iPhone X : Face ID évidemment déjà hacké, mais… [MAJ]

Article mis à jour à 17hLa démonstration de Bkav doit être replacée dans un certain contexte. La société a en effet dans ses cartons un smartphone haut de gamme sécurisé, le Bphone, qu’il souhaite lancer en Asie et présenté en juillet dernier. Ce terminal est doté notamment d’un lecteur d’empreinte digital jugé plus robuste par l’entreprise que la reconnaissance faciale. Bref, il s’agit désormais de savoir si ses travaux sur Face ID sont solides ou si tout cela relève d’une belle opération de communication…

L’été dernier, son PDG, Nguyen Tu Quang, indiquait publiquement son ambition de faire de Bkav « l’une des marques leaders dans le secteur de la téléphonie mobile ». Son smartphone sous BOS (une surcouche d’Android 7.1.2 Nougat), dont l’interface ressemble à celle de l’iPhone, est d’ailleurs doté d’un système de sécurité par empreinte digitale.

Face ID est l’une des innovations technologiques majeures de l’iPhone X et Apple n’a cessé de vanter sa sécurité. Pour fonctionner, il capture des images infrarouges du visage de l’utilisateur, qui sont représentées par 30.000 points, et crée une carte identifiant le visage. Il conserve également la « représentation mathématique » du visage, plutôt qu’une image elle-même.

 

Cette fonctionnalité est rendue possible grâce au nouveau processeur conçu par les ingénieurs de la firme de Cupertino, qui embarque selon Apple un « moteur neuronal » utilisé pour réaliser les calculs nécessaires à la reconnaissance faciale. Apple promet avoir travaillé dur pour que le système soit quasiment impossible à contourner, mais on imagine que le Chaos Computer Club sera heureux de relever le défi comme il l’a fait avec Touch ID.

Mais c’est finalement la société de sécurité vietnamienne Bkav qui est la première à contourner le dispositif. « Nous avons pu tromper l’IA d’Apple, car nous avons compris comment fonctionnait leur IA et comment la contourner », annoncent-ils, il aurait fallu seulement cinq jours pour y parvenir. Et si on en croît la vidéo publiée, le piratage n’exige pas une expertise informatique puisque encore une fois, la protection biométrique est leurrée par l’impression 3D à travers une photo du visage du propriétaire.

Les ingénieurs ont imprimé en deux dimensions les yeux et la bouche du visage de l’utilisateur, ainsi qu’un nez en silicone, le tout collés sur un simple masque en trois dimensions et agrémenté d’un peu de maquillage réalisé par un artiste peintre. Coût du dispositif : 150 dollars. Présentée devant l’iPhone X, le masque permet bel et bien de déverrouiller le terminal. 

« Beaucoup ont essayé différents types de masques, mais tous ont échoué », affirme la société. Tous les détails de ce piratage n’ont pas encore été divulgués, car il y a encore des questions sur le protocole utilisé. Mais la société devrait en dire plus lors d’une prochaine conférence sur la sécurité.

La biométrie montre une nouvelle fois ses limites, limites d’ailleurs mises en avant par Apple. « Face ID ne remplace pas votre mot de passe, mais offre un accès facile à l’iPhone X dans des limites réfléchies et des contraintes de temps », écrit la firme. De plus, quelques circonstances nécessiteront d’entrer un mot de passe pour accéder au téléphone :

-Quand il vient d’être allumé

-Lorsqu’il n’a pas été déverrouillé pendant plus de 48 heures

-Lors de la réception d’une commande de verrouillage à distance

-Après cinq tentatives infructueuses de déverrouillage en utilisant Face ID

-Si le mode d’urgence est activé (maintenir le volume et les boutons latéraux pendant deux secondes) 

ZDNet