Face ID contre le masque, épisode 2
Face ID a de nouveau été mis en échec avec un masque confectionné pour ressembler au visage de l'utilisateur d'un iPhone X. C'est toujours Ngo Tuan Anh, l'un des responsables de l'entreprise vietnamienne Bkav, spécialisée dans les questions de sécurité, qui prête ses traits et réalise la démonstration.
L'aspect du masque a été amélioré de façon à rendre plus systématique sa reconnaissance par Face ID. Plutôt qu'une bande adhésive, le nouveau masque a été recouvert d'une couche de poudre de pierre colorée. Les yeux sont faits à partir de l'impression d'une photo prise avec une lumière infra-rouge. Le démonstrateur insiste sur le fait que ce masque-ci a été bien plus rapide à fabriquer, contrairement aux 9 à 10 h nécessaires pour le précédent.
Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.
Bkav surnomme ce nouveau masque un "jumeau artificiel", en écho à l'une des faiblesses de Face ID qui ne sait pas distinguer de vrais jumeaux (lire Les échecs de Face ID se suivent et se ressemblent).
Il réitère le même conseil que la fois dernière. Si l'enjeu est important, en se donnant les moyens, on peut tromper plus aisément que prévu Face ID. Certaines personnes de premier plan — à défaut de l'utilisateur lambda — gagneraient à s'en méfier. Avec cet exemple façon Mission Impossible :
Une personne peut être prise en photo secrètement en quelques secondes lorsqu'elle entre dans une pièce contenant un système de caméras préinstallées selon différents angles. Ensuite, les photos seront traitées par des algorithmes pour créer un objet 3D.
Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr. Comme les empreintes, qui ne sont pas inviolables mais peut-être plus difficiles à recueillir, plus que des photos d'une personne prises à distance.
Lors de la présentation de Face ID, Phil Schiller avait assuré qu'Apple avait testé sa solution avec des masques réalisés par des professionnels du cinéma (des masques beaucoup plus sophistiqués à en juger par la photo montrée à ce moment-là). Wired avait tenté de tromper Face ID par ce biais, en recrutant là-aussi des spécialistes, mais en vain.
L'équipe de Bkav est la seule à assurer que l'on peut se reposer sur un masque pour franchir la protection de l'iPhone X et à en avoir fait la démonstration devant un journaliste de Reuters. Il s'agissait de lever toute ambiguïté sur la méthode utilisée.
À la suite de la première expérimentation, des banques sud-coréennes ont décidé de ne pas prendre en charge Face ID dans leurs apps.
C'est FANTOMAS
Il serait totalement crédible dans sa démonstration, s'il confectionnait un masque d'une personnalité (Tim Cook par exemple...) à partir des photos disponibles sur le Net et proposait ensuite de déverrouiller l'iPhone de cette personne avec le masque.
@r e m y
Exactement !
Psk là il doit y avoir des dizaines d'ajustement où Face ID ne reconnaît pas le visage avant d'avoir le résultat montré.
Et n'oublions pas que dans la vrai vie, de telles photos sont presque impossibles à prendre, mais surtout au bout de 5 essais infructueux le code est demandé... Alors bon tout ça c'est juste Du pipeau !
Le but est de démonter l'iPhone contre le fleuron coréen, ça marche puis que les banques coréennes ne veulent pas de Face ID.
Il parle de photo infrarouge pour les yeux. S'il ne connaît pas l'utilisateur il n'arrivera pas à déverrouiller l'iPhone. Et si une empreinte se récolte très bien (une démo avait été faite pour Touch ID).
--- Et oui j'aimerai qu'il se base sur des photos de Tim Cook et voir si son masque déverrouille l'iPhone de Tim Cook en moins de 5 essais...
Ce qui m'inquiète, c'est pas ce procédé mais que mon fils puisse éventuellement déverrouiller l'iPhone à cause d'une conne ressemblance...
@ r e m y
Apres avoir demontré qu'Apple a menti sur la nature securitaire de son systeme biometrique, le but de la demonstration de Bkav est maintenant de demontrer jusqu'a quel point le systeme est vulnerable...
On est ici dans aucune autre motivation que la demonstration que la biometrie d'Apple est un gadget totalement insecuritaire et qu'Apple induit en erreur ses clients et partenaires.
Bkav, ou d'autres, n'avaient pas besoin d'aller plus loin que les precedentes demontrations: le fait est établi.
Maintenant, la poursuite de ces demonstrations c'est juste pour enfoncer le clou et mediatiser un peu plus cette realite.
Cela a un avantage majeur - en plus de demontrer le foutage de gueule du client par Apple - c'est que l'aspect insecuritaire de ces systemes biometriques est mis en evidence et que le public commence a se savoir.
Maintenant il faut encore faire comprendre au public que la biometrie dans ce type d'usage, c'est comme la 3D pour la TV: c'est juste un artifice du marketing pour creer un relai de croissance et installer un systeme redoutablement efficace d'obsolescence programmee!
Pour le reste d'autres equipes de chercheurs en securite et hacker sont en train demultiplier les moyens de pirater iOS 11 et s'attaquent aux niveaux sous l'OS grace a des failles, backdoor et bug. Le graal c'est de trouver des failles dans le materiel ou dans le niveau d'amorçage de l'OS et driver car, comme on l'a vu récemment avec l'Intel Management Engine accumulant les failles et backdoor, la probabilité de failles au niveau de l'enclave "securisé" d'Apple augmente chaque jour.
Bref, plus le temps passe plus on constate que les fabricants et editeurs informatiques racontent n'importe quoi concernant la securité des donnees traitées par leurs produits et que les mensonges du marketing sont de plus ne plus affligeants.
Mais la Apple a fait quand meme tres fort avec son discours marketing qui affirmait la superiorité securitaire de Fake ID!
@C1rc3@0rc
Imbuvable, comme d’habitude.
Un petit (5000 mots) post sur l’AW pour finir de te soulager ?
@C1rc3@0rc :
Le monsieur n'a rien démontré de ce que tu dis si ce n'est qu'il faut un matériel de prise de vue professionnel très spécial (infra-rouge), à utiliser dans des conditions très précises sous des angles particuliers pour tenter de fabriquer ce mannequin jumeau.
Autant dire, impossible à faire sans le consentement de la victime et encore moins à partir de clichés trouvés sur Internet !!
Oui imbuvable, en bref le problème du biométrique est qu'on ne peut pas le changer comme un mot de passe.
Ou sinon, vous allez dans une cité en insultant les gars, qui vous tabasseront : vous avez changé votre mot de passe Face ID, félicitations
@frankm
«en bref le problème du biométrique est qu'on ne peut pas le changer comme un mot de passe.»
Pour les empreintes digitales on en a normalement 10 possibles, pour l'empreinte retinienne, y en a 2... le visage evidement il y en a qu'un... C'est donc un des probleme de la biometrie, mais c'est pas le principal.
Le probleme principal de la biometrie c'est que la cle n'est pas une... et donc qu'un systeme biometrique n'offre pas de securité (mais il peut faire partie d'un systeme de securité, la nuance est importante)
Le probleme dont il est question ici c'est qu'Apple a menti sur toute la ligne et induit en erreur, voire trompe gravement, son client.
Une des affirmations fallacieuses d'Apple concernant l’authentification du visage etait que son systeme, a la difference de celui ridicule de Samsung, ne pouvait pas etre trompé par un artefact (photo, masque, sculpture,etc): l'équipe de Bkav demontre une fois de plus qu'Apple a menti!!!
Dans les faits cela veut dire que Fake ID est un gadget permettant de deverouiller l'ecran de veille mais qu'il n'est en aucun cas un systeme de securité.
C1rc3@0rc .............. a encore frappé!!!
Toujours aussi religieux dans ses croyances qu'il prend pour des réalités!
Toujours aussi péremptoire!
@Trillot
Il travaille en Samsung Store
“Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.”
On a compris comment fonctionnait Face ID, qui apprend et autorise une marge d’erreur apres des utilisations successives. Quelqu’un qui utilise Face ID depuis des semaines ou mois avec des centaines de deverrouillage ne devrait donc pas etre inquiete car le masque ne serait pas reconnu et un mot de passe viendrait a etre demandé.
@Paquito06
L'apprentissage rend-il faceID plus exigeant quant au visage qu'on lui présente?
Ou au contraire moins précis en acceptant au fil du temps de légers écarts par rapport au visage initialement enregistré (et donc plus tolérant vis à vis d'un simple masque) ???
@r e m y
Aucune certitude car je n’ai rien lu la dessus, mais il serait ‘logique’ qu’au fil du temps Face ID devienne plus exigeant en effet (comme pour Touch ID, on l’active en mettant notre doigt et 5-6 empreintes, mais on peut accentuer la precision en entrant une dizaine d’empreintes du meme doigt ensuite). Je pense a la meme chose avec Face ID. La reinitialisation laisse Face ID deverouiller avec une plus grande marge d’erreur qu’un Face ID qui a deja servi de nombreuses fois. Je peux me tromper ?
@Paquito06
Ce n'est pas très clair pour moi non plus, mais j'ai plutôt l'impression que faceID est plus tolérant avec le temps en enregistrant de petites variations du visage qu'on lui demande d'accepter en retapant le mot de passe.
@r e m y
Dans un sens ou l’autre, plus ou moins tolerant, Face ID a besoin d’apprendre et donc de temps. Or, cette reinitialisation change la donne.
Enfin, si on a un iPhone qui possede des donnees a haut risque, qui s’amuserait a ne les faire reposer que sur le ‘simple’ usage de Face ID (technologie balbutiante qui sera amelioree dans les prochaines versions).
@Paquito06
«Dans un sens ou l’autre, plus ou moins tolerant, Face ID a besoin d’apprendre et donc de temps. Or, cette reinitialisation change la donne.»
Le but est de demontrer le niveau de faiblesse du systeme dans son principe. Le fait de lancer le processus en commençant par une reinitialisation c'est pour s'assurer justement que l'exploitation se fait sur le principe et ne releve pas d'une exploitation d'un biais acquis dans le temps.
De plus Fake ID n'a pas besoin "d'apprendre". Le processus peut etre adapté au besoin et la reconnaissance peut etre assouplie, mais cela necessite une action specifique par l'utilisateur. Rien n'indique que le processus se fasse automatiquement.
«Enfin, si on a un iPhone qui possede des donnees a haut risque, qui s’amuserait a ne les faire reposer que sur le ‘simple’ usage de Face ID (technologie balbutiante qui sera amelioree dans les prochaines versions).»
Qui? Mais toute personne qui croit au discours marketing d'Apple concernant la superiorité de Fake ID sur Touch ID (qui n'est pas non plus securisé cela dit), et qui utilise son iPhone pour acceder a sa banque, faire des achats, accumuler des donnees de santé, utiliser Wallet,...
Regardes de nouveau le Keynote: Fake ID est presenté comme une solution de securisation, pas un simple gadget pour deverrouiller rapidement l'ecran de veille de l'iPhone...
Apple a menti effrontemment, et le client n'est pas censé avoir assez de connaissances en securité informatique pour se rendre compte de ce mensonge!
@C1rc3@0rc
OSEF des tes argumentaires à 2 balles et complètement inutiles. Tu n’as pas encore compris ?
C'est vrai, tu vas finir par me vexer, nom d'un p'tit bonhomme ?
@Paquito06
Ça n’accentue pas la précision d’enregistrer 5 fois la même empreinte, au contraire ça laisse une marge d’erreur plus importante. C’est juste que ça autorise des « écarts » par rapport à l’empreinte initiale. Et j’ai l’impression que c’est un peu ce que fait Face ID au fil du temps.
@Rez2a
En effet. Je me suis mal exprime avec la precision et la marge d’erreur.
Ca rejoint le commentaire de r e m y sur ce fonctionnement, il faut laisser un peu de temps a Face ID et ici l’expert en securite bypass cet apprentissage.
@Paquito06
Mais justement pour ce pas qu'on le suspecte de laisser le temps à faceID d'être plus tolérant quant au visage exact...
@r e m y
C’est pour cela que je suggere le contraire du coup.
Soit Face ID apprend et s’ameliore avec le temps et il est plus difficile de le berner avec un masque, donc apres une reinitialisation Face ID n’a pas eu le temps d’apprendre et on peut lui faire passer un masque pour le vrai visage et il deverrouillera plus facilement (ce que je pense). Soit Face ID devient plus tolerant avec le temps et l’apprentissage (absurde a mon avis, il suffirait de subtiliser un iPhone X dans 6 mois pour avoir plus de chance de le deverouiller avec un masque), et donc apres reinitialisation il est plus difficile de le deverrouiller/berner Face ID (cas ici avec ce white hat?). Il faudrait voir dans 6 mois et apres des milliers de deverrouillages comment ca se passe avec un masque :-)
Je suis assez d'accord.
Les conditions d'usage sont extrêmes et les conditions de scan sont également extrêmes.
En gros, il faut :
- que l'iPhone soit volé à son propriétaire
- que l'action soit réalisée en moins de 48h
- que l'iPhone n'ait pas eu le temps d'être effacé via iCloud
- que le visage puisse être scanné avec le matériel adéquat
- que le masque réussisse à déverrouiller l'iPhone en 5 tentatives max.
@FloMo
On se rassure comme on peut, mais le but de ces demonstrations c'est juste de prouver 2 elements:
- Fake ID est un gadget qui n'est en aucun cas un systeme de securité
- Apple a menti sciemment sur la nature securitaire de son systeme biometrique
En fait dans les conditions que tu liste, on se fout de Fake ID: si l'iPhone est volé ou recupere par les autorités il sera piraté au niveau de l'OS grace a une des multiples failles deja sur le marché, et les donnees sont de toutes façon accessibles sur iCloud pour peu que l'iPhone utilise iCloud...
Bref, Fake ID c'est un raccourci, moins efficace de Touch ID, pour déverrouiller l'ecran de veille, mais en aucun cas c'est un systeme de securité.
@C1rc3@0rc
C’est toi qui fait fake à la longue. Rien n’est inviolable et FaceID est franchement pas mal et continuera de s’améliorer dans sa 2ème version tout comme TouchID en son temps.
@C1rc3@0rc
Oh un rageux (pour ne pas changer).
Les empreintes se retrouvent partout, y compris sur le smartphone. De plus qu'il est assez simple de les dupliquer et d'en faire un moule, donc ton argument ne tient pas.
Il faut connaitre le mot de passe/code pour que Face ID détecte les changements, cela prouve que tu ne sais pas comment ça fonctionne.
@victoireviclaux
J'ai beau relire ce que tu ecris, j'arrive pas a trouver le rapport avec mon commentaire auquel tu semble vouloir repondre.
Tout à fait Thierry ! C'est d'une simplicité enfantine ?
@FloMo
Bon résumé.
Et il faut ajouter qu’il ne faut pas ouvrir l’iPhone avant car s’il voit d’autres visages il demande un mot de passe!
@FloMo
Bien dit !
Donc pour tromper FaceID il doit reenregistrer son visage, enfin le masque quoi..
Bref pour toute ces combines il doit avoir le mot de passe..
Je ne comprends pas l'acharnement de ce Ngo Tuan Anh, ni ce qu'il veut démontrer.
Si c'est que cette protection est une solution "domestique" pour monsieur tout le monde, on le savait déjà.
"Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr"
Venir compléter un dispositif plus sûr, c'est absurde. Autant n'utiliser que celui ci.
Par contre, qu'un dispositif alternatif plus sûr puisse être mis en oeuvre, certainement;
Et ça tombe bien : il existe.
Alors c'est vrai qu'en face, c'est beaucoup plus sur : je suis à peu près certain que la reconnaissance faciale de Samsung ne déverrouillera l'appareil devant aucun masque, puisque même moi, elle me reconnait une fois sur dix. Quand elle daigne s'apercevoir que je suis devant mon appareil.
@Bigdidou
Tout comme pour touch id, le mot de passe est là pour ça, ce type s'acharne pour rien.
@Bigdidou
C’est peut être son métier testeur pour éprouver la sécurité?
Ce n’est pas personnel mais professionnel
@Ducletho
Bien sûr que c'est professionnel! Il est responsable de la sécurité du fabricant de smartphone vietnamien Bkav.
Son objectif est soit de détourner les clients de son entreprise de l'iPhone au profit des leurs, soit de justifier que Bkav n'adopte pas la reconnaissance faciale et reste sur la seule reconnaissance d'empreinte.
@Bigdidou :
J'ai comme l'impression (3D) que cette personne cherche maintenant surtout à faire parler d'elle même (comme tous ces "analystes" lanceurs de rumeurs), et peut-être même à se faire embaucher...
Et bah ça nous montre que les maquilleurs d’Hollywood sont bien pourris et qu’ils devraient recruté plutôt au Vietnam....
@mud1007
J'ai sollicité l'auteur de cette démonstration, en lui suggérant de refaire une tentative en créant un masque d'une personnalité connue dont de nombreuses photos sont disponibles sur Internet (Tim Cook) pour ensuite aller essayer de déverrouiller son iPhone X (avec Tim Cook en copie de l'email), puisqu'il affirme que ce type de personnalité prend un risque en utilisant faceID.
On verra si il rebondit sur l'idée et qu'il fait cette tentative.
Là si il réussissait, ce serait réellement intéressant...
Il ne peut y en rester qu'un...
"Connor MacLeod"
Et si on active le suivi du regard ça bloque pas son artifice ??
@SIMOMAX1512
À priori, le "suivi du regard" est actif dans sa demo.
C'est la raison qu'il donne pour expliquer que l'image des yeux ait été réalisée avec des camera infrarouge qui réagissent de la même façon que le systeme IR de faceID.
C’est une superbe nouvelle pour apotheker ce masque. Il va pouvoir déverrouiller son Iphone X sans risquer la mort.
@headoverheel
Tu m’as tué hahahaha
@Niamor4130
Pareil, excellent !
Il faut qu’ils arrêtent de se masturber ?
@benooo8888
bravo! j'avais oublié ces super "masques d'Hollywood" pdt la keynote !
....Quel baratineur ce Tim, les tests ont du être poussés... !
Pages