Une conférence Black Hat annulée : elle devait présenter un moyen de tromper Face ID

Mickaël Bazoge |

Drôle d’histoire que celle du chercheur en sécurité Wish Wu qui devait présenter un moyen de tromper Face ID pendant une conférence Black Hat à Singapour, en mars. Mais il a dû annuler cette démonstration à la demande de son employeur, Ant Financial, rapporte Reuters. Cette filiale du mastodonte chinois Alibaba est chargée d’Alipay, qui s’appuie justement sur Face ID pour l’identification de ses utilisateurs équipés d’iPhone X et suivants.

La méthode mise au point par Bkav implique la conception de masques réalistes.

Ceci explique peut-être cela, sauf que le hack1 que devait présenter Wish Wu ne fonctionne étrangement qu’avec l’iPhone X « sous certaines conditions ». Il n’est d’aucune utilité sur les iPhone XS/XS Max et XR… qui exploitent pourtant des technologies très similaires à celles utilisées par le bloc TrueDepth de l’iPhone X.

Le chercheur a accepté la demande d’Ant Financial d’annuler sa démonstration afin de s’assurer de « la crédibilité et de la maturité des résultats de [sa] recherche ». La bidouille est censée en passer par une image imprimée en noir et blanc sur une feuille de papier ordinaire, et du scotch. L’organisation de Black Hat avait été convaincue par Wish Wu que son hack pouvait être reproduit ; il est très rare qu’une conférence soit ainsi annulée.

La seule tentative connue de tromper le système d’authentification faciale d’Apple avait émergé en novembre 2017, quelques semaines après le lancement de l’iPhone X. L’entreprise vietnamienne Bkav avait conçu des masques suffisamment réalistes pour faire prendre des vessies pour des lanternes à Face ID (lire : Face ID contre le masque, épisode 2). Mais personne n’est parvenu à reproduire cette bidouille de haut vol.


  1. La présentation portait un nom aussi intriguant que prometteur : « Bypass Strong Face ID: Everyone Can Deceive Depth and IR Camera and Algorithms » (« Tout le monde peut tromper les algorithmes et les caméras infrarouge et de profondeur »). ↩︎

avatar Gregoryen | 

Oui ben avant que quelqu’un investisse pour reproduire votre tronche, et faire en sorte de pas faire 3 échecs sous peine qu’il demande le code + s’il redémarre pas le tel ou autre et demande le code...

Y’a pas de quoi s’inquiéter !

avatar Ze_misanthrope (non vérifié) | 

Oui comme le fingerprint ou n'importe quelle autre technologies qui fait baisser le prix de ton téléphone de 200 euros...
Mais ton iPhone ne serait plus unique, et ça c'est grave

avatar Moumou92 | 

@Ze_misanthrope

Les empreintes sont bien plus simple à tromper, ne serait ce que parce que la clef de codage est bien plus courte...

avatar Ze_misanthrope (non vérifié) | 

Oui et dans un facteur tellement ridicule quand on ne travaille pas au FBI que cela ne devrait pas affecter notre vie.

C'est comme dire que l'on a plus peur d'être mangé par un requin que de recevoir un météore sur la figure car c'est plus fréquent.

avatar Moumou92 | 

@Ze_misanthrope

Sans travailler au FBI, la sécurité de nos données est primordiale... déjà pour éviter de se faire pirater ses données privées (notamment bancaire), mais aussi et surtout professionnel (l’espionnage industriel ça ne vous parle pas?).

avatar MerkoRiko | 

@Moumou92

Généralement tes données, si elles ne sont pas vendues par celui à qui tu les à confiées, sont piratées chez lui/elle (cf.Yahoo, Facebook, etc...).
Donc, ils ont sûrement envoyés le garenne en camp de vacances pour accélérer la fiabilité de son hack.

avatar Moumou92 | 

@MerkoRiko

Heureusement que dans La Défense, nos données sont conservés sur nos propres infrastructures... le téléphone mobile devenant un accès au système, il devient un des maillons faibles pour l’accès à ces données... normale qu’il soit important de le protéger...

avatar MerkoRiko | 

@Moumou92

Je ne te dis pas le contraire...mais perso, je gère 3 boites, je vois mal mes concurrents hacker mes macs et iPhones persos pour avoir des renseignements très peu confidentiels.
Rappelle moi, ce n'était pas l'Elysée qui s'était fait hacker en 2012, par les américains, au beau milieu des élections?

avatar Moumou92 | 

@MerkoRiko

Ce qui nous montre que la sécurité est importante à tous les niveaux...

Tu serais surpris de savoir ce que font les concurrents... alors oui si tu as une boîte de plomberie peu d’intérêt, mais si tu as des données in tant soit peu technique et sensibles c’est extrêmement important...

avatar Ze_misanthrope (non vérifié) | 

Si tu as des données techniques a voler, un espion industriel sera assez malin pour ne pas perdre son temps et son énergie a bypasser un lecteur d'empreinte et utiliser des moyens beaucoup plus simple.

Il faut relativiser un peu ;-)

avatar DG33 | 

@Ze_misanthrope

Se faire manger par un requin est d’un commun !
Je choisis la météore.

avatar Billytyper2 | 

@Ze_misanthrope

Pour les requins, cela dépend de ton lieu de résidence principale. ?

CONNEXION UTILISATEUR