Android : la reconnaissance faciale contournée par une photo
Android Ice Cream Sandwich introduit un nouveau degré de sécurité pour verrouiller un smartphone : la reconnaissance faciale. Celle-ci peut toutefois se faire tromper grâce à l'utilisation d'une simple photographie. Est-ce pour autant une surprise ?
Le mois dernier, Google et Samsung ont dévoilé le Galaxy Nexus, premier smartphone fonctionnant avec la dernière version d'Android, baptisée Ice Cream Sandwich.
Souhaitant évaluer la sensibilité de la reconnaissance faciale proposée par Google, un internaute a essayé de déverrouiller un Galaxy Nexus dont les paramètres de sécurité ont été réglés sur son visage et en utilisant une photo de lui prise par un autre smartphone. Le constat est sans appel. Il est effectivement possible de contourner cette protection en utilisant une photo du propriétaire du mobile ciblé, dans le cas où ce type de sécurité a été choisi.
Si certains profiteront de cette "découverte" pour pointer du doigt les lacunes de Google en matière de sécurité, il faut souligner que cela ne constitue pas en réalité une véritable surprise. Dans la mesure où il s'agit d'une technologie expérimentale, il était attendu que Google opte pour une reconnaissance faciale modéremment précise afin que la grande majorité des déverrouillages se déroule sans problème.
Si celle-ci avait été beaucoup trop stricte, nous aurions vu émerger de nombreux cas de smartphones ne se déverrouillant plus. Cela aurait assurémment causé beaucoup plus de tort à Google qu'une reconnaissance faciale assez souple. C'est par ailleurs le signe que l'outil fonctionne plutôt bien, et c'est ce qu'on lui demande. Il parvient en effet à reconnaître un visage même lorsque celui-ci n'est pas analysé "directement".
Rien n'empêche d'utiliser de toute façon un autre paramètre de sécurité pour protéger son smartphone sous Android 4.0. Il en existe d'ailleurs six : aucune protection (accès direct au contenu du téléphone), déverrouillage par glissé latéral du doigt (ne protège pas), reconnaissance faciale (sécurité basse), schéma de déverrouillage (suivre un tracé avec le doigt, sécurité moyenne), code PIN (sécurité moyenne à élevée), mot de passe (sécurité élevée).
On remarquera à ce sujet que Google lui-même sait que le système de reconnaissance faciale présent dans Android 4.0 est imparfait. Dans la vidéo de présentation de la plate-forme mobile, la fonctionnalité est considérée comme une sécurité assez faible. Ce n'est donc pas une sécurité à utiliser pour protéger un smartphone contenant des données personnelles et / ou sensibles.
Reste que cette fonctionnalité étant expérimentale, elle sera sans aucun doute amenée à évoluer au fil des futures versions Android. On imagine que Google intègrera au fur et à mesure de nouveaux paramètres pour renforcer l'efficacité de la reconnaissance faciale. Ce ne sont d'ailleurs pas les idées qui manquent pour renforcer cette protection.
Cela pourrait être par exemple la prise en compte de l'animation et des mouvements du visage, ce qui permettrait ainsi d'empêcher l'astuce de la photo (qui est inanimée) de fonctionner. Une autre piste pourrait consister à déterminer une expression spécifique du visage, ce qui limiterait le nombre de photos capables de berner la sécurité.
