En dehors des fratries, Face ID résiste aux tentatives de tromperies
L’iPhone X n’était pas encore officiellement disponible que déjà des jumeaux montraient que Face ID pouvait se faire avoir. Depuis, des frères n’ayant pas le même âge ont montré qu’ils pouvaient eux aussi tromper le système de reconnaissance faciale dans des cas particuliers. Si Face ID s’est montré indubitablement moins fiable que Touch ID dans ces cas de figure, on attend toujours une usurpation réussie par un hacker.
Le Chaos Computer Club avait réussi à tromper Touch ID dès le lendemain de la sortie de l’iPhone 5s, et ce, sans grand effort. Le groupe de hackers avait utilisé la technique habituelle qui consiste à créer un moule du doigt enregistré à l’aide d’une photo haute résolution de son empreinte.
Pour autant que l’on sache, Face ID, qui capture des données faciales en projetant et en analysant plus de 30 000 points invisibles, n’a encore jamais été berné par une photo ou une vidéo. « Apple a vraiment pensé aux attaques classiques [contre Face ID], estime Marc Rogers, un des premiers hackers à avoir dupé Touch ID en 2013. Ils ont clairement mis au point un système assez robuste pour résister à des attaques assez convaincantes. »
Des journalistes du Wall Street Journal et de Wired ont poussé l’expérience jusqu’à créer un masque de leur visage, une réplique assurément plus coûteuse, longue et complexe que celle d’un doigt.
Même posé sur son visage et maquillé, le masque de la reporter Joanna Stern n’est parvenu à déverrouiller son iPhone X. David Pierce a fait réaliser quant à lui pas moins de cinq masques à son effigie, chacun avec un matériau différent. Malgré d’innombrables tentatives, le cadenas de l’iPhone ne s’est pas ouvert non plus.
À noter que contrairement à la journaliste du Wall Street Journal, les masques du rédacteur de Wired n’ont pas été portés par lui-même, mais par un de ses collègues au visage identiquement proportionné, mais n’ayant pas la même couleur d’yeux.
En dépit de ces échecs, Marc Rogers est sûr à 90 % qu’il est possible de tromper Face ID (sans faire appel à un jumeau ou un frère, s’entend). Le hacker fonde son opinion sur des conversations qu’il a eues avec des ingénieurs d’Apple, mais n’en dit pas plus sur le contenu de ces échanges.
En tout cas, il ne pense pas que créer un vrai masque soit la méthode la plus habile pour berner le système. De la même manière que les hackers ont peaufiné leurs techniques pour prendre à défaut Touch ID — au point qu’une banale photo suffise pour reproduire l’empreinte enregistrée —, des méthodes nécessitant peu de ressources, comme des images 3D du visage, arriveront peut-être à tromper Face ID. Mais on n'en est pas encore là, et Apple ne restera sans doute pas les bras croisés.
@Malum
«Un conseil : le plus sûr est de ne pas avoir de téléphone. Simple non ?»
Non, avoir un telephone dans lequel on a pas de données "sensibles" et qui vaut pas un salaire moyen...
en terme de securité, un iPhone X "protégé" par FakeID c'est un iPhone X ou l'on désactive le verrouillage...
Avoir plus generalement un iPhone X protege, c'est le laisser dans un coffre chez soi ou a la banque... parce que un machin de quelques gramme qui vaut 1400 euro et qui se revend sur les marchés "gris" et noirs sans le moindre probleme, c'est un danger et une assurance d’être la victime de tentatives de vols...
@C1rc3@0rc
Tu ne te rends même pas compte que tu es contre tout le monde à chaque fois que quelqu’un t’apostrophe …?
@Billytyper2
Hein?
Qui m'a apostrophé?
De plus ici il y a ue multitude de commentaires qui sont les opposés les uns des autres... comment mon commentaires pourrait être opposé a l'ensemble si l'ensemble n'est pas homogène? Ce que tu dis n'as aucun sens.
@Paquito06
Face ID + Touch ID + iris scan, et plus généralement l'identification biométrique multi-étages, c'est ce que préconise par exemple le Biometrics research group de la Michigan State U dont j'ai déjà cité les travaux. L'identification multifactorielle permet de réduire sensiblement la probabilité de fraude ; elle permet aussi de l'adapter aux différents scénarios de risque.
@occam
C’est ce qui me plairait bien. On n’est jamais trop prudent. Multiplier les protections de ce genre me permettrait de gagner du temps en evitant ensuite d’ouvrir des appli avec double authentification/token RSA valide 30 sec. Un Touch ID + Face ID c’est quasiment inviolable et bien plus rapide.
@occam
Tu as raison, mais il faut encore se poser la question de la pertinence de l'emploi et de l'usage.
On peut faire des systemes biometriques securisés, mais c'est contraignant et ça prend du temps.
L'objectif de Touch ID c'est de donner une impression d’instantanéité dans le déverrouillage, qui est plus simple et plus rapide que taper un code (code qui lui reste la seule mesure de sécurité par définition)
Avec Fake ID on a un systeme qui est plus lent, plus contraignant et moins fiable que Touch ID. Et ce n'est évidemment pas un système de sécurité.
Faut pas aller chercher plus loin et se demander comment securiser Fake ID - c'est pas securisable par définition, faut rajouter un autre systeme qui securise Fake ID- mais se demander si la fonction simplifie la vie de l'utilisateur et offre un usage fonctionnel...
Vu l'insecurité de Fake ID, la meilleure option c'est de desactiver le verrouillage de l'iPhone, de laisser aucune information sensible dessus et de prendre une bonne assurance vol...
J'ai lu un article sur Business insider concernant Windows Hello . Des jumeaux identiques n'ont pas pu tromper Le
Système
Bon je vais faire court: considérons l'utilisation de l'empreinte digitale.
Sur le web on trouve toutes les recettes pour tromper un systeme classique biometrique de l'empreinte digitale. C'est simple, pas cher et a la porté de n'importe quel cretin.
Neanmoins on peut securiser un systeme biometrique de l'empreinte digitale d'une maniere simple: verifier que le doigt posé sur le dispositif est un doigt attaché a une main d'une personne vivante et non contrainte.
- Soit on met un agent qui surveille qui vient poser son doigt
- soit on utilise un systeme qui verifie que sous la peau y a bien des veines ou le sang circule.
C'est simple et efficace.
Pour la reconnaissance faciale on peut faire la meme chose.
C'est pas la présence de veines ou le sang circule qu'on va vérifier au niveau du visage, mais que le visage présente des micro-mouvements: un visage humain vivant n'est jamais figé et même si on voit pas les micro-mouvement, ils sont perçus par une camera et constituent d'ailleurs une interférence qui complique la reconnaissance... donc on peut exploiter cette interférence comme une preuve que c'est un vrai visage.
C'est ce que fait Fake ID, mais ça ne résout pas le probleme de fond (de conception en fait) de Fake ID qui est d'accepter plusieurs visages distincts comme une seule et même cle de déverrouillage!
Par définition un système sécurisé n'accepte lui qu'une seule clé...
Pourquoi Windows Hello n'ait pas aussi faillible que Fake ID?
Parce que Microsoft prend en compte une autre information qu'Apple ignore et si Apple l'ignore c'est pour une bonne raison: la vitesse et la contrainte d'usage.
Mais dans tous les cas, l'authentification faciale n'est pas fiable ni sécurisée par définition.
@C1rc3@0rc
Tu fais l’exacte contraire de démonstration que faisait un dictateur…il partait d’un constat faux et de la découlait sa théorie sur la suprématie blonde aux yeux bleus qui était logique du coup.
En gardant la forme…dans le fond tu n’es pas très différent ?
Faut que tu expliques en donnant l'exemple complet et quel est le rapport avec ma démonstration, parce que ta formulation n'a aucun sens.
Si je fais l'exact contraire d'une démonstration fausse c'est que la mienne est donc vraie, et donc tu l'approuve?
@Billytyper2
« En gardant la forme…dans le fond tu n’es pas très différent ? »
Oui, il passe son temps à transformer ses fantasmes et sa vision psychotique du monde en réalité.
Qu’il rabâche, rabâche, rabâche…
Lorsque tu lui démontre qu’il a tort et qu’il n’a plus de porte de sortie, au mieux, il ignore, sinon, il passe aux insultes (en t’accusant d’être l’agresseur, on connait la technique…).
@Bigdidou
«Lorsque tu lui démontre qu’il a tort et qu’il n’a plus de porte de sortie, au mieux, il ignore, sinon, il passe aux insultes (en t’accusant d’être l’agresseur, on connait la technique…).»
Tiens j'y avais pas fait attention mais cette phrase me rappelle exactement la même que répétait un commentateur ici qui passait son temps a insulter les autres et qui s'est fait bannir plusieurs fois deja...
Aurais-tu ete encore une fois plus malin que les developpeurs du site et les moderateurs et trouvé une nouvelle faille dans le site pour te réinscrire ?
des masques de mauvaise qualité. ils paraissent lisses. à l'oeil ça se voit déjà qu'il s'agit pas d'humain. les modèles de musée Grévin doivent fonctionner.
@marenostrum
Oui, tu devrais écrire à Apple pour leur proposer un partenariat avec le Musée Grévin.
Non mais, franchement, ne sont-ils pas merveilleux les commentaires chez MacG ?
Bon, si je prends l’iPhone X d’un copain, que je lui fait croire que j’ai réussi à le déverrouiller et comme il regarde l’écran pour vérifier et bien il le déverrouille.
Ça marche comme ça ?
@bobytron
Oui, mais ça c'est du social engineering: exploiter l'ignorance, la gregarité et la credulité de l'humain...
C'est ce qui marche le mieux si y a un humain dans la chaine. Ça marche pas pour les systemes purement technologique.
Mais encore une fois Fake ID c'est un (mauvais) raccourci pour déverrouiller l’écran.
On ne peut parler de securité que si on a un systeme avec une porte unique et que cette porte unique est solide et protégée par une serrure disposant que d'une seule cle.
Avec l'iPhone on a des portes multiples, des données qui sont stockée en claire sur le cloud, des failles de securité quand il ne s'agit tout simplement pas d'une absence de securité totale (données non chiffrées dans l'application), et on protege tout ce fatra avec une porte en papier qui s'ouvre en présentant la tronche de son sosie approximatif...
A quel moment est il question de securité?
Jamais et a aucun niveau!
@C1rc3@0rc
On attend toujours que tu nous fasses la démo de déverrouiller un iPhone protégé par Face ID.
Franchement en te lisant ça a l’air à la portée de n’importe qui et je pense que t’as pas mal d’argent à te faire.
@Rez2a
«On attend toujours que tu nous fasses la démo de déverrouiller un iPhone protégé par Face ID.»
Montrer inefficacité de Fake ID... ben ça a ete demontré a plus d'une reprise: c'est toutes les démonstrations avec sosies, frere, jumeau,...
Il y avait la theorie et l'experimentation a démontré la théorie: le fait est donc etabli => FakeID n'est ni fiable, ni securisé!
On peut continuer a developper les approches pour berner Fake ID, mais ce n'est qu'une multiplication d'exploitation de l'erreur qu'est le concept de base.
On sais deja qu'il y a une grosse faille dans le principe de fonctionnement lié a la longueur d'onde des points projetés, ce sera exploité.
Un autre element c'est de determiner le delta de variance entre les "empreintes" que capture Fake ID pour etablir la correspondance et elaborer une technique de contournement dejouant cette information... ça va prendre un peu de temps, faut etablir un modèle statistique.
Y a aussi une piste liée a le niveau de batterie restant...
Mais maintenant la recherche devient plus complexe puisque on passe au niveau des failles de réalisation et des failles de securité dans l'OS pour accéder aux informations de l'iPhone X, sans plus se préoccuper de berner Fake ID.
Certaines de ses failles seront communes a tous les appareils sour iOS 11, d'autres seront specifiques a l'iPhone X. Certaines permettront le jailbreak, d'autres vaudront des fortunes sur les marchés gris et auront comme acheteurs des agences nationales a 3 lettres... aussi ;)
De toute façon, tes proches connaissent souvent ton code de déverrouillage !
Même le dernier de 4 ans sait déverrouiller les iPad et iPhone.
L’IR émit varie en fonction de la température. FaceID doit facilement identifier un corps humain (a 37°) par rapport à un objet à température ambiante. Ce n’est sûrement pas la seule parade d’Apple mais du coup on peut comprendre pourquoi un masque « mort » ne peut pas déverrouiller le téléphone...
@Zap31
«L’IR émit varie en fonction de la température.»
De la temperature de quoi?
Le projecteur IR? En fait ça a l'air d'etre au contraire pas adaptable.
«FaceID doit facilement identifier un corps humain (a 37°) par rapport à un objet à température ambiante.»
Alors y a bien des camera thermiques qui permettent d'etablir assez precisement une fourcette de temperature d'un objet visé, mais ça coute une blinde, ça prend de la place et ça consomme de l'energie.
Qu'est ce qui te permet de penser qu'Apple a installé un tel systeme dans l'iPhone X?
Si c'est le cas, ça veut dire que l'iPhone X permet aussi de filmer en "thermique", ce qui devrait en faire un incontournable pour certaines professions... Etonnant qu'Apple ait pas communique dessus.
«Ce n’est sûrement pas la seule parade d’Apple mais du coup on peut comprendre pourquoi un masque « mort » ne peut pas déverrouiller le téléphone...»
Ben la l'explication est bien plus simple et tres connue avec les systemes d'animation de visage. Le scanner capte plusieurs "empreintes" du visage et chaque image est differentes a cause des variations d'angle et des micro-mouvements du visage. C'est une "pollution" qu'il faut filtrer comme le font les appareils photo avec la prise en HDR.
Mais cette "pollution" est aussi specifique d'un visage vivant.
La question c'est de savoir quelle est la precision de detection de micromouvement que permet le capteur et quel algo de lissage Apple utilise.
Et accessoirement ce systeme ne consomme pas plus d'energie et ne demande rien d'autre que ce que fait normalement Truedepth...
@C1rc3@0rc
Est ce que quelqu’un peut m’expliquer comment avec autant de suppositions ce monsieur à l’air de croire qu’il a raison ?
Parce qu’à part des extrapolations basées sur ce qu’il croit être vrai et des déductions sur exactement la même chose, je ne vois aucune informations concrètes.
J’ai décrété que ce n’était pas assez sécurisé parce que je ne connais pas de technologie adaptée et celle qu’Apple à fait dont j’ignore absolument tout (comme tout le monde) ne peut pas le faire.
J’ai résumé 15 posts...
@C1rc3@0rc
Je parle du spectre émis dans le domaine de l’infrarouge par un objet quelconque.
Lorsque le capteur IR visualise le nuage de point, il doit également visualiser le fond sur lequel ce nuage est projeté. Et le rayonnement IR d’une personne n’est pas le même que celui d’un masque...
Je n’ai pas et je n’aurai jamais la prétention d’expliquer le fonctionnement de la technologie d’Apple. Je ne faisais que réagir à un article en apportant mon raisonnement. Raisonnement que tu as parfaitement le droit de ne pas partager. Mais sur la base de ce raisonnement qui n’engage que moi, et qui au passage ne me semble pas plus absurde que le tien, il me semble logique que des masques ne puissent pas tromper cette techno...
Cordialement
Ok c'est plus clair, tu parles de l'emission IR en fonction de la chaleur d'un objet. Un humain etant un animal a sang chaud emet effectivement des IR dans ce contexte.
Mais encore une fois, il faut différencier une camera thermique d'une camera IR. Une camera thermique coute 10 a 100 fois plus cher qu'un capteur IR (en fait un objectif de webcam sans filtre IR c'est une camera IR et on en trouve a moins de $10).
Rien ne laisse penser qu'Apple a embarqué une camera thermique dans l'iPhone X (ou alors il est vraiment bon marché si c'est la cas...), mais ton hypothèse est intéressante, hormis le fait que la signature IR d'une personne ne peut pas servir a l'identifier...
En fait C1machintruc il fait du référencement naturel discretos, il a déposé le nom FakeID et il fait sa pub c’est ça le truc nan ?! C’est pas possible de sortir autant de fois le même mot sur un fil de discussion ?
@CueDeee
Surtout qu’à ce niveau cela dessert son discours en exposant son obsession du dénigrement.
Il me fait penser aux cinglés dans la rue qui crient à l’apocalypse mais que tout le monde ignore dans les films ricains
Dommage ses interventions sur les processeurs étaient plus intéressantes
@-Kadix-
"Dommage ses interventions sur les processeurs étaient plus intéressantes"
Tout à fait.
Le reste c'est wikipediesque
Pages