Face ID contre le masque, épisode 2

Florian Innocente |

Face ID a de nouveau été mis en échec avec un masque confectionné pour ressembler au visage de l'utilisateur d'un iPhone X. C'est toujours Ngo Tuan Anh, l'un des responsables de l'entreprise vietnamienne Bkav, spécialisée dans les questions de sécurité, qui prête ses traits et réalise la démonstration.

L'aspect du masque a été amélioré de façon à rendre plus systématique sa reconnaissance par Face ID. Plutôt qu'une bande adhésive, le nouveau masque a été recouvert d'une couche de poudre de pierre colorée. Les yeux sont faits à partir de l'impression d'une photo prise avec une lumière infra-rouge. Le démonstrateur insiste sur le fait que ce masque-ci a été bien plus rapide à fabriquer, contrairement aux 9 à 10 h nécessaires pour le précédent.

Le nouveau masque et l'ancien ci-dessous

Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.

Bkav surnomme ce nouveau masque un "jumeau artificiel", en écho à l'une des faiblesses de Face ID qui ne sait pas distinguer de vrais jumeaux (lire Les échecs de Face ID se suivent et se ressemblent).

Il réitère le même conseil que la fois dernière. Si l'enjeu est important, en se donnant les moyens, on peut tromper plus aisément que prévu Face ID. Certaines personnes de premier plan — à défaut de l'utilisateur lambda — gagneraient à s'en méfier. Avec cet exemple façon Mission Impossible :

Une personne peut être prise en photo secrètement en quelques secondes lorsqu'elle entre dans une pièce contenant un système de caméras préinstallées selon différents angles. Ensuite, les photos seront traitées par des algorithmes pour créer un objet 3D.

Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr. Comme les empreintes, qui ne sont pas inviolables mais peut-être plus difficiles à recueillir, plus que des photos d'une personne prises à distance.

Phil Schiller lors du Keynote

Lors de la présentation de Face ID, Phil Schiller avait assuré qu'Apple avait testé sa solution avec des masques réalisés par des professionnels du cinéma (des masques beaucoup plus sophistiqués à en juger par la photo montrée à ce moment-là). Wired avait tenté de tromper Face ID par ce biais, en recrutant là-aussi des spécialistes, mais en vain.

L'équipe de Bkav est la seule à assurer que l'on peut se reposer sur un masque pour franchir la protection de l'iPhone X et à en avoir fait la démonstration devant un journaliste de Reuters. Il s'agissait de lever toute ambiguïté sur la méthode utilisée.

À la suite de la première expérimentation, des banques sud-coréennes ont décidé de ne pas prendre en charge Face ID dans leurs apps.

avatar Paul_M | 

C'est FANTOMAS

avatar r e m y | 

Il serait totalement crédible dans sa démonstration, s'il confectionnait un masque d'une personnalité (Tim Cook par exemple...) à partir des photos disponibles sur le Net et proposait ensuite de déverrouiller l'iPhone de cette personne avec le masque.

avatar mat 1696 | 

@r e m y

Exactement !

Psk là il doit y avoir des dizaines d'ajustement où Face ID ne reconnaît pas le visage avant d'avoir le résultat montré.

Et n'oublions pas que dans la vrai vie, de telles photos sont presque impossibles à prendre, mais surtout au bout de 5 essais infructueux le code est demandé... Alors bon tout ça c'est juste Du pipeau !

avatar frankm | 

Le but est de démonter l'iPhone contre le fleuron coréen, ça marche puis que les banques coréennes ne veulent pas de Face ID.
Il parle de photo infrarouge pour les yeux. S'il ne connaît pas l'utilisateur il n'arrivera pas à déverrouiller l'iPhone. Et si une empreinte se récolte très bien (une démo avait été faite pour Touch ID).
--- Et oui j'aimerai qu'il se base sur des photos de Tim Cook et voir si son masque déverrouille l'iPhone de Tim Cook en moins de 5 essais...
Ce qui m'inquiète, c'est pas ce procédé mais que mon fils puisse éventuellement déverrouiller l'iPhone à cause d'une conne ressemblance...

avatar C1rc3@0rc | 

@ r e m y
Apres avoir demontré qu'Apple a menti sur la nature securitaire de son systeme biometrique, le but de la demonstration de Bkav est maintenant de demontrer jusqu'a quel point le systeme est vulnerable...

On est ici dans aucune autre motivation que la demonstration que la biometrie d'Apple est un gadget totalement insecuritaire et qu'Apple induit en erreur ses clients et partenaires.

Bkav, ou d'autres, n'avaient pas besoin d'aller plus loin que les precedentes demontrations: le fait est établi.
Maintenant, la poursuite de ces demonstrations c'est juste pour enfoncer le clou et mediatiser un peu plus cette realite.
Cela a un avantage majeur - en plus de demontrer le foutage de gueule du client par Apple - c'est que l'aspect insecuritaire de ces systemes biometriques est mis en evidence et que le public commence a se savoir.

Maintenant il faut encore faire comprendre au public que la biometrie dans ce type d'usage, c'est comme la 3D pour la TV: c'est juste un artifice du marketing pour creer un relai de croissance et installer un systeme redoutablement efficace d'obsolescence programmee!

Pour le reste d'autres equipes de chercheurs en securite et hacker sont en train demultiplier les moyens de pirater iOS 11 et s'attaquent aux niveaux sous l'OS grace a des failles, backdoor et bug. Le graal c'est de trouver des failles dans le materiel ou dans le niveau d'amorçage de l'OS et driver car, comme on l'a vu récemment avec l'Intel Management Engine accumulant les failles et backdoor, la probabilité de failles au niveau de l'enclave "securisé" d'Apple augmente chaque jour.

Bref, plus le temps passe plus on constate que les fabricants et editeurs informatiques racontent n'importe quoi concernant la securité des donnees traitées par leurs produits et que les mensonges du marketing sont de plus ne plus affligeants.
Mais la Apple a fait quand meme tres fort avec son discours marketing qui affirmait la superiorité securitaire de Fake ID!

avatar thebarty | 

@C1rc3@0rc

Imbuvable, comme d’habitude.
Un petit (5000 mots) post sur l’AW pour finir de te soulager ?

avatar marc_os | 

@C1rc3@0rc :
Le monsieur n'a rien démontré de ce que tu dis si ce n'est qu'il faut un matériel de prise de vue professionnel très spécial (infra-rouge), à utiliser dans des conditions très précises sous des angles particuliers pour tenter de fabriquer ce mannequin jumeau.
Autant dire, impossible à faire sans le consentement de la victime et encore moins à partir de clichés trouvés sur Internet !!

avatar frankm | 

Oui imbuvable, en bref le problème du biométrique est qu'on ne peut pas le changer comme un mot de passe.
Ou sinon, vous allez dans une cité en insultant les gars, qui vous tabasseront : vous avez changé votre mot de passe Face ID, félicitations

avatar C1rc3@0rc | 

@frankm

«en bref le problème du biométrique est qu'on ne peut pas le changer comme un mot de passe.»

Pour les empreintes digitales on en a normalement 10 possibles, pour l'empreinte retinienne, y en a 2... le visage evidement il y en a qu'un... C'est donc un des probleme de la biometrie, mais c'est pas le principal.

Le probleme principal de la biometrie c'est que la cle n'est pas une... et donc qu'un systeme biometrique n'offre pas de securité (mais il peut faire partie d'un systeme de securité, la nuance est importante)

Le probleme dont il est question ici c'est qu'Apple a menti sur toute la ligne et induit en erreur, voire trompe gravement, son client.
Une des affirmations fallacieuses d'Apple concernant l’authentification du visage etait que son systeme, a la difference de celui ridicule de Samsung, ne pouvait pas etre trompé par un artefact (photo, masque, sculpture,etc): l'équipe de Bkav demontre une fois de plus qu'Apple a menti!!!

Dans les faits cela veut dire que Fake ID est un gadget permettant de deverouiller l'ecran de veille mais qu'il n'est en aucun cas un systeme de securité.

avatar Trillot | 

C1rc3@0rc .............. a encore frappé!!!

Toujours aussi religieux dans ses croyances qu'il prend pour des réalités!

Toujours aussi péremptoire!

avatar frankm | 

@Trillot

Il travaille en Samsung Store

avatar Paquito06 | 

“Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.”

On a compris comment fonctionnait Face ID, qui apprend et autorise une marge d’erreur apres des utilisations successives. Quelqu’un qui utilise Face ID depuis des semaines ou mois avec des centaines de deverrouillage ne devrait donc pas etre inquiete car le masque ne serait pas reconnu et un mot de passe viendrait a etre demandé.

avatar r e m y | 

@Paquito06

L'apprentissage rend-il faceID plus exigeant quant au visage qu'on lui présente?
Ou au contraire moins précis en acceptant au fil du temps de légers écarts par rapport au visage initialement enregistré (et donc plus tolérant vis à vis d'un simple masque) ???

avatar Paquito06 | 

@r e m y

Aucune certitude car je n’ai rien lu la dessus, mais il serait ‘logique’ qu’au fil du temps Face ID devienne plus exigeant en effet (comme pour Touch ID, on l’active en mettant notre doigt et 5-6 empreintes, mais on peut accentuer la precision en entrant une dizaine d’empreintes du meme doigt ensuite). Je pense a la meme chose avec Face ID. La reinitialisation laisse Face ID deverouiller avec une plus grande marge d’erreur qu’un Face ID qui a deja servi de nombreuses fois. Je peux me tromper ?

avatar r e m y | 

@Paquito06

Ce n'est pas très clair pour moi non plus, mais j'ai plutôt l'impression que faceID est plus tolérant avec le temps en enregistrant de petites variations du visage qu'on lui demande d'accepter en retapant le mot de passe.

avatar Paquito06 | 

@r e m y

Dans un sens ou l’autre, plus ou moins tolerant, Face ID a besoin d’apprendre et donc de temps. Or, cette reinitialisation change la donne.
Enfin, si on a un iPhone qui possede des donnees a haut risque, qui s’amuserait a ne les faire reposer que sur le ‘simple’ usage de Face ID (technologie balbutiante qui sera amelioree dans les prochaines versions).

avatar C1rc3@0rc | 

@Paquito06
«Dans un sens ou l’autre, plus ou moins tolerant, Face ID a besoin d’apprendre et donc de temps. Or, cette reinitialisation change la donne.»

Le but est de demontrer le niveau de faiblesse du systeme dans son principe. Le fait de lancer le processus en commençant par une reinitialisation c'est pour s'assurer justement que l'exploitation se fait sur le principe et ne releve pas d'une exploitation d'un biais acquis dans le temps.

De plus Fake ID n'a pas besoin "d'apprendre". Le processus peut etre adapté au besoin et la reconnaissance peut etre assouplie, mais cela necessite une action specifique par l'utilisateur. Rien n'indique que le processus se fasse automatiquement.

«Enfin, si on a un iPhone qui possede des donnees a haut risque, qui s’amuserait a ne les faire reposer que sur le ‘simple’ usage de Face ID (technologie balbutiante qui sera amelioree dans les prochaines versions).»

Qui? Mais toute personne qui croit au discours marketing d'Apple concernant la superiorité de Fake ID sur Touch ID (qui n'est pas non plus securisé cela dit), et qui utilise son iPhone pour acceder a sa banque, faire des achats, accumuler des donnees de santé, utiliser Wallet,...

Regardes de nouveau le Keynote: Fake ID est presenté comme une solution de securisation, pas un simple gadget pour deverrouiller rapidement l'ecran de veille de l'iPhone...
Apple a menti effrontemment, et le client n'est pas censé avoir assez de connaissances en securité informatique pour se rendre compte de ce mensonge!

avatar thebarty | 

@C1rc3@0rc

OSEF des tes argumentaires à 2 balles et complètement inutiles. Tu n’as pas encore compris ?

avatar ChrisKroo | 

C'est vrai, tu vas finir par me vexer, nom d'un p'tit bonhomme ?

avatar Rez2a | 

@Paquito06

Ça n’accentue pas la précision d’enregistrer 5 fois la même empreinte, au contraire ça laisse une marge d’erreur plus importante. C’est juste que ça autorise des « écarts » par rapport à l’empreinte initiale. Et j’ai l’impression que c’est un peu ce que fait Face ID au fil du temps.

avatar Paquito06 | 

@Rez2a

En effet. Je me suis mal exprime avec la precision et la marge d’erreur.
Ca rejoint le commentaire de r e m y sur ce fonctionnement, il faut laisser un peu de temps a Face ID et ici l’expert en securite bypass cet apprentissage.

avatar r e m y | 

@Paquito06

Mais justement pour ce pas qu'on le suspecte de laisser le temps à faceID d'être plus tolérant quant au visage exact...

avatar Paquito06 | 

@r e m y

C’est pour cela que je suggere le contraire du coup.
Soit Face ID apprend et s’ameliore avec le temps et il est plus difficile de le berner avec un masque, donc apres une reinitialisation Face ID n’a pas eu le temps d’apprendre et on peut lui faire passer un masque pour le vrai visage et il deverrouillera plus facilement (ce que je pense). Soit Face ID devient plus tolerant avec le temps et l’apprentissage (absurde a mon avis, il suffirait de subtiliser un iPhone X dans 6 mois pour avoir plus de chance de le deverouiller avec un masque), et donc apres reinitialisation il est plus difficile de le deverrouiller/berner Face ID (cas ici avec ce white hat?). Il faudrait voir dans 6 mois et apres des milliers de deverrouillages comment ca se passe avec un masque :-)

avatar Florent Morin | 

Je suis assez d'accord.
Les conditions d'usage sont extrêmes et les conditions de scan sont également extrêmes.

En gros, il faut :
- que l'iPhone soit volé à son propriétaire
- que l'action soit réalisée en moins de 48h
- que l'iPhone n'ait pas eu le temps d'être effacé via iCloud
- que le visage puisse être scanné avec le matériel adéquat
- que le masque réussisse à déverrouiller l'iPhone en 5 tentatives max.

avatar C1rc3@0rc | 

@FloMo

On se rassure comme on peut, mais le but de ces demonstrations c'est juste de prouver 2 elements:
- Fake ID est un gadget qui n'est en aucun cas un systeme de securité
- Apple a menti sciemment sur la nature securitaire de son systeme biometrique

En fait dans les conditions que tu liste, on se fout de Fake ID: si l'iPhone est volé ou recupere par les autorités il sera piraté au niveau de l'OS grace a une des multiples failles deja sur le marché, et les donnees sont de toutes façon accessibles sur iCloud pour peu que l'iPhone utilise iCloud...

Bref, Fake ID c'est un raccourci, moins efficace de Touch ID, pour déverrouiller l'ecran de veille, mais en aucun cas c'est un systeme de securité.

avatar millenaire53 | 

@C1rc3@0rc

C’est toi qui fait fake à la longue. Rien n’est inviolable et FaceID est franchement pas mal et continuera de s’améliorer dans sa 2ème version tout comme TouchID en son temps.

avatar victoireviclaux | 

@C1rc3@0rc

Oh un rageux (pour ne pas changer).

Les empreintes se retrouvent partout, y compris sur le smartphone. De plus qu'il est assez simple de les dupliquer et d'en faire un moule, donc ton argument ne tient pas.

Il faut connaitre le mot de passe/code pour que Face ID détecte les changements, cela prouve que tu ne sais pas comment ça fonctionne.

avatar C1rc3@0rc | 

@victoireviclaux

J'ai beau relire ce que tu ecris, j'arrive pas a trouver le rapport avec mon commentaire auquel tu semble vouloir repondre.

avatar ChrisKroo | 

Tout à fait Thierry ! C'est d'une simplicité enfantine ?

avatar Rapsodan2 | 

@FloMo
Bon résumé.
Et il faut ajouter qu’il ne faut pas ouvrir l’iPhone avant car s’il voit d’autres visages il demande un mot de passe!

avatar millenaire53 | 

@FloMo

Bien dit !

avatar reborn | 

Donc pour tromper FaceID il doit reenregistrer son visage, enfin le masque quoi..

Bref pour toute ces combines il doit avoir le mot de passe..

avatar Bigdidou | 

Je ne comprends pas l'acharnement de ce Ngo Tuan Anh, ni ce qu'il veut démontrer.
Si c'est que cette protection est une solution "domestique" pour monsieur tout le monde, on le savait déjà.

"Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr"

Venir compléter un dispositif plus sûr, c'est absurde. Autant n'utiliser que celui ci.
Par contre, qu'un dispositif alternatif plus sûr puisse être mis en oeuvre, certainement;
Et ça tombe bien : il existe.

Alors c'est vrai qu'en face, c'est beaucoup plus sur : je suis à peu près certain que la reconnaissance faciale de Samsung ne déverrouillera l'appareil devant aucun masque, puisque même moi, elle me reconnait une fois sur dix. Quand elle daigne s'apercevoir que je suis devant mon appareil.

avatar reborn | 

@Bigdidou

Tout comme pour touch id, le mot de passe est là pour ça, ce type s'acharne pour rien.

avatar Ducletho | 

@Bigdidou

C’est peut être son métier testeur pour éprouver la sécurité?
Ce n’est pas personnel mais professionnel

avatar r e m y | 

@Ducletho

Bien sûr que c'est professionnel! Il est responsable de la sécurité du fabricant de smartphone vietnamien Bkav.
Son objectif est soit de détourner les clients de son entreprise de l'iPhone au profit des leurs, soit de justifier que Bkav n'adopte pas la reconnaissance faciale et reste sur la seule reconnaissance d'empreinte.

avatar marc_os | 

@Bigdidou :
J'ai comme l'impression (3D) que cette personne cherche maintenant surtout à faire parler d'elle même (comme tous ces "analystes" lanceurs de rumeurs), et peut-être même à se faire embaucher...

avatar benooo8888 | 

Et bah ça nous montre que les maquilleurs d’Hollywood sont bien pourris et qu’ils devraient recruté plutôt au Vietnam....

avatar mud1007 | 

Je suis un heureux proprio d’un X je l’aime vraiment comme appareil , mais j’aimerais aussi une réponse de Apple sur cette essai .

Pour savoir qu’est ce que eu en pense non ?

avatar r e m y | 

@mud1007

J'ai sollicité l'auteur de cette démonstration, en lui suggérant de refaire une tentative en créant un masque d'une personnalité connue dont de nombreuses photos sont disponibles sur Internet (Tim Cook) pour ensuite aller essayer de déverrouiller son iPhone X (avec Tim Cook en copie de l'email), puisqu'il affirme que ce type de personnalité prend un risque en utilisant faceID.

On verra si il rebondit sur l'idée et qu'il fait cette tentative.

Là si il réussissait, ce serait réellement intéressant...

avatar mud1007 | 

@r e m y

Bonne idée on verra la suite .

avatar CrashMidnick | 

Il ne peut y en rester qu'un...
"Connor MacLeod"

avatar SIMOMAX1512 | 

Et si on active le suivi du regard ça bloque pas son artifice ??

avatar r e m y | 

@SIMOMAX1512

À priori, le "suivi du regard" est actif dans sa demo.
C'est la raison qu'il donne pour expliquer que l'image des yeux ait été réalisée avec des camera infrarouge qui réagissent de la même façon que le systeme IR de faceID.

avatar headoverheel | 

C’est une superbe nouvelle pour apotheker ce masque. Il va pouvoir déverrouiller son Iphone X sans risquer la mort.

avatar Niamor4130 | 

@headoverheel

Tu m’as tué hahahaha

avatar thebarty | 

@Niamor4130

Pareil, excellent !

avatar perrudja | 

C’est ridicule !

avatar imatoumi | 

Il faut qu’ils arrêtent de se masturber ?

avatar raf30 | 

@benooo8888
bravo! j'avais oublié ces super "masques d'Hollywood" pdt la keynote !
....Quel baratineur ce Tim, les tests ont du être poussés... !

Pages

CONNEXION UTILISATEUR