 $ sont de retour. Mais cette fois, leurs preuves sont plus convaincantes.
Alors que lors de leur précédente attaque, les chercheurs de la société vietnamienne de cybersécurité Bkav n'ont pas montré le processus d'inscription, ni combien de temps il a fallu entre ce moment et l'ouverture d'un iPhone X avec le masque, dans une nouvelle preuve de concept, ils semblent faire les deux. Une vidéo montre la réinitialisation de l'inscription à la reconnaissance faciale Face ID. Ensuite, le chercheur enregistre son propre visage et le déverrouille quelques secondes plus tard avec un masque composé d'un visage imprimé en 3D construit avec de la poudre de pierre, avec des yeux imprimés en 2D collés.
Les chercheurs ont surnommé leur masque le "jumeau artificiel", car il ressemblait à la façon dont un frère identique (ou presque identique) pouvait déverrouiller un iPhone X. En effet, des preuves vidéo d'une telle supercherie sont apparues depuis le lancement de l'iPhone X. Dans au moins un cas, le fils de 10 ans d'une utilisatrice a pu entrer dans l'appareil simplement en le regardant. Apple, lors du lancement de l'iPhone X, a admis que dans certains cas où les membres de la famille se ressemblaient suffisamment, il y avait une chance que Face ID leur permette l'accès. Mais il a affirmé avoir travaillé avec des studios hollywoodiens pour tester divers hacks basés sur des masques.
Bkav n'a cependant pas hésité à critiquer la technologie de reconnaissance faciale d'Apple. "Il y a environ deux semaines, nous avons recommandé que seules les personnes très importantes telles que les dirigeants nationaux, les dirigeants de grandes entreprises, les milliardaires, etc., soient prudentes lorsqu'elles utilisent Face ID", a déclaré Ngo Tuan Anh, vice-président de la cybersécurité de Bkav. "Cependant, avec ce résultat de recherche, nous devons augmenter le niveau de gravité pour tous les utilisateurs occasionnels : Face ID n'est pas suffisamment sécurisé pour être utilisé dans les transactions commerciales."
Apple n'avait pas répondu à une demande de commentaire au moment de la publication. Les utilisateurs qui s'inquiètent de l'utilisation de la reconnaissance faciale sur leur iPhone X peuvent simplement se rabattre sur l'utilisation d'un mot de passe.
Un porte-parole de Bkav a déclaré qu'il avait décidé de ne pas parler à Apple de ses dernières techniques, car le fabricant d'iPhone avait choisi de ne pas répondre aux médias lors de la publication de son dernier hack.
Expliquant davantage sur le processus de création du masque, le porte-parole a déclaré que la société avait utilisé une cabine de numérisation 3D pour prendre les images originales. "Par exemple, si vous vous tenez au milieu d'un stand, il prendra des photos de vous sous différents angles en seulement deux secondes. Et nous prendrons une image infrarouge de votre visage.
"Ensuite, nous ferons un objet 3D de votre visage à partir des photos... Ensuite, avec l'objet 3D, nous utilisons une imprimante 3D, en utilisant de la poudre de pierre comme matériau, pour imprimer le masque jumeau de votre visage. Ce sera l'original masque par l'imprimeur, aucune modification n'est nécessaire.
"Ensuite, en utilisant l'image infrarouge de votre visage, nous découpons les parties de l'œil de l'image. Nous savons comment couper les parties de l'œil pour qu'il puisse tromper Face ID, mais ne puisse pas se révéler... Ensuite, nous avons collé les parties de l'œil à le masque jumeau 3D de votre visage. Ensuite, c'est fait. Aucune autre modification nécessaire."
Attaques dans le monde réel possibles ?
Ce que Bkav n'a pas abordé dans sa publication lundi, c'est l'applicabilité d'une attaque basée sur un masque dans le monde réel. Un attaquant devrait pouvoir obtenir un scan précis du visage d'une cible, puis passer du temps et des efforts à créer le masque (un processus qui n'a pas été entièrement détaillé par Bkav). Il ressort également de la vidéo que l'iPhone doit être aligné avec le masque à un angle spécifique pour que l'attaque fonctionne.
Le professeur Alan Woodward, expert en sécurité et en cryptage, de l'Université de Surrey au Royaume-Uni, a déclaré qu'il y avait encore des questions sur l'approche des chercheurs. "Ce que nous ne savons toujours pas, c'est combien d'efforts il a fallu pour produire ce masque particulier et combien de tentatives il a fallu pour faire correspondre le masque et le visage. En tant que menace, cela prouve que Face ID n'est pas totalement fiable, mais en tant que risque, nous devraient tous m'inquiéter dans la vie de tous les jours, je suis moins convaincu", a déclaré Woodward.
"Ce que l'expérience montre, c'est qu'un masque statique peut tromper la technologie Apple qui est censée garantir que seul un visage vivant est reconnu. Une fois que cela est possible, il devient alors théoriquement possible de produire un masque statique pour ouvrir l'appareil.
"Cependant, vous pouvez voir d'après la façon dont cette expérience est réalisée qu'il est très difficile de positionner l'appareil de la sorte. Cela suggère que le masque doit être utilisé dans des circonstances très particulières."