Incidents associés
Pénétrer un iPhone X verrouillé ne devrait jamais être décrit comme simple, mais selon un groupe de chercheurs en sécurité, c'est exactement là que nous nous trouvons.
La même équipe vietnamienne qui a réussi à tromper Face ID avec un masque élaboré dit maintenant qu'elle a trouvé un moyen de créer un visage reproduit capable de déverrouiller la dernière et la plus grande biométrie d'Apple en utilisant une série de photographies prises subrepticement.
VOIR AUSSI: Personne ne s'accorde sur le fait qu'un cadavre déverrouillera ou non un smartphone
Apple a accepté le fait que Face ID, malgré toutes ses prouesses techniques, n'est pas parfait. Il peut être trompé par des jumeaux. Pour la plupart des gens, cependant, cette menace à la sécurité est inexistante. Mais qu'en est-il des masques ? La société basée à Cupertino a assuré à ses clients qu'elle avait conçu la protection biométrique en pensant à cette attaque - mais les chercheurs de Bkav sont là pour pleuvoir sur ce défilé particulier.
"Ces matériaux et outils sont décontractés pour tout le monde."
Ils ont construit un masque relativement peu coûteux qui, selon un article de blog et une démonstration vidéo, a pu tromper Face ID pour le déverrouiller.
« Dans cette nouvelle expérience, Bkav a utilisé un masque 3D (qui coûte environ 200 USD), fait de poudre de pierre, avec des images 2D collées des yeux », ont expliqué les chercheurs dans un article de blog. "Les experts de Bkav ont découvert que la poudre de pierre peut remplacer le ruban de papier (utilisé dans le masque précédent) pour tromper Face ID AI à des scores plus élevés. Les yeux sont des images infrarouges imprimées - la même technologie que Face ID elle-même utilise pour détecter l'image faciale. Ces matériaux et les outils sont décontractés pour tout le monde."
Pour aggraver les choses, l'obtention des données nécessaires à la construction du masque pourrait se faire à l'insu de la cible, ont écrit les chercheurs - aucun scan facial élaboré ou photographie rapprochée n'est requis.
"Les chercheurs de Bkav ont déclaré que la création d'un modèle 3D est très simple", note le billet de blog. "Une personne peut être secrètement prise en photo en quelques secondes lorsqu'elle entre dans une pièce contenant un système de pré-configuration de caméras situées sous différents angles. Ensuite, les photos seront traitées par des algorithmes pour créer un objet 3D."
Serait-il facile pour quelqu'un de réussir cela dans le monde réel ? Nous avons contacté Apple pour obtenir des commentaires, mais nous n'avons reçu aucune réponse au moment de la publication. Nous mettrons à jour ce message quand et si nous entendons de retour.
Les chercheurs de Bkav, en revanche, nous ont répondu, et leurs commentaires n'ont pas inspiré beaucoup de confiance dans la sécurité de Face ID.
"[Lorsqu'il] cible une personne, [un attaquant] peut préinstaller des caméras HD d'un système de numérisation 3D dans une salle de réunion ou dans une exposition pour prendre secrètement des photos de la cible", a expliqué un porte-parole de l'entreprise par e-mail. "Il ne faut qu'environ 2 secondes pour obtenir des photos du visage de la cible. Très rapide."
Quant à la fabrication du masque lui-même? "[Nous] n'avons imprimé qu'un seul masque 3D, une seule image infrarouge", a noté le porte-parole. "Nous avons coupé les parties des yeux et les avons collées sur le masque, une seule fois. Nous avons réussi du premier coup. Aucune modification n'était nécessaire."
Les propriétaires d'iPhone X devraient-ils s'en inquiéter ? Eh bien, peut-être. Ce n'est pas comme si un voleur ordinaire allait se donner la peine de scanner subrepticement votre visage avant (ou après) qu'il vous ait volé votre téléphone pendant votre trajet en métro.
Cependant, si quelqu'un voulait accéder à un élément spécifique sur votre téléphone – et estimait que cela valait la peine de consacrer du temps et des efforts à la construction d'un masque – vous pourriez avoir une raison de vous inquiéter. Bien sûr, l'utilisation d'un mot de passe alphanumérique au lieu de Face ID annulerait cette préoccupation.
Au contraire, les découvertes de Bkav rappellent qu'aucune forme de biométrie grand public n'est infaillible, et qu'à mesure que la sécurité s'améliore, les outils et les techniques que les pirates utilisent pour la battre augmentent également.
Cette histoire a été mise à jour pour inclure des commentaires supplémentaires de Bkav.