La technologie Face ID d’Apple est-elle sécurisée ? Le géant américain l’affirme depuis la présentation de l’iPhone X, premier appareil à l’utiliser pour remplacer Touch ID. Mais l’entreprise Bkav, spécialisée entre autres dans la cybersécurité, n’est pas d’accord. Et elle entend argumenter avec une preuve concrète : l’utilisation d’un masque complexe, facturé 150 $ si on additionne la liste des composants nécessaires pour le construire, capable de déverrouiller le téléphone comme si c’était un vrai visage.
Un point sur lequel avait pourtant insisté Apple, arguant que l’intelligence artificielle cachée derrière Face ID était capable de faire la différence entre un humain et une représentation, si fidèle soit-elle.
Face ID déjà trompé ?
« Le Face ID d’Apple n’est pas une mesure de sécurité efficace » clame Bkav, qui publie une vidéo très — trop ? — floue montrant que le masque qu’elle a conçu outrepasse la sécurité sans faille autour de laquelle est censée s’articuler la technologie à reconnaissance faciale d’Apple.
« C’est assez difficile de fabriquer le bon masque sans certaines connaissances en sécurité. Nous sommes capables de tromper l’intelligence artificielle d’Apple car nous comprenons comment elle fonctionne et savons comment la détourner. Comme en 2008, quand nous avons été les premiers à prouver que la reconnaissance faciale n’était pas une mesure de sécurité effective sur les ordinateurs portables » note Bkav, qui loue davantage les qualités de Touch ID.
Il convient dès lors de sortir les pincettes à la lecture de cette information pouvant remettre en cause les promesses d’Apple. Déjà parce que le masque ainsi créé est complexe à reproduire : « le masque est l’association d’impressions 3D, de maquillage et d’images 2D, en plus de quelques astuces sur les joues et autour du visage, soit les zones où il y a beaucoup de peau » explique Ngo Tuan Anh, le vice-président. Autant dire qu’il est très difficile d’en fabriquer un pour le commun des mortels, d’autant qu’il semble nécessaire de connaître avec précision les mesures du visage reproduit.
Ensuite, la preuve formelle n’existe pas vraiment : la vidéo de démonstration reste très floue et vague sur le fonctionnement réel et le pourquoi du comment de l’opération. On attend donc avec impatience un article de recherche et une reproduction de la méthodologie qui viendrait confirmer la trouvaille : Bkav l’a promis, la vidéo étant une manière de faire le buzz en amont.
Enfin, si la faille est avérée, elle ne concernerait pas monsieur tout le monde, « les cibles potentielles ne seraient pas les utilisateurs réguliers, mais les milliardaires, les patrons de grandes entreprises, les chefs de nation et des agents comme ceux du FBI doivent être conscients de ce problème de Face ID » souligne Bkav, qui semble surtout vouloir faire de la prévention. Notons par ailleurs qu’à ce niveau de raffinement dans l’exécution et dans la procédure pour mener l’attaque, Touch ID a lui aussi été vaincu par des experts en cybersécurité.
Notons enfin, pour situer l’entreprise qui est une concurrente d’Apple, que Bkav construit aussi un smartphone et s’est fait l’apôtre de la sécurité biométrique par empreinte digitale.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
