Face ID contre le masque, épisode 2
Face ID a de nouveau été mis en échec avec un masque confectionné pour ressembler au visage de l'utilisateur d'un iPhone X. C'est toujours Ngo Tuan Anh, l'un des responsables de l'entreprise vietnamienne Bkav, spécialisée dans les questions de sécurité, qui prête ses traits et réalise la démonstration.
L'aspect du masque a été amélioré de façon à rendre plus systématique sa reconnaissance par Face ID. Plutôt qu'une bande adhésive, le nouveau masque a été recouvert d'une couche de poudre de pierre colorée. Les yeux sont faits à partir de l'impression d'une photo prise avec une lumière infra-rouge. Le démonstrateur insiste sur le fait que ce masque-ci a été bien plus rapide à fabriquer, contrairement aux 9 à 10 h nécessaires pour le précédent.
Ngo Tuan Anh montre d'abord qu'il réinitialise Face ID sur son iPhone puis il se fait reconnaître une première fois. Dans la foulée, il verrouille son téléphone et le présente au masque qui défait immédiatement la protection.
Bkav surnomme ce nouveau masque un "jumeau artificiel", en écho à l'une des faiblesses de Face ID qui ne sait pas distinguer de vrais jumeaux (lire Les échecs de Face ID se suivent et se ressemblent).
Il réitère le même conseil que la fois dernière. Si l'enjeu est important, en se donnant les moyens, on peut tromper plus aisément que prévu Face ID. Certaines personnes de premier plan — à défaut de l'utilisateur lambda — gagneraient à s'en méfier. Avec cet exemple façon Mission Impossible :
Une personne peut être prise en photo secrètement en quelques secondes lorsqu'elle entre dans une pièce contenant un système de caméras préinstallées selon différents angles. Ensuite, les photos seront traitées par des algorithmes pour créer un objet 3D.
Pour Ngo Tuan Anh, l'intelligence artificielle, comme celle qui est utilisée par Face ID, ne devrait pas être l'unique mesure de sécurité proposée. Elle devrait s'en tenir à compléter un dispositif plus sûr. Comme les empreintes, qui ne sont pas inviolables mais peut-être plus difficiles à recueillir, plus que des photos d'une personne prises à distance.
Lors de la présentation de Face ID, Phil Schiller avait assuré qu'Apple avait testé sa solution avec des masques réalisés par des professionnels du cinéma (des masques beaucoup plus sophistiqués à en juger par la photo montrée à ce moment-là). Wired avait tenté de tromper Face ID par ce biais, en recrutant là-aussi des spécialistes, mais en vain.
L'équipe de Bkav est la seule à assurer que l'on peut se reposer sur un masque pour franchir la protection de l'iPhone X et à en avoir fait la démonstration devant un journaliste de Reuters. Il s'agissait de lever toute ambiguïté sur la méthode utilisée.
À la suite de la première expérimentation, des banques sud-coréennes ont décidé de ne pas prendre en charge Face ID dans leurs apps.
Je ne comprend pas ce raisonnement.
Il y a beacoup d’applications qui proposent l’identification biométrique pour se déverrouiller.
Des application d’accès à ses comptes bancaire, de porte monnaie bitcoin.
Même l’accès à ses comptes paypal peut être fait ainsi ( ce que j’ai vite désactivé et mis un mot de passe classique pour ma part )
Je ne comprends pas que l’on soit si peu regardant pour protéger tout ce que l’on possède.
Et que l’on soit un quidam ou non n’est pas la question.
Pourquoi échanger un système sûr de mot de passe contre un système biométrique non sûr ?
Je ne comprend pas cet argument de dire c’est bien suffisant..
Mais enfin, puisque la sécurité maximale est simple et ne coûte rien, pourquoi utiliser un système moins bon dont il a été démontré qu’il peut être hacké dans un temps relativement court ?
Pour être à la mode ? C’est quoi le délire ? Vois mettez en jeu tout ce que vous possédez pour ça ?
Je crois qu’il y a vraiment un besoin d ‘éducation en matière de sécurité numérique.
@macinoe
"Je ne comprends pas que l’on soit si peu regardant pour protéger tout ce que l’on possède."
Parce qu'on ne l'est pas, si peu regardants.
Mes données personnelles n'ont jamais été mieux protégées que depuis ces dernières années où tous ces systèmes existent.
Si FaceID (si...) marque un petit recul théorique par rapport à TouchID, c'est de toute façon un progrès gigantesque par rapport à il y a encore quelques années.
Et c'est bien suffisant.
Devant un type tellement motivé pour me voler mes donnés qu'il a fait un masque grâce à la photo 3D et aux photos infrarouge de mes yeux qu'il aura subrepticement faites de moi, je crois que je peux pas faire grand chose...
FaceID remplit son rôle pour monsieur tout le monde , on peut le tromper par un masque 3D fabriqué par un voleur style 007 ? Cool
Quand les pickpockets parisiens seront à ce niveau je commencerai à m’inquiéter.
Avant, dans les grandes affaires ou le FBI demandait a Apple de déverrouiller l'iPhone du tueur, c'était parce que cetait avec mot de passe non ? Donc une fois mort c'est foutu. MaiS maintenant ça sera bien plus simple pour eux avec face Id ils ont le visage qui est utilisable et reconstructible. Idem pour les empreintes....
@sensass
Comme pour touchID pour lequel il suffit d'appliquer le bon doigt du propriétaire de l'iPhone, faceID n'est utilisable que dans les premières 48h. Passé ce délai sans avoir été utilisé, il faut retaper le code d'accès.
Ben en 48h il y a largement le temps de rapatrier un corps pour en extraire un masque du visage ou des empreintes...
@sensass
Pourquoi faire un masque si tu as le corps et donc le vrai visage et les vrais doigts ???
Bref rien de changé avec faceid par rapport à touchID de ce point de vue.
Lol quel acharnement circee sur ce poste ... tu perds en crédibilité de plus en plus.
De toute façon aucun système n'est absolument inviolable.
Même un code à 128 chiffres.
Il suffit de mettre un pistolet sur la tempe du possesseur ou de ses enfants pour qu'il déverrouille son précieux immédiatement !
Ca n’a aucun rapport avec la comparaison des systèmes d’authentification entre eux.
Et si c’est si facile, vas-y trouve les clés privées de la blockchain Bitcoin.
Tu peux gagner 200 milliards de dollars si tu veux.
Et juste 10 milliards de dollars si tu trouves la clé privée du porte feuille de Satoshi Nagamoto.
C’est juste une petite chaine de caractère à trouver.
Facile non ?
Puisque tu as l’air de dire qu’aucun système d’authentification n’est sûr et qu’ils se valent tous et que de toute façon, ça sert à rien de faire en sorte que ce soit plus sûr.
@ macinoe
C'est quoi que tu ne comprends pas dans « Il suffit de mettre un pistolet sur la tempe... » ?
C’est complètement à côté de la plaque c’est tout.
C’est comme si tu cherchais à savoir si le titane est plus solide que la porcelaine et qu’un mec te dise que c’est pareil parce qu’une bombe à hydrogène pulvérise l’un et l’autre.
Et encore, ta remarque est encore bien plus débile que ça, par ce qu’il existe des systèmes de sécurités qui sont entierement à l’épreuve des tentative de chantage en particulier les sytèmes à clés multiples.
Et de toute façon c’est complètement hors propos pour comparer la sécurité des systèmes d’authentification entre eux.
@ macinoe
Où tu as vu que je comparais les systèmes entre eux ?
Faudrait songer à apprendre à comprendre ce que tu lis, sans imaginer tout et n'importe quoi. Et ça t'évitera d'être hors sujet dans ta réponse comme avec tes histoires de porcelaine ou de clés multiples.
C’est à dire que pour savoir si Face ID est plus ou moins sûr que les autres systèmes, la comparaison est une bonne méthode non ?
Mon pauvre Marc, tu me sembles avoir complètement perdu pied, au point même de contester l’objet du débat..
Si un voleur a le temps et la possibilité physique de te prendre en photo :
- sous les bons angles
- avec le matériel pro adéquat en infra-rouge
- avec le bon traitement logiciel pour exploiter les photos
- qui permette ensuite de reproduire le masque de ton jumeau,
il aura plus vite fait de t'extorquer ton mot de passe ou simplement de te forcer à déverrouiller ton iPhone, quelque soit la méthode !
Moralité :
- l'auteur n'a pas démontré que de simples photos volées sur Internet puissent servir à déverrouiller un iPhone X
- FaceID est certainement aussi fiable que le dit Apple, en tous cas tant que le contraire n'aura pas été réellement prouvé (il est quasiment impossible d'obtenir les images infra-rouges requises sans le consentement de la victime, alors je le répète, autant lui extorquer directement son mot de passe, ça sera bien plus simple).
«FaceID est certainement aussi fiable que le dit Apple »
Et qu’est-ce que dit Apple précisement ?
Qu’il y a une chance infime que Face ID confonde une personne avec une autre sauf s’ils sont jumeaux ?
Et que ça ne peut se produire qu’une fois sur un million ?
Encore heureux.
Mais ça ne dit strictement rien sur les chances qu’il y a de tromper Face ID avec une reproduction.
En fait les déclarations s’Apple ne signifient strictement rien et ne donnent aucune information sur la sécurité réelle de Face ID
TouchID: créer le moulage + positif de son propre doigt = tromper TouchID
FaceID: créer le moulage + positif de son propre visage + des photos collées = tromper FaceID
Wouhouuu! La gloire!
Ce cas est absolument pas réaliste. Tant qu’à ça, c’est encore plus facile de mouler la clé de maison de quelqu’un sans son consentement.
Là, dans leurs exemples, pas le choix du plein consentement du propriétaire du iPhone.
C’est de la grosse m3rd3 leur démonstration.
Pages