Un masque pour tromper Face ID
La probabilité que quelqu'un puisse déverrouiller votre iPhone X via Face ID est de 1 sur 1 million, à quelques exceptions près : si on a un jumeau par exemple, ou encore avec un membre de sa famille entre préados. Ces situations sont documentées par Apple, on peut les regretter, mais ainsi va la technologie actuelle. Face ID n'est donc pas infaillible (pour Touch ID, cette probabilité est de 1 sur 50 000).
À l'instar de Touch ID qui avait été trompé rapidement, il n'a pas fallu bien longtemps pour que des petits malins parviennent à contourner les sécurités mises en place par Apple dans Face ID. Une société de sécurité vietnamienne, Bkav, est ainsi parvenue à faire prendre des vessies pour des lanternes au système de reconnaissance biométrique de l'iPhone X.
Le smartphone s'est ainsi déverrouillé en présence d'un masque de l'utilisateur, comme on le voit dans la vidéo ci-dessus. Ce masque imprimé en 3D combine du maquillage, un nez en silicone et des images en deux dimensions, le tout avec un « traitement spécial » dont on ne sait pas grand chose. Le volume ici est important, Face ID exploitant des données de profondeur lors de l'analyse du visage.
Cette bidouille n'est évidemment pas à la portée du premier venu : elle nécessite non seulement du matériel, mais aussi d'avoir accès au visage de l'utilisateur pour en tirer le portrait (lire aussi : En dehors des fratries, Face ID résiste aux tentatives de tromperies).
"Avant d'echafauder des hypotheses farfelues"
Ce que vous faites vous même tout le temps...
@ Kevlar
que d'agressivité gratuite et assertion peremptoire fallacieuse faisant en plus l'objet d'une tentative de generalisation abusive...
Mais la methode est classique: face a l'incapacité de demonter un argumentaire refletant une realité deplaisante, l'attaque ad hominem reste la seule façon de se rassurer sur ces croyances et dogmes.
Ben oui quand ça marche trop bien y’a pas grand chose à raconter donc il faut trouver une faille !!!
Bref !! Ça en occupe !!!
Faudrait demander à Castor Troy et Sean Archer ce qu’ils en pensent.
Il me semblait que pendant la Keynote, les ingénieurs avaient créés des masques et ils ont affirmé que Face Id n’était pas trompé... étrange...
Le mieux est d’attendre des preuves de niveaux scientifique : une preuve sérieuse et indiscutable.
La vidéo me semble assez édifiante.
@Domsware
Des preuves scientifiques de quoi?
Une preuves c'est une experimentation qui demontre une theorie. Ici c'est le cas.
La preuve precedante c'est le principe des sosies.
La theorie c'est que le systeme de reconnaissance faciale d'Apple n'est ni securisé ni fiable.
On est maintenant dans la phase de multiplication des preuves, la preuve etant deja faite depuis longtemps... par Apple, qui a bien reconnu l'absence de cle unique - principe incontournable pour parler de systeme securisé...
Ce qui a ete aussi demontré c'est que des methodes qui marchent avec le systeme de Samsung ne marche pas avec celui d'Apple. Ça veut pas dire que le systeme de Samsung soit moins fiable que celui d'Apple , ça veut dire que les deux sont pas du tout fiables en terme de securité mais qu'ils utilisent des methodes differentes.
La theorie derriere tout ça c'est que l'authentification faciale n'est pas un principe de securité et que ce n'est meme pas fiable en dehors de la securité...
C’est le gros fail des identifications biométriques..
On se promène avec le code sur la tronche, sur la pupille ou sur les doigts..
Fatalement ce qui peut être lu peut être copié.
De ce fait, je ne comprends pas qu’on puisse considérer les identifications biométrique comme sûres.
Elles ne le sont pas et ne le seront jamais
Elles ne sont pas considerées comme sures justement...
Le marketing raconte n'importe quoi et surtout prive les gens de connaissances.
Je vais faire caricaturale pour que ce soit simple, mais il faut considerer la securité comme une maison.
Le 1er principe c'est de garantir que seule la personne autorisée peut rentrer dans la maison.
Le principe suivant est d'avoir une maison avec une seule porte disposant d'une serrure securisée.
Une serrure securisé c'est une serrure qui n'accepte qu'une seule et unique cle.
Le dernier principe est celui de la trace: si une porte ou sa serrure est forcés, cela doit laisser une trace permettant d'etablir de maniere fiable que la securite de la maison a ete compromise.
Si on soumet l'iPhone a ces principes on a 3 methodes pour acceder aux données et au fonctionnement de l'iPhone. Donc l'iPhone c'est l'interieur de la maison.
Deja on a 2 portes:
- le code
- la biometrie: Touch ID ou Fake ID
Donc on a deja une situation insecure du fait de la presence de 2 portes (sans parler failles ou backdoor).
1) le code.
Le code c'est la serrure avec une cle. Une seule cle est acceptée (le bon code), donc cette serrure est securisée.
2) la biometrie
- a) Touch ID: le systeme garanti que seul un doigt d'une personne vivante peut fonctionner, le probleme c'est qu'il existe plusieurs personnes qui ont des empreintes digitales similaires pour le systeme, donc il y a plusieurs cles differentes. La serrure n'est pas securisée.
- b) Fake ID: le systeme ne garanti pas que seul un visage d'une personne vivante peut fonctionner. Et il existe plusieurs personnes qui ont des visages similaires pour le systeme, donc il y a plusieurs cles differentes. La serrure n'est pas securisée.
Maintenant quel est le moins fiable entre Touch ID et Fake ID: c'est Fake ID!!!
La decouverte de cles "naturelles" est simple, et il n'y a pas d'enregistrement de qui a accedé a l'iPhone...
@C1rc3@0rc
Au lieu de dire des âneries, je te conseille d'aller sur You tube pour retrouver un reportage d'Elise Lucet pour son magazine Cash Investigation où elle enquête justement sur des systèmes comme Face ID et Touch ID mais en version "pro" (sas de sécurité,...) .
Tu verras que que te trompes sur toute la ligne.
Face ID et Touch ID sont l'un comme l'autre des gadgets pour impressionner Mme Michu.
Récupérer une empreintes et fabriquer un faux doigt est un jeu d'enfant (un peu de colle suffit)
Pas besoin de scanner 3d pour récupérer un visage. La photo à fait d'énormes progrès et photographier un individu sur toutes les coutures à son insu est d'une simplicité déconcertante. Et quand on voit les prouesses des maquilleurs du cinéma, un masque est-il vraiment nécessaire ?
@RolandJDXI
Avant de tenter de m'attribuer des propos fallacieux, il convient de lire d'abord ce que j'ecris.
Mon propos enonce clairement, de maniere construite et argumentée que ni Fake ID, ni Touch ID ne sont des systemes de securité.
Ensuite, il faut suivre le debat: si Fake ID est insecure, il est moins aisé de l'abuser que celui de Samsung qui necessite une simple photo. Cela n'enleve pas la notion de gadget de Fake ID, mais cela rend les choses un peu plus complexes. Et puis Fake ID fait appel a un scanner 3D, c'est pas de la reconnaissance de forme sur une photo...
Et une emission de divertissement TV grand publique n'est pas de l'information, c'est du divertissement et cela n'a aucun poids en tant qu'argument.
Il y a des sources d'informations fiables ( a commencer par les rapports et conseils des agences de securité librement disponible sur leurs sites) qui expliquent tres bien quels sont les risques et methodes de protection.
La biometrie peut etre une methode de protection, mais pour que cela soir une securite, il faut rajouter des securités.
Et non, faire une fausse empreinte digitale n'est pas aussi aisé que cela... meme si cela ne releve pas d'une haute technicité.
Le temps qu’il face le masque l’iPhone x demandera le code donc ils sont cuit LOL
On ne peut toujours pas créer des masques à partir d’une Photo ou , vidéo d’une personne
Donc FaceId n’est pas « cracké »??
Mais si on utilise son propre visage pour fabriquer une copie en faisant un moule silicone alors c’est comme donner son code ...?
Mais c’est inquiétant je trouve ..?
Pour moi la sécurité ultime serait la montre: quand l’iPhone pourra détecter que la Watch est à moins de 50cm pour autoriser le déverrouillage
alors de pb de copie d’élément biométrique ???
@Sgt. Pepper
«On ne peut toujours pas créer des masques à partir d’une Photo ou , vidéo d’une personne
Donc FaceId n’est pas « cracké »»
Si la preuve est faite, plusieurs fois et selon plusieurs methodes, que Fake ID n'est pas une solution de securité.
Maintenant qu'on sait cela des methodes d'exploitation moins directes vont etre developpées.
Ce que l'on sait c'est qu'une photo ne permet pas d'abuser Fake ID comme sur le systeme de Samsung, il faut un modele 3D.
Il se posait ensuite la question de savoir s'il fallait un visage d'un humain vivant, la reponse est non.
On en est ici a trouver des failles "analogiques". On a pas encore presenté d'exploitation de failles numeriques, ce qui finira pas arriver a terme, vu qu'on connait le principe de FakeID et qu'on sait que les OS d'Apple sont bourrés de failles ce conception et de realisations.
«Pour moi la sécurité ultime serait la montre: quand l’iPhone pourra détecter que la Watch est à moins de 50cm pour autoriser le déverrouillage»
Ce serait encore pire, la methode de piratage est hyper exploitée: le spoofing. Que ce soit du Bluetooth, du Wifi, du NFC, le spoofing fonctionne.
Le seul cas ou un dongle sans contact est efficace, c'est s'il participe a une cle a deux facteur, donc dongle + code a taper. Et idealement avec des codes variants...
Mais encore une fois, il faut comprendre de quoi on parle.
Seule la methode du code a taper est une solution de securité, le reste ce sont des gadgets, des raccourcis qui permettent de restreindre l'acces par inadvertance ou par le petit qui doit pas voir les photo de papa-maman qui ont fait des selfies en situation ole-ole...
On sait que Fake ID n'est pas une solution de securité.
En fonction des situations (presence de sosies) c'est meme pas une solution permettant de restreindre l'acces a l'appareil et que pour ça Touch ID est plus efficace.
Apres Fake ID, c'est un truc fun, mais c'est tout.
@Sgt. Pepper
Et si tu n'as pas d'Apple watch?
Le FBI est plus que satisfait de FaceID, c’est plus dans leur corde pour tromper l’identification.
Euh non... TouchID était bien plus facile à tromper, encore faut-il déverrouiller l'appareil avant que celui-ci n'exige un code.
Bah...
Ce que l'on connait c'est fait, c'est le code à 6 chiffres.
Il est d'ailleurs perfectible à mon sens :
- en exigeant que le code soit changé à intervalles réguliers (sans doute pas pour le commun des mortels car pénible) et suffisamment différent du précédent.
- la façon de saisir le code devrait/pourrait d'ailleurs être analysée de la même manière que la vitesse/force/manière de frappe sur un clavier physique est différente d'un individu à un autre. L'iPhone pourrait ainsi se douter (en plus de la reconnaissance FaceID défectueuse) que la personne qui tente de déverrouiller connait peut être le code mais n'est pas le possesseur légitime, donc verrouillage maintenu (ou action au choix du possesseur légitime : déverrouillage ou accès restreint à ci ou çà)
- En mettant un second code de sécurité qui est une passphrase connue de l'enclave sécurisée, avec un clavier alphanumérique.
- Avec de la reconnaissance d'empreinte vocale, liée à des réponses immédiates à des questions dont seule l'enclave de sécurisée a la réponse.
- On peut même imaginer que l'iPhone pose des questions sur l'utilisation récente de l'iPhone, connue du seul titulaire légitime : "tentative d'usurpation, dites-moi si vous avez appelé [contact connu] hier matin et si [contact connu] vous a appelé ce matin". Il y a peu de chances que l'usurpateur le sache... (en faisant en sorte de ne pas citer les correspondants quotidiens comme conjoint/enfant bien entendu). Ou "êtes-vous allé à [ville] hier soir ou ce matin ?" Ou "avez-vous lancé PagesJaunes dans l'heure qui vient de s'écouler ?" Ou un QCM "quels articles avez-vous lus sur MacG ce matin ? et liste à suivre". Ou "avez-vous utilisé une alarme, chronomètre, boussole, aujourd'hui ?"
...
Ce que l'on est, c'est bon via FaceID.
...
Ce que l'on a peut être une Apple Watch, dongle dans la poche, un badge ou un bijou ou une (grosse) bague BlueTooth low energy inside à rechargement par induction, ou à dispositif NFC lisible par l'iPhone
@DG33
Trop long ton message! J ai pas pu lire.
@eastsider
Fainéant, va !
L’idéal est de développer les camera s infrarouges, TrueDepth pour fillmer la victime pour en obtenir une modélisation 3D pour fabriquer ensuite le masque. Pas besoin du consentement de la victime, le vol de son identité faciale en quelque sorte
C'est clair que ça va être développé...
Donc Guy Georges avec des bandelettes pourrait se faire piquer son iPhone X par des Vietnamiens.
Mapping 3D du visage + impression 3D et le tour est joué ?
Face ID = le retour du bon vieux mot de passe...
Un mot de passe bien choisi vaut mieux que tous ces gadgets.
N'importe quoi ! Face ID reste plus difficile à tromper que TouchID.
De plus, il est aussi plus facile d'espionner quelqu'un pour récupérer son mot de passe que de tromper Face ID avec un masque spécifique.
Mais surtout, il faut une technologie transparente, peu contraignante. Sinon, la majorité des utilisateurs préfèrent ne pas mettre de protection.
@Kevlar
Tout à fait ?
c'est facile de te voler ton mot de passe, suffit de te suivre avec une caméra cachée.
et puis pour les spécialistes aucune protection n'est fiable.
Ouais encore des mecs qui veulent faire le buzz et de la pub a pas cher... aucun intérêt
Il manque quand même une grosse donnée. Quel est le réglage initial ? Est-ce qu’ils n’ont pas tout simplement réussi à faire en sorte que le masque soit l’enregistrement initial ? En retirant le suivi du regard en plus.
Parce que le masque ne semble ressembler à personne. En tout cas aucun dans la salle. Si tel est le cas, il n’y a pas de *faille*. Juste une utilisation abusive. À voir si d’autres exemples sortent
Ah parce que avec l'empreinte c'est pas plus facile ? Je vous rappelle qu'on laisse très facilement nos empreintes partout sur des surfaces, telle que le smartphone, ce qui est impossible avec un visage ! Il suffit de récupérer d'une empreinte sur d'une surface pour ensuite en simuler une, qui va servir pour le Touch ID par exemple.
N’imaginez quoi
Sinon pour tromper Face ID il y a ça :
« rappelle toi quand on était petit et qu'on prenait le train, toi tu montrais ta tête à la fenêtre et moi je montrais mon cul. On aurait dit des jumeaux. »
C’est stupide tous ces tests... qui ferait un masque pour déverrouiller l’iPhone d’un proche à part un fou furieux?! Et un voleur ne pourrait pas faire de masque. C’est juste stupide tout ça. C’est juste pour faire du clic (et merde je me suis encore fait avoir)
@amok75
Pourquoi...? Oh non me dit pas que t as cliké????
Voilà un Gus nous montre de quoi il est capable. Très bien. Les brameurs vont pouvoir bramer. Ensuite quelle application pratique ? Comment faire un masque de votre visage sans votre consentement ? On va vous droguer ? On va vous menacer ? Je vous propose beaucoup plus pratique : un flingue sur la tempe et on demande le code. Voili voilou. Plus économique, beaucoup plus rapide.
On avait fait le même coup avec les empreintes. Résultat des courses, après 4 ans, des centaines de millions d’iPhone vendus, peut-être avec le renouvellement plus d’un milliard, nombre d’empreintes piratées : 0.
Genre d’expérience qui fait jouir les paranoïaques, donne du grain à moudre aux anti Face ID et des munitions sans aucune application concrète aux brameurs.
@Malum
J'adore.
Et on nous avait promis des doigts coupés, or on n'a pas de stats en ce sens.
On nous cache tout on (ne) nous dit rien ?
Combien de temps pour réaliser un tel masque, et être sur qu’il va fonctionner? On a droit à 4 erreurs (en supposant que l’appareil n’ait pas déjà « cru » que quelqu’un a tenté un déverrouillage), et 6 jours avant que le téléphone demande un code. Sans le consentement de l’utilisateur, ce « hack »reste de la pure théorie.
@daffyduuck
Je crois que c'est 2 jours sans utiliser FaceiD avec saisi du code obligatoire au bout de 6 jours
Et avec Face ID les autorités peuvent ainsi rapidement déverrouiller un iPhone X.
Quand on a un peu de jugeote , on sait que cette démonstration est du flan
Rien à foutre des systèmes de sécurité de toute façon, pour faire simple, tu te fait voler ou quoi que ce soit d’autre tu le désactive et l’efface via iCloud sur n’importe quel accès internet.
Faite ça hors IOS .
Quant au logorrhéique Cric-auto (là au moins il aurait une utilité) non les sosies ne tromprent pas Face ID, mais bien les humains. L’histoire des deux frères quasi jumeaux le prouve. Avant de « tromper » Face ID le second frère ne pouvait dévérouiller le téléphone. Ce n’est qu’en entrant le second visage et en utilisant une fonction utile d’adaptation, qu’il a réussi et encore pas tout le temps, et avec les lunettes. Et pour le faire - le comble - il a eu besoin du code et s’il a le code, le benêt n’a pas besoin de vouloir tromper Face ID.
Cette histoire de masque c’est comme si on vous dit vous devez aller tout droit pour rejoindre le bout de la rue, disons 300 m. L’un va aller tout droit (le code) et l’autre va faire un 180º et aller tout droit, et après 40 000 km il va retrouver le bout de la rue (faire un masque).
@Malum
Si ça lui a pris plus de 48h pour faire le masque c'est mort son truc.
Ce qu’on ne sait pas c’est si le gars n’a pas « appris » à Face ID le masque comme le coup des frères qui sont des quasi jumeaux.
@Malum
"Ce qu’on ne sait pas c’est si le gars n’a pas « appris » à Face ID le masque"
C'est probable, mais peu importe.
Le problème réside dans le fait que Face ID puisse reconnaître un masque, donc pas un visage vivant.
Pourquoi pas un pamplemousse ?
Après, encore une fois, pour un usage "domestique", ça n'a aucune importance.
Ce n’est pas sans conséquence car s’il faut l’apprendre cela veut dire que le masque est inefficace en tant que tel car il faut le code et si on a le code aucun système système biométrique n’est protecteur.
Il faudrait savoir quoi dans un visage permettrait de se distinguer d’un masque qui, parfaitement fait, va reprendre les volumes.
Pages