La sécurité de Face ID mise à mal par des lunettes et de l’adhésif

Apple

Par Remi Lou le

Des chercheurs sont parvenus à tromper la vigilance sans failles de Face ID, le système de reconnaissance faciale d’Apple. Ils ont présenté leur trouvaille durant une conférence Black Hat.

Source : Apple

Durant sa présentation en 2017 avec l’iPhone X, Apple avait beaucoup insisté sur la sécurité renforcée de Face ID. Le système de reconnaissance faciale mis au point par la Pomme est en effet plutôt évolué, projetant 30 000 points invisibles sur votre visage afin d’autoriser ou non l’authentification d’un visage. Le système est si sécurisé qu’aucun constructeur du monde Android n’a encore réussi à l’égaler, même si Google arrive à grands pas avec son propre système de reconnaissance faciale avec son Pixel 4.

Après plusieurs années à tenter de duper Face ID, en vain, des chercheurs sont parvenus à trouver une faille dans le système mis au point par Apple, indique Threatpost. Ces chercheurs ont expliqué leur trouvaille durant la dernière conférence Black Hat, une réunion d’Hackers et d’experts réputés qui exposent des failles dangereuses pour la sécurité de l’information.

L’option « Exiger l’attention pour Face ID » en cause

Il semblerait que Face ID ne soit pas si inviolable que cela, puisque les chercheurs de Tencent Security sont parvenus à le duper avec des lunettes et… de l’adhésif. Zhuo Ma a expliqué qu’ils sont partis de l’option « Exiger l’attention pour Face ID » dans les réglages des iPhone équipés du système de reconnaissance faciale. Ce réglage permet de garder verrouillé l’iPhone tant que son propriétaire ne dirige pas son regard vers le smartphone.

Sauf que ce réglage comporte une faille. L’option « Exiger l’attention » repère en effet le regard en dessinant une zone noire sur la pupille et un point blanc là où se trouve l’iris. Mais si l’utilisateur porte des lunettes, Face ID ne peut pas calculer les informations volumétriques sur l’oeil, et se contente des informations fournies par la zone noire et le point blanc généré sur la pupille, et donc, sur la surface des lunettes. Les chercheurs ont donc utilisé une paire de lunettes lambda, et ont collé sur chaque verre de l’adhésif noir avec un point blanc au centre, soit de la même façon que Face ID repère l’attention. La magie opère, puisque l’iPhone se déverrouille automatiquement lorsque le porteur se place face à son téléphone, sans même le regarder.

Bien sûr, cette technique n’est pas forcément aisée à mettre en place, puisque les lunettes trafiquées doivent forcément être posées sur le nez du propriétaire de l’iPhone. Malgré tout, il est possible d’utiliser cette technique lorsque le porteur est endormi, afin de valider un transfert d’argent, par exemple, ce qui en fait une faille de sécurité assez problématique.

Source: 9to5Mac