Une faiblesse dans le mode opératoire de Face ID a été exploitée par des chercheurs qui ont pu passer au travers de cette protection. Ils l'ont expliqué à la conférence Black Hat. Leur idée est ingénieuse, apparement elle est efficace si les conditions sont réunies avec la victime, explique Threatpost.
L'approche a consisté à s'appuyer sur l'option "Exiger l'attention pour Face ID" dans les réglages d'iOS. Lorsqu'on l'active, la caméra TrueDepth vérifie que vous dirigez bien votre regard vers l'écran avant de déverrouiller automatiquement le téléphone ou l'iPad.
Zhuo Ma, de Tencent Security, raconte qu'ils ont observé la manière dont marchait ce réglage. Le système dessine une zone noire au niveau des yeux qu'il détecte et un point blanc en son centre, là où se trouve l'iris. Mais lorsque TrueDepth constate qu'on porte des lunettes, le fonctionnement diffère. Il ne cherche plus à récupérer d'informations volumétriques depuis la zone des yeux.
Ils ont alors pris une paire de lunettes quelconques, ont appliqué sur chaque lentille un bout de scotch noir et un autre blanc, plus petit, en leur centre. Une fois la victime affublée de ces lunettes, Face ID a détecté l'accessoire et s'est contenté de noter la présence des zones qui lui servent habituellement de repères.
Le taux de succès pour le déverrouillage est élevé — ils ont pu utiliser l'iPhone et valider un transfert d'argent — et la solution très économique. Reste le principal écueil qui est d'arriver à faire porter ces lunettes à la victime sans qu'elle s'en rende compte. Du moins si l'objectif est d'opérer avec discrétion, sans le réveiller par exemple.
Dans son document qui détaille comment marche Face ID, Apple avait rédigé ce passage :
La technologie Face ID est même sensible à l’attention. Elle reconnaît si vos yeux sont ouverts et si vous portez votre attention sur l’appareil. Dès lors, un tiers éprouvera davantage de difficultés pour déverrouiller votre appareil à votre insu (comme lorsque vous dormez).
Peut-être va-t-il falloir le reconsidérer.
