Face Unlock sur le Pixel 4 permet de déverrouiller le smartphone sur un visage qui a les yeux fermés ou ne regarde pas le smartphone. Un problème dans bien des situations.

L’une des caractéristiques les plus importantes du Pixel 4 est indéniablement son capteur Motion Sense, la caméra avant associée au radar. Elle a été présentée par Google comme la seule méthode de déverrouillage par reconnaissance faciale à être aussi sécurisée que celle d’Apple avec FaceID. Elle repose sur un scan 3D du visage, une puce dédiée au chiffrement de ces informations et plusieurs capteurs travaillant conjointement pour activer et sécuriser le déverrouillage.

Sauf que contrairement à FaceID, le déverrouillage du Pixel 4 a une grosse faille de sécurité : il déverrouille les visages inattentifs ou ayant les yeux fermés.

Le Google Pixel 4 // Source : Ulrich Rozier pour Numerama

Une faille de sécurité by design

Repéré par un journaliste de la BBC, ce problème n’en est pas du tout un pour Google, qui l’assume entièrement dans les réglages du Pixel 4, ce que nous avons pu confirmer sur notre modèle d’essai. Nous avons également pu déverrouiller le Pixel 4 d’un de nos confrères de 01net, qui restait les yeux fermés. Et c’est un gros souci côté sécurité : cela signifie que quelqu’un peut déverrouiller votre smartphone quand vous dormez et espionner l’intégralité de vos messages, photos ou documents. Terrifiant quand on sait que le cyberespionnage (et harcèlement) conjugal est plus répandu qu’on ne le pense.

Mais c’est aussi un gros souci dans une autre situation : quand quelqu’un souhaite vous faire déverrouiller votre smartphone de force. Qu’il s’agisse d’un contrôle policier ou d’une personne ayant volé votre smartphone et vous demande un déverrouillage violent, le Pixel 4 le laissera faire. Une fois le smartphone déverrouillé en revanche, la personne ne pourra heureusement pas s’enfuir avec : elle devra rentrer votre code pour désactiver Face Unlock.

Les informations de Google sur Face Unlock

Pour contrer ces soucis, Apple a mis en place sur Face ID une détection de l’attention de l’utilisateur. Il faut ainsi que le smartphone détecte que l’utilisateur le regarde, yeux ouverts, pour procéder à un déverrouillage. Il est donc impossible de déverrouiller l’iPhone de quelqu’un avec son visage endormi et même très difficile de le faire déverrouiller de force : il suffit de détourner le regard suffisamment longtemps pour que le smartphone échoue au déverrouillage et impose une entrée du code. Par souci d’inclusivité avec les personnes malvoyantes, la détection de l’attention sur iPhone est désactivable. Sur le Pixel 4, aucune option ne permet de l’activer.

Google pourra-t-il proposer un correctif ? Son système de déverrouillage est pensé pour être très rapide et agit dès que le smartphone sent un mouvement ou voit une main arriver vers lui. Cela signifie que, conceptuellement, il n’a pas été conçu pour attendre l’attention de l’utilisateur. Le confort a-t-il été placé trop haut par rapport à la sécurité ?

Le déverrouillage ne fonctionne pas, en revanche, quand nous présentons au Pixel 4 une photo en 2D d’un visage enregistré dans Face Unlock.

Partager sur les réseaux sociaux